ANALISIS DE RIESGOS - asm.gob.mx · Contenido I. Introducción al marco de control interno II. Iniciativas legales III. Definición de Control Interno IV. Modelos de Control Interno

CONTROL INTERNO

COSO 2013 - MICI

2016

CP Luz María Ortiz Rodríguez

[email protected]

PresentaciónCP Luz María Ortiz Rodríguez

Perito contable y especialista en control interno y riesgos. CCSA enproceso

Trece años de experiencia en el sector empresarial en México y enEspaña.

Veinte años de experiencia en el gobierno de México, dirigiendo: controlde gestión, administración de personal, presupuesto por programas,finanzas, recursos materiales; con experiencia en organización ysistemas informáticos, auditoría interna y creación de áreas.

Facilitador C.I., key-líder de calidad total en la SE y de gestión de cambioen proyectos para el SS.

Especialista en Capital Inteligente, Control Interno COSO 2013 y MICI,Administración de Riesgos, Gobierno Corporativo y Autoevaluación deControl Interno.

[email protected] @Luz_ORO

www.ortizortizabogados.com.mx

Objetivo General

Dotar de los conocimientos y herramientastécnicas para identificar los propósitos,objetivos, componentes, principios yherramientas de evaluación del sistemaestructurado de control interno COSO 2013y MICI, así como las principalescaracterísticas de un sistema de controlinterno efectivo, bajo las mejores prácticasinternacionales y la normativa de nuestroPaís.

LMOR | 3

ContenidoI. Introducción al marco de control interno

II. Iniciativas legales

III. Definición de Control Interno

IV. Modelos de Control Interno COSO 2013 – MICI

Objetivos, Componentes y Principios

i. Ambiente de Control

ii. Administración de riesgos

iii. Actividades de Control

iv. Información y Comunicación

v. Supervisión

V. Criterios de Eficacia y Herramientas de

Evaluación

VI. Beneficios y limitaciones del control interno

VII. Responsabilidades sobre el control interno

VIII. Criterios de Implantación del modelo

LMOR | 4

CONTROL INTERNO

COSO 2013 - MICI

I. Introducción al marco de control interno

LMOR | 5

LMOR | 6

Control Interno

De donde surge la necesidad del

control?

____________________________

____________________________

____________________________

____________________________

LMOR | 7

Control Interno

De donde surge la necesidad delcontrol?

delegación

objetivos particulares

falibilidad

otros intereses y objetivos propios

??

LMOR | 8

Mejores prácticas internacionales

• Definición común

• Evaluar

• Modelos de informes

1949.- Primera definición de control

interno, Instituto Americano de Contadores

Públicos Certificados (AICPA).

Septiembre, 1992.- “Marco Integrado de

Control Interno” conocido como COSO.

LMOR | 9

Enfoque moderno del control interno

USA. Marco Integrado de Control Interno COSO,

editado 1992 por el Committee of Sponsoring

Organizations of the Treadway Commission.

Marco más extendido y utilizado a nivel mundial.

Proceso de evolución, fue revisado y actualizado

en 2004 y en Mayo de 2013. COSO 2013.

LMOR | 10

Mejores prácticas internacionales

(UK)

(Francia)

(Sudáfrica)

COSO y CoCo. Los más utilizados hasta el

momento, en América.

CoCo (CANADA)CADBURY TURNBULL

COSO COBIT

PETERS (HOLANDA)KING

Vienot (USA)

LMOR | 11


COSO ha sido adoptado por el sector público

y privado en USA, por el Banco Mundial, el

Banco Interamericano de Desarrollo y

prácticamente en toda Latino América.

La Unión Europea también lo ha adoptado en

auditorías o consultorías de sus proyectos,

debido también a la globalización de las

empresas.

LMOR | 12


2004. COSO publica el Marco Integrado de la

Administración de Riesgos Corporativos

COSO-ERM. Enfoque más robusto sobre la

gestión integral de riesgo.

Mayo, 2013 se publicó la actualización a

COSO 2013, para dar respuesta a las

exigencias del ambiente de negocios y

operativo de globalización y tecnología.

LMOR | 13

Marco Integrado de Control Interno

COSO MIC

COMPONENTE

ACTIVIDAD

AC

TIV

IDA

D 1

AC

TIV

IDA

D 2

Antecedentes1992, COSO MIC

LMOR | 14

Modelo de control interno

COSO ERM

Ambiente Interno

Identificación de Eventos

Evaluación del Riesgo

Respuesta al Riesgo

Establecimiento Objetivos

Actividades de Control

Información y Comunicación

Monitoreo

Objetivos

Componente

Entidad

Fuente: COSO-ERM, 2005

Antecedentes2004, COSO-ERM

LMOR | 15

Modelo COSO 2013

Marco Integrado de Control Interno17 Principios

CO

MPO

NEN

TE

CO

MPO

NEN

TE

COMPONENTES DE COSO 2013

17 P

RIN

CIP

IOS D

E C

OSO

2013

LMOR | 16

LMOR | 17


COSO 2013 enfatiza los siguientes cambios:

Objetivos estratégicos.

Tecnología de la Información.

Gobierno Corporativo.

Información financiera y la No financiera.

Consideración contra el fraude.

Aplica a diferentes modelos de negocio y estructuras organizacionales.

Actualiza los roles y responsabilidades de los distintos participantes en el proceso.

Ejes principales de la importancia del

sistema de control interno

1) Autoevaluación sobre la efectividad de

su control interno;

2) Auditoría externa debe emitir dictamen

sobre la efectividad del control interno

como base para la generación de la

información financiera.


LMOR | 17

CONTROL INTERNO

COSO 2013 - MICI

II. Iniciativas legales

LMOR | 19

LMOR | 20

Cuál fue el (los) componente(s) del Control Interno que fueron debilitados en el caso de ENRON?:

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

LMOR | 21

Surgimiento de Iniciativas legales

La corrupción y fraudes filtrados también encorporaciones internacionales de prestigio, acausa de no manejar un control confiable,transparente, claro, integro y responsable.

Y para fortalecer el Control Interno, se incluye,la responsabilidad de los miembros de losConsejos de Administración de las diferentesactividades económicas de cualquierorganización o país.

Marco Legal

USA

La ley Sarbanes-Oxley Act, obliga a todas las

empresas que cotizan en bolsa a adoptar

sistemas de control interno robustos. (SOX)

INTOSAI*

* Organización Internacional de Entidades Fiscalizadoras

Superiores

Expide la Guía para las Normas de Control

Interno del Sector Público, basada en COSO, con

enfoque a la Administración Pública.

LMOR | 8

México

SFP establece el Modelo Estándar de Control

Interno (MECI) en julio de 2010, reformado

en 2011, 2012 y en mayo de 2014,

denominado:

• ACUERDO de Disposiciones en Materia de Control

Interno y

• Manual Administrativo de Aplicación General en

Materia de Control Interno.

Marco Legal

LMOR | 9

México

En noviembre de 2014 la ASF y la SFP publican:

• Marco Integrado de Control Interno en el

Sector Público (MICI)

• Guías de Autoevaluación de Riesgos

• Guías de Autoevaluación de Riesgos a la

Integridad

• Guía para Implementar un Programa de

Promoción de la Integridad y Prevención

de la Corrupción

• Manual del Sistema Automatizado para la

Autoevaluación de Riesgos

Marco Legal

Aplica un enfoque basado en 17

principios.

Establece objetivos estratégicos como

condición previa a la fijación de los

objetivos de Control Interno.

Refleja la relevancia de la Tecnología de

la Información.

LMOR | 25

MICI - COSO 2013

LMOR | 26

Fortalece los conceptos de Gobierno

Corporativo.

Amplía el objetivo del reporte financiero,

pasando a ser reporte en general.

Fortalece la consideración de las

expectativas contra el fraude.

Considera los diferentes modelos de

negocio y estructuras organizacionales.

MICI - COSO 2013

La Gobernanza Pública*

Como el conjunto de procesos,

estructuras, disposiciones formales y

valores que guían y controlan las

actividades institucionales, es un

elemento clave que contribuye a que las

organizaciones alcancen sus objetivos de

manera eficaz, eficiente y económica, de

acuerdo con sus características propias y

el mandato al que están sujetas.

*ASF

Gobernanza Pública

Organismos como INTOSAI, ONU, OCDE,

Banco Mundial, The IIA e IFAC, abordan

este concepto, señalando que el Control

Interno, la Administración de Riesgos y la

Promoción de la Integridad, entre otros,

son elementos indispensables de la

Gobernanza.

Etapas de un Plan de Transición sugerido:

1. Educar y comunicar:

o Revisión del Marco Integrado de Control Interno

o Capacitación del personal clave a cargo del control interno

o Comprensión de los principios relevantes a la entidad.

2. Auto Evaluación preliminar

o Mapeo de los 17 principios

o Identificar brechas

o Estimación de esfuerzos adicionales.

3. Completar la evaluación y desarrollar el plan de acción

o Evaluación integral

o Identificar cambios en controles y su documentación

o Desarrollar plan de acción.

4. Ejecutar el plan de acción

o Remediar deficiencias de control y/o de documentación

Si como resultado del plan de transición se observan

brechas significativas debe establecerse un plan

correctivo.

CONTROL INTERNO

COSO 2013 - MICI

III. Definición de Control Interno

LMOR | 31

LMOR | 32

El control interno es un proceso efectuado por el

consejo de administración de la entidad, sus gerentes

y demás personal, diseñado para proporcionar una

seguridad razonable de acuerdo con los siguientes

objetivos:

• De operación

• Presentación de informes

• Cumplimiento

Control interno

Definición COSO 2013

Definición de Control Interno

Guía INTOSAI

Proceso integral efectuado por la administración y elpersonal, diseñado para administrar los riesgos yproveer una seguridad razonable de que en laconsecución de la misión de la entidad, sealcanzarán los objetivos:

Ejecución de las operaciones de manera ordenada, ética, económica, eficiente y efectiva.

Cumplimiento de las obligaciones de responsabilidad;

Cumplimiento con leyes y regulaciones;

Salvaguarda de los recursos contra pérdida, uso indebido y daño.


MICIProceso efectuado por el Órgano de Gobierno, elTitular, la Administración y los demás servidorespúblicos de una Institución, con objeto deproporcionar una seguridad razonable sobre laconsecución de los objetivos institucionales, lasalvaguarda de los recursos públicos y prevenir lacorrupción.

Objetivos y sus riesgos:a) Operaciónb) Informaciónc) Cumplimiento


MICI

Incluye planes, métodos, programas, políticas yprocedimientos utilizados para alcanzar elmandato, la misión, el plan estratégico, losobjetivos y las metas.

Es línea de defensa en la salvaguarda de losrecursos y la prevención de actos decorrupción.

Ayuda a la administración eficaz de todos losrecursos, tecnológicos, materiales, humanos yfinancieros.

Es parte intrínseca de la gestión de procesosoperativo, y no como un sistema separado.

Es el proceso que tiene

como fin proporcionar un

grado de seguridad

razonable en la

consecución de los

objetivos de una

institución.

Control interno

Definición (IIA)

LMOR | 10

LMOR | 37

a) Promover la eficiencia y eficacia en las

operaciones

b) Asegurar la confiabilidad en la información

financiera.

c) Mantener el cumplimiento con las leyes y

regulaciones aplicables.

Control interno

Objetivos del control interno (IIA)


Es un Proceso efectuado

para lograr un fin y no un

fin en sí mismo.

Lo llevan a cabo las Personas, no los manuales,

sistemas y procedimientos.

Están definidos los Responsables claramente.


Participan todos a

todos los niveles.

Facilita la consecución

de los objetivos.

Aporta un grado de seguridad razonable.

Debe tender al logro del:

Autocontrol, Liderazgo, Integridad,

Calidad, Responsabilidad y Cumplimiento.


Proceso de gestión: Conjunto de acciones emprendidas por la dirección para

gestionar una entidad. El sistema de control interno, forma parte de dicho proceso y

está integrado en él.

Diseño: El diseño del sistema, tiene como

propósito proporcionar un grado de seguridad razonable acerca de la

consecución de los objetivos. Cuando dicho propósito se logra, se puede considerar que

sistema es eficaz.


Seguridad razonable: El control

interno, por muy bien diseñado y ejecutado que

esté, no puede garantizar al 100% que los objetivos de una entidad se consigan, debido a las limitaciones

inherentes de todo sistema de control interno.

Limitaciones inherentes: Son propias a

todo sistema de control interno. Estas limitaciones resultan de lo limitado del

juicio humano, la escasez de recursos y la necesidad de

considerar el costo-beneficio de los controles, el riesgo de

crisis del sistema, la posibilidad de elusión de los

controles por parte de la dirección y el riesgo de

confabulación.

CONTROL INTERNO

COSO 2013 - MICI

IV. Modelos de Control Interno COSO 2013 – MICI

Objetivos, Componentes y Principios

i. Ambiente de Control

ii. Administración de riesgos

iii. Actividades de Control

iv. Información y Comunicación

v. Supervisión

LMOR | 42

Objetivos del control interno

Control Interno

Misión

Objetivos

Particulares

Visión

Objetivos

Estratégicos Riesgos

Estrategia…

…

FODA

Planeación Estratégica

Objetivos de Control Interno


SISTEMA NACIONAL DE PLANEACION

PLAN NACIONAL DE DESARROLLO

PROGRAMAS SECTORIALES Y ESTRATEGICOS

PLANES ESTATALES DE DESARROLLO

PROGRAMAS OPERATIVOS ANUALES

POLITICAS Y PROGRAMAS INSTITUCIONALES

Estratégicos: alineados con la misión y visión.

Operativos: vinculados al uso efectivo de los

recursos.

Información: relacionados con la confiabilidad

de los reportes e informes.

Cumplimiento: de leyes y regulaciones

aplicables.

Salvaguarda de activos: salvaguarda de los

recursos contra pérdida, uso indebido y daño.

Categorías de Objetivos


LMOR | 47

Modelo COSO 2013

Marco Integrado de Control Interno17 Principios

CO

MPO

NEN

TE

LMOR | 48

Operacionales

Eficacia y la eficiencia de las

operaciones de la entidad,

incluyendo metas de

desempeño operativo y

financiero, así como la

protección de los activos contra

pérdidas.

Control interno

Objetivos COSO 2013

LMOR | 49

Información

Reportes internos y externos; financieros y no

financieros, y pueden abarcar fiabilidad, oportunidad,

transparencia u otras condiciones establecidas por los

organismos reguladores, órganos normativos o las

políticas internas de la entidad.

Control interno

Objetivos COSO 2013

LMOR | 50

Cumplimiento

Adhesión a las leyes y reglamentos a

los que la entidad está sujeta. Pueden

abarcar más de una categoría al

abordar diferentes necesidades y

puede ser de responsabilidad directa

de diferentes individuos. Las

categorías también indican lo que se

puede esperar del control interno.

Control interno

Objetivos COSO 2013


MICIObjetivos y sus riesgos:

Operación. Se refiere a la eficacia,eficiencia y economía de las operaciones.

Información. Consiste en la confiabilidad delos informes internos y externos.

Cumplimiento. Se relaciona con el apego alas disposiciones jurídicas y normativas.

Características del Control Interno

MICI

Es acorde con el tamaño,

estructura y circunstancias específicas y

mandato legal de la institución

Contribuye de manera eficaz,

eficiente y económica a

alcanzar las 3 categorías de

objetivos


MICI

Asegura razonablemente la salvaguarda de los recursos públicos,

la actuación honesta de todo el

personal y la prevención de actos

de corrupción

El Titular es responsable de establecer los

objetivos institucionales de control interno.


MICI

Implementar controles

adecuados y suficientes en toda la institución

Supervisar y evaluar el

control interno

periodicamente

Mejorar de manera

continua el control interno, conforme a las evaluaciones y

revisiones

El Titular asigna a determinadas unidades

la responsabilidad de:

LMOR | 55

Definición de componentes y

principios

Los 17 Principios

LMOR | 56

COMPONENTES

Puntos

de

Enfoque

4

5

3

4

5

5

5

4

3

6

4

6

5

4

5

7

4

COMPONENTE

AMBIENTE DE CONTROL

REFLEXIONES:

• Cultura

• Valores

• Ética

• Códigos verbales culturales

• Códigos no verbales culturales

• Estilo de liderazgo

COSO

Integridad y valores éticosEntorno y clima organizacional

de respeto e integridad, compromiso y valores éticos

Competencia profesional Definición de responsabilidades

Atmósfera de confianzaDesagregación y delegación de funciones

Filosofía y estilo de direcciónPrácticas adecuadas de

administración de los recursos humanos

Estructura, plan de organización, y manuales

Asignación de autoridad y responsabilidad

Políticas de administración y desarrollo del personal

Componente Ambiente de Control

LMOR | 59

LMOR | 60

Ambiente de control

1. Compromiso de la Organización con la integridad y

los valores éticos.

2. Independencia del Consejo de Administración en la

gestión y supervisión del desarrollo y ejecución del

control interno.

3. La alta dirección debe establecer, con la supervisión

del Consejo de Administración: la estructura, líneas

de reporting, autoridad y responsabilidad en la

consecución de objetivos.

COSO 2013: Principios

LMOR | 61

4. La Organización debe demostrar su compromiso

para atraer, desarrollar y retener personas

competentes.

5. En la consecución de los objetivos, la

Organización debe disponer de las personas

adecuadas para atender sus responsabilidades

de Control Interno.

Ambiente de control


LMOR | 62

Principio 1 – Mostrar Actitud de Respaldo y

CompromisoCon la integridad, los valores éticos, las normas de conducta, así

como la prevención de irregularidades administrativas y la

corrupción.

Puntos de Interés

• Actitud de Respaldo del Titular y la Administración

• Normas de Conducta

• Apego a las Normas de Conducta

• Programa de Promoción de la Integridad y Prevención de la

Corrupción

• Apego, Supervisión y Actualización Continua del Programa de

Promoción de la Integridad y Prevención de la Corrupción

MICI: Ambiente de control

Programa de Promoción de la Integridad y Prevención

de la Corrupción en el Sector Publico.

Etapas:

1. Liderazgo y responsabilidades del programa.

2. Establecimiento de un programa de prevención de corrupción.

3. Mejora del Ambiente de Control.

4. Administración y evaluación de riesgos de corrupción.

5. Actividades de control anticorrupción.

6. Capacitación sobre anticorrupción.

7. Información y comunicación.

8. Supervisión.

LMOR | 63

Ambiente de control

El Plan Estratégico debe contener los siguientes:

Comité de Ética

Código de Ética (moral)

Código de Conducta (institucional)

Línea de denuncia

Difusión

Capacitación y Cultura de Integridad

LMOR | 64

Ambiente de control

COMITES DE AUDITORIA Y ETICA

LMOR | 65

Principio 2 – Ejercer la Responsabilidad de Vigilancia

El Órgano de Gobierno / Titular es responsable de

supervisar el funcionamiento del control interno.

Puntos de Interés

• Estructura de Vigilancia

• Vigilancia General del Control Interno

• Corrección de Deficiencias


LMOR | 66

Principio 3 – Establecer la Estructura, Responsabilidad

y Autoridad

Conforme al marco legal, contar con la estructura

organizacional, responsabilidades y delegación de

autoridad para alcanzar los objetivos institucionales,

preservar la integridad, prevenir la corrupción y rendir

cuentas de los resultados alcanzados.

Puntos de Interés

• Estructura Organizacional

• Asignación de Responsabilidad y Delegación de

Autoridad

• Documentación y Formalización del Control Interno


LMOR | 67

Principio 4 - Demostrar Compromiso con la

Competencia Profesional

Contratar, capacitar y retener profesionales

competentes.

Puntos de Interés

• Expectativas de Competencia Profesional

• Atracción, Desarrollo y Retención de Profesionales

• Planes y Preparativos para la Sucesión y Contingencias


LMOR | 68

Principio 5 – Establecer la Estructura para el

Reforzamiento de la Rendición de Cuentas

Evaluar el desempeño del control interno y hacer

responsables a todo el personal por sus obligaciones.

Puntos de Interés

• Establecimiento de una Estructura para

Responsabilizar al Personal por sus Obligaciones de

Control Interno

• Consideración de las Presiones por las

Responsabilidades Asignadas al Personal


Criterios de Evaluación

Contar con un Código de Ética y un Código de Conducta Formal

Medios de difusión de los códigos de ética y de conducta

Método de evaluación del apego a los Códigos de Ética y de Conducta Institucional

Obligatoriedad de una declaración de cumplimiento a los Códigos

LMOR | 69

Ambiente de control


Contar con un Comité de Ética formal

Procedimiento de investigación de posibles actos contrarios a la ética

Mecanismos para captar denuncias de posibles actos contrarios a la ética y al código de conducta

Informes a instancias superiores sobre las denuncias de los actos contrarios a la ética y al código de conducta

LMOR | 70

Ambiente de control

Informe periódico al Órgano de Gobierno sobre el funcionamiento general del Sistema de Control Interno

Actualización profesional para el Comité de Control y Desempeño Institucional

Capacitación permanente en temas de ética e integridad; control interno y evaluación; administración de riesgos y evaluación; sobre prevención, disuasión, detección y corrección de posibles actos de corrupción


Ambiente de control

Obligación de actualizar el modelo de control interno en sus respectivos ámbitos

Lineamiento de difusión sobre la obligatoriedad de cumplir con el control interno y la administración de riesgos


Ambiente de control

COMPONENTE

ADMINISTRACION DE RIESGOS

Los 17 Principios

de COSO 2013

LMOR | 74

COMPONENTES

87

Puntos

de

Interés

4

5

3

4

5

5

5

4

3

6

4

6

5

4

5

7

4

Componente: Evaluación de riesgos

Definición de Administración de Riesgos.

Proceso dinámico e interactivo para identificar,

evaluar, priorizar, supervisar y responder a

aquellos riesgos que, en caso de materializarse,

podrían impactar negativamente el logro de los

objetivos.

Dinámica

Dubai.- Proyecto Islas The World

Identificar los posibles riesgos

76

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

________________________________________________________

LMOR | 77

6. Especificar los objetivos con claridad para permitir

la identificación y evaluación de los riesgos

relacionados.

7. Identificar y evaluar sus riesgos.

8. Gestionar el riesgo de fraude.

9. Identificar y evaluar los cambios importantes que

podrían impactar en el sistema de control interno.

Evaluación de riesgos


LMOR | 78

6 – Definir Objetivos y Tolerancias al Riesgo

7 – Identificar, Analizar y Responder a los Riesgos

8 – Considerar el Riesgo de Corrupción• Tipos de Corrupción

• Factores de Riesgo de Corrupción

• Respuesta a los Riesgos de Corrupción

9 – Identificar, Analizar y Responder al CambioCambios significativos que puedan impactar el control

interno.• Identificación del Cambio

• Análisis y Respuesta al Cambio

MICI: Evaluación de riesgos

LMOR | 79

Principio 6 – Definir Objetivos y Tolerancias al

Riesgo◦ Definición clara de los Objetivos Institucionales,

difundidos a todos los niveles. Específicos y Medibles

con indicadores y otros instrumentos que permitan su

evaluación.

◦ Tolerancia al Riesgo. Nivel aceptable de variación para

cada categoría de objetivos: de Operación, de

Información no financiera y financiera. Consistentes

con los requerimientos y las expectativas. Dentro del

contexto legal, ético y de integridad.


LMOR | 80

Estratégicos: los de más alto nivel, alineados con la misión

y visión de la entidad

Operativos: vinculados al uso efectivo de los recursos

Información: relacionados con la confiabilidad de los

reportes e informes

Cumplimiento: relativos al cumplimiento de leyes y

regulaciones aplicables

Salvaguarda de activos: relacionados con la salvaguarda

de los recursos contra pérdida, uso indebido y daño


Categorías de Objetivos

LMOR81

Tolerancia al Riesgo

La Administración es quien debe definir la tolerancia al riesgo para los

objetivos.

Tolerancia es el nivel aceptable de diferencia entre el cumplimiento

cabal del objetivo y su grado real de cumplimiento.

La tolerancia es usualmente medida con las mismas normas e

indicadores de desempeño que los objetivos.

Dependiendo de la categoría de los objetivos, las tolerancias al riesgo

pueden ser expresadas como sigue:

LMOR82

Tolerancia al Riesgo

• De Operación. Nivel de variación en el desempeño en relación con el riesgo.

• De Información no Financieros. Nivel requerido de precisión y exactitud para

las necesidades de los usuarios; implican consideraciones tanto cualitativas

como cuantitativas para atender las necesidades de los usuarios de informes no

financieros.

• De Información Financieros. La relevancia depende de las circunstancias que

los rodean; tanto cualitativas como cuantitativas y se ven afectados por las

necesidades de los usuarios de los informes financieros, así como por el tamaño

o la naturaleza de la información errónea.

• De Cumplimiento. El concepto de tolerancia al riesgo no le es aplicable. La

institución cumple o no cumple las disposiciones aplicables.

LMOR | 83

Principio 7 – Identificar, Analizar y Responder a

los Riesgos

Puntos de Interés:

◦ Identificación de Riesgos

◦ Análisis de Riesgos

◦ Respuesta a los Riesgos


LMOR | 84


COSO ERM reconoce

como componentes:

COSO 2013.

EVALUACIÓN DE LOS

RIESGOS añade:

• Establecimiento de objetivos.

• Identificación de eventos

• Evaluación de riesgos

• Respuestas a los riesgos

• Velocidad de riesgo.- rapidez con la que

impacta un riesgo, una vez este se ha

materializado (hace referencia al ritmo

con el que se espera que la entidad

experimente el impacto).

• Resilencia de un riesgo.- duración del

impacto después de que el riesgo se haya

materializado.

85

Clasificación de riesgos

Discrecionales. Resultan de la toma de una posición de riesgo.

• Crédito

• Liquidez

• Mercado

No discrecionales.Aquellos que afectan la operación o actividad

Riesgos de Auditoría

• Riesgo Inherente

• Riesgo de Control (control deficiente o inexistente)

• Riesgo de Detección

LMOR | 86

• Riesgo Estratégico

• Riesgo Financiero (C-M-L)

• Riesgo Operacional

• Riesgo Legal

• Riesgo Reputacional

• Riesgo de Fraude

• Riesgo Tecnológico



• Incumplimientos

• Errores

• Negligencia

• Documentación inadecuada

• Interrupción en el proceso de las operaciones

• Acceso a los sistemas

• Obsolescencia tecnológica

• Personal incompetente

• Fraude,

• Conflicto de intereses

• Registro contable incorrecto, etc.

LMOR | 87


Clasificación de riesgos. Operacional

LMOR | 88

Principio 8 – Considerar el Riesgo de CorrupciónEl Programa de Promoción a la Integridad debe considerar los

riesgos de corrupción, con mecanismos permanentes para

captar información de manera confidencial y anónima.

La Administración con apoyo del Comité de Ética, Comité de

Riesgos, Comité de Cumplimiento, etc., debe considerar la

prevención de la corrupción.

Puntos de Interés:

• Tipos de Corrupción

• Factores de Riesgo de Corrupción

• Respuesta a los Riesgos de Corrupción


89

Fraude: Acto ilegal

caracterizado por engaño,

ocultación o violación de

confianza. No requiere de la

aplicación de amenaza,

violencia o fuerza física.

Perpetrados por individuos o

por organizaciones para obtener

dinero, bienes o servicios, para

evitar pagos o pérdidas de

servicios, o para asegurarse

ventajas personales o de

negocio.

Triángulo del Fraude: sistema desarrollado por el Doctor Donald

Cressey, criminólogo estadounidense.

Presión

Oportunidad

Justificación

Evaluación del Riesgo de Fraude

Considera diversos tipos de fraude:

Informes financieros / no financieros fraudulentos

Malversación de activos

Corrupción

Elusión o anulación de la administración

Evalúa incentivos y presiones

Evalúa las oportunidades al fraude

Evalúa las actitudes y las racionalizaciones

LMOR | 90


Principio 8

Tipos de Corrupción:

Informes financieros / no financieros fraudulentos

Apropiación o utilización indebida de activos

Conflicto de intereses

Pretensión de beneficios adicionales

Inducir a un tercero para la obtención de un beneficio.

Coalición con terceros

Trafico de influencias

Enriquecimiento ilícito

Peculado

Intimidación o extorsión para actividades ilegales/ilícitas

LMOR | 91

Principio 8 Riesgo de Corrupción

Evaluación del Riesgo de Corrupción

Factores de Riesgo de Corrupción:

Fraude, abuso, desperdicio y otras irregularidades.

Incentivos / Presiones

Oportunidad

Actitud / Racionalización

LMOR | 92

Principio 8 Riesgo de Corrupción

LMOR | 93

8.1 – Tipos de Corrupcióno Informes financieros fraudulentos.

o Apropiación indebida de activos.

o Conflicto de intereses.

o Utilización de recursos y facultades para fines distintos a los legales.

o Pretensión de beneficios adicionales.

o Participación por interés personal, familiar o de negocios, o que pueda

derivar en ventaja o beneficio para el funcionario o tercero, en la

selección, nombramiento, designación, contratación, promoción,

suspensión, remoción, cese, rescisión de contrato o sanción de s.p.

o Aprovechamiento del cargo o comisión para inducir, a que se efectúe,

retrase u omita un acto que le reporte beneficio, provecho o ventaja.

o Coalición para obtener beneficios.

o Intimidación o extorsión para realizar actividades ilegales /ilícitas.

o Tráfico de Influencias.

o Enriquecimiento ilícito.

o Peculado.


LMOR | 94

8.2 – Factores de CorrupciónO bien fraude, abuso, desperdicio y otras

irregularidades.

Factores que usualmente están presentes:

◦ Incentivos/Presiones.

◦ Oportunidad.

◦ Actitud/Racionalización que justifica. Ya sea actitud,

carácter o valores éticos.

8.3 – Respuesta a los riesgos de corrupción


LMOR | 95

Principio 9 – Identificar, Analizar y Responder al

CambioCambios significativos que puedan impactar el control

interno.

Puntos de Interés:

• Identificación del Cambio

• Análisis y Respuesta al Cambio


Identifica y analiza cambios significativos.

Evalúa cambios en el entorno externo

Evalúa cambios en el modelo de negocio

Evalúa cambios en el liderazgo

LMOR | 96


Principio 9

• Sucesos internos y externos con repercusión

en los objetivos;

• Riesgos y oportunidades;

• Combinación e interacción de factores

internos y externos que modifiquen el perfil

del riesgo

LMOR | 97

Identificación de eventos


Identificación de riesgos

98

Internos

• Infraestructura

• Estructura de la

administración

• Personal

• Procesos

• Acceso a los bienes

• Tecnología

Externos

• Económicos

• Medio ambientales

• Políticos / Reglamentación

• Operaciones en el

extranjero

• Sociales

• Tecnológicos

Factores



LMOR | 98

• Inventarios de eventos (información estadística)

• Análisis de información histórica

(empresa/sector)

• Entrevistas y sesiones grupales guiadas por

facilitadores

• Análisis de flujos de procesos

LMOR | 99

Técnicas de Identificación



Técnicas de identificación

LMOR | 100

Técnicas para identificación

de riesgos

Talleres de análisis

Mapeo de procesos

Análisis de entorno interno y externo

Lluvia de ideas

Análisis de indicadores de gestión,

desempeño y riesgosEntrevistas

Cuestionario a mandos

superiores y medios

Análisis comparativo

Registros de riesgos

materializados

Talleres de Autoevaluación de riesgos

• Análisis de probabilidad e impacto

• Evaluación bajo una doble perspectiva: riesgo inherente y

riesgo residual.

• Considera el riesgo aceptado

• Horizonte en el tiempo

• Velocidad.- rapidez con la que impacta un riesgo, una vez

este se ha materializado (hace referencia al ritmo con el

que se espera que la entidad experimente el impacto).

• Resilencia.- duración del impacto después de que el

riesgo se haya materializado.

LMOR | 101


• Combinación de técnicas cualitativas y cuantitativas

• Cualitativas: Dosis de subjetividad

Empleo del criterio y conocimientos de la entidad

Probabilidad e impacto se expresan en

expresiones adjetivas: alta, media, baja, etc.

Mitigación de subjetividad: datos de eventos

anteriores observables; equipos multidisciplinarios

LMOR | 102


Metodología de evaluación

LMOR | 103

• Cuantitativa: mayor objetividad

Empleo de estadísticas y modelos matemáticos

Probabilidad e impacto se expresan en términos de

porcentaje, frecuencia y ocurrencia, escenarios o

derivados de otras métricas numéricas

• Evaluación: Probabilidad de Ocurrencia por el

Impacto del evento

• Velocidad de impacto y la Resilencia o duración del

efecto

• Priorización. Escala de mayor a menor. Riesgos clave


Metodología de evaluación

• Riesgos evaluados y priorizados

• Mapa Simple de Priorización y Respuesta

• Alinear acciones con el riesgo aceptado y las

tolerancias al riesgo de la entidad

• Relación costo-beneficio de las acciones

• Concluye en un Plan de Respuesta a los riesgos

LMOR | 104

Base para respuestas


Respuesta a los riesgos

Consideraciones gerenciales ante las respuestas:

• Efectos de las respuestas potenciales sobre la

probabilidad y el impacto del riesgo.

• Opciones de respuesta que están en línea con las

tolerancias al riesgo de la entidad.

• Costos versus Beneficios de las opciones.

• Detectar Oportunidades para alcanzar los objetivos de

la entidad.

LMOR | 105



LMOR | 106

Acciones de respuestas

EVITAR

Supone eliminar la fuente de riesgo

ACEPTAR

Implica no emprender ninguna acción

REDUCIR

Acciones para reducir la probabilidad o el

impacto

COMPARTIR

Trasladar o compartir con seguros, coberturas,

tercerización, etc

Efecto potencial y las opciones de respuesta

se alinean a la TOLERANCIA

Segregación de funciones para dar respuesta al riesgo

COSTO-BENEFICIO de posibles respuestas



LMOR | 107

Priorización-Respuesta


Baja probabilidad –

Bajo impacto

Tolerancia

Alta probabilidad –

Alto impacto

Procedimientos de

control y Planes de

contingencia


Alto impacto

Planes de

contingencia

BajoA

lto

Ba

joAlto


Bajo impacto

Procedimientos de

control

Imp

ac

toProbabilidad

Administración de Riesgo


Evaluación de controles

Valoración final del riesgo

Mapa de riesgos

Estrategias y Acciones de

control

Etapas Proceso ARI

LMOR | 108



Identificación de factores de riesgos

Identificación de posibles efectos

Valoración inicial impacto

Valoración inicial probabilidad ocurrencia


Etapa. Evaluación de riesgos

LMOR | 109

• Tipificación de controles:

Preventivo, detectivo o correctivo

• Identificar deficiencia, suficiencia y grado de control de riesgos

• Descripción de controles existentes

• Comprobación de existencia o no de controles I II

IIIIV

Etapa: Valoración final del riesgo. Valoración final al impacto y probabilidad de

ocurrencia del riesgo con la confronta de los resultados de las etapas de evaluación

de riesgos y de controles.

Administración de riesgo (ARI)

Etapa: Evaluación de controles

LMOR | 110

LMOR | 111

Identificación

de los

Objetivos

Identificación

de los

Riesgos

Cuantificación

Impacto

y Probabilidad

de Ocurrencia

de Riesgos

Identificación

de los

Controles

Evaluación

de Efectividad

de los

controles

Identificación

de brecha entre

riesgos y

Controles

(exposición)

MATRIZ DE RIESGOS


Matriz de riesgos

• Riesgos identificados

• Roles y responsabilidades

Contenido

Plantilla de categorización y niveles de severidad para

probabilidad e impacto (valor 1, 2, 3 y color)

Etapas del Proceso, Tipo de riesgo, Descripción del riesgo,

Efecto, Nivel de Impacto, Nivel de Probabilidad, Evaluación

(calificación, valor y nivel de severidad)

Descripción de respuesta al riesgo.

Priorización de atención

Monitoreo

LMOR | 112


Matriz de riesgos

Los riesgos de ubican por cuadrantes en la Matriz de

Administración de Riesgos y se grafican en el Mapa de

Riesgos.

La representación gráfica del Mapa de riesgos comprende

los siguientes cuadrantes

Mapa de riesgos

institucional

Cuadrante I

Riesgos de

atención

inmediata

Cuadrante II

Riesgos de

atención

periódica

Cuadrante III

Riesgos de

seguimiento

Cuadrante IV

Riesgos

Controlados.

LMOR | 113

Matriz de riesgos

institucional

LMOR | 114

Matriz de riesgos

LMOR |

115

Etapas en la administración

de Riesgos

Identificación,

selección y descripción de riesgos.

Clasificación de los riesgos.

Identificación de

factores de riesgo.

Identificación de los posibles

efectos de los riesgos.

Valoración inicial del grado de impacto.

Valoración inicial de la probabilida

d de ocurrencia.

LMOR | 116

Según

catálogo

1ª. Etapa para la

Evaluación de Riesgos

(sin controles)

Descripción de los controles existentes.

Descripción de los factores que

sin ser controles

promueven su aplicación.

Descripción del tipo de control:

preventivo, correctivo y/o

detectivo.

Determinar la suficiencia,

deficiencia o inexistencia del

control.

2ª. Etapa: Evaluación de

Controles

LMOR | 117

Asignar valor final al impacto y probabilidad de ocurrencia del

riesgo.

Establecer criterios para determinar la valoración final del

impacto y probabilidad de ocurrencia del riesgo , así como su ubicación en el cuadrante del MRI.

3ª. Etapa: valoración de

riesgos respecto a

controles

LMOR | 118

Los productos generados

serán:

•La Matriz de Riesgos

•El Mapa de Riesgos

•Las Estrategias y acciones para atender los riesgos

•El Programa de Trabajo de Administración de Riesgos (PTAR)


4ª y 5ª Etapa

LMOR | 119

• Riesgos de seguimiento

• Riesgos controlados

• Riesgos de atención inmediata

• Riesgos de atención periódica

II I

IIIIV

Cuadrantes del Mapa

de riesgos

institucional


Etapa: Elaboración del mapa de riesgos

LMOR | 120

El PTAR institucional que debe contener:

Los riesgos;

Los factores de riesgo;

Las estrategias para administrar los riesgos, y

Las acciones de control registradas en la Matriz de

Administración de Riesgos Institucional, las cuales deberán

identificar:

Unidad administrativa;

Responsable de su implementación;

La fechas de inicio y término;

Medios de verificación, y

Porcentaje de avances.


Seguimiento de estrategias

LMOR | 121

INICIO

Identificar y seleccionar los

riesgos institucionales.

Evaluar riesgos con grado de impacto y

probabilidad de ocurrencia.

Elaborar la Matriz de

Administración de Riesgos.

Elaborar el Mapa de Riesgos.

Establecer prioridades en la

atención de riesgos.

Definir estrategia y acciones para

administrar riesgos.

Seguimiento a la administración

de riesgos.

Análisis anual del comportamiento

de riesgos.

La Matriz de Administración de

Riesgos Institucional deriva en el Programa Anual de Trabajo y el

del Comité.

Monitoreo

LMOR | 122

Mapa de administración de riesgos

Grado de madurez del S.C.I.

ETAPA EFECTIVIDAD EFICIENCIA MEJOR PRACTICA

GRADO 0. INEXISTENTE 1. INICIAL 2. INTERMEDIO 3. AVANZADO 4. OPTIMO 5. MEJORA CONTINUA

CRITERIO

Las condiciones del

elemento de control

no existen.

Las condiciones

del elemento de

control están

definidas pero no

formalizadas.

Las condiciones del

elemento de control

están documentadas y

autorizadas.

Las condiciones del

elemento de control

están operando. Existe

evidencia documental

de su cumplimiento.

Las condiciones del

elemento de control están

operando. Existe evidencia

documental de su eficiencia

y eficacia.

Las condiciones del elemento de

control están en un proceso

institucionalizado de mejora

continua. Existe evidencia

documental de instancias internas

y externas evaluadoras y/o

fiscalizadoras de su eficiencia,

eficacia.

No está definido el

elemento de control.

Se ha definido el

elemento de

control.

Se ha definido el


Se ha definido el


Se ha definido el elemento

de control.

Se ha definido el elemento de

control.

No está

documentado el


Se ha documentado el

elemento de control

formalmente.


elemento de control

formalmente.


elemento de control

formalmente.

Se ha documentado el elemento

de control formalmente.

Condiciones

de

cumplimiento

de los

elementos de

control

No son capacitados

los responsables para

ejecutar y medir el


Existe evidencia de

que los responsables

son capacitados para

ejecutar y medir el


Existe evidencia de que los

responsables son

capacitados para ejecutar y

medir la eficiencia, eficacia

y calidad del elemento de

control.

Existe evidencia de que los

responsables son capacitados para

ejecutar y medir el elemento de

control.

No existe evidencia

del monitoreo del


Existe evidencia del

monitoreo del elemento de

control.

Existe evidencia formalizada del

monitoreo del elemento de

control.

No se mejora el


Existe evidencia de herramientas

para la automatización total y

mejora del elemento de control y

son utilizadas.

DISEÑO E IMPLANTACION

Tabla de grados de madurez del Sistema de Control Interno, criterios y condiciones de cumplimiento

LMOR | 123

EJERCICIO

Elaborar una matriz de riesgos con los

siguientes elementos:

-Descripción de las fases de un proceso

-Identificar los posibles riesgos

-Factores internos y/o externos

-Controles y su efectividad

-Diagnóstico finalLMOR | 124


Método de Difusión del Plan Estratégico, Objetivos y Metas, y áreas responsables.

Riesgos identificados y documentados.

ID Procesos sustantivos, soporte de objetivos y metas estratégicos; su evaluación y gestión de riesgos

ID Procesos adjetivos, su evaluación y gestión de riesgos

125

Administración de riesgo


Metodología definida para la Administración de Riesgos

Procedimiento para informar sobre posibles riesgos, sus fuentes internas o externas

Responsabilidades documentadas de procedimientos para la mitigación y administración de riesgos

126


Políticas de autorización de planes y programas de administración de riesgos: responsables, actividades de prevención, RIESGO RESIDUAL, contingencias, recuperación de desastres y capacitación para la implantación de programas.

INVENTARIO DE RIESGOS, responsables de su administración, su naturaleza y estado que guarda su control y administración

127



Comunicados periódicos al Órgano de Gobierno sobre la situación de los RIESGOS RELEVANTES.

Procedimientos para PROCESOS CRÍTICOS que afectan objetivos y metas relevantes, y sus programas de gestión de riesgos.

Procesos susceptibles a CORRUPCIÓN, su evaluación de riesgos, con acciones de prevención y mitigación

128



COMPONENTE:

ACTIVIDADES DE CONTROL

LMOR | 129

Actividad

2

Los controles son actividades incorporadas al

proceso que ayudan a prevenir o detectar la

ocurrencia de un evento de riesgo, omisión o

desviación, a fin de cumplir los objetivos

generales de la entidad y del proceso

Inicio FinActividad

1Actividad

4

Actividad

3

Actividad

5S/N

ACTIVIDADES DE CONTROL

Modelo de Flujo de

Proceso

Por el Momento en los que se desarrollan:

CORRECTIVO

DETECTIVO

PREVENTIVO

Tipos de Controles

ENTRADA SALIDAPROCESO ?

ADECUACIONES

PUNTO DE CONTROL

ENTRADA SALIDAPROCESO ?

ADECUACIONES

PUNTO DE CONTROL

ENTRADA SALIDAPROCESO?

ADECUACIONES

PUNTO DE CONTROL

CORRECTIVO: PERMITE

IDENTIFICAR ERRORES

POSTERIOR A SU

PRESENTACIÓN

DETECTIVO: ACTIVIDAD

QUE PERMITE IDENTIFICAR

ERRORES CUANDO OCURRE

EL RIESGO

Tipos de Controles

Controles Preventivos

Son los más eficaces y rentables porque se anticipan en gradorazonable a la ocurrencia de eventos indeseables o inesperados.

Controles Detectivos

Son menos efectivos que los preventivos, pero mejores que loscorrectivos.

Controles Correctivos

Son necesarios, pero deben privilegiarse los dos anteriores.

Controles Directivos

Fomentan o establecen condiciones o un ambiente que favorezcael sistema de C.I. en conjunto.

Segregación de funciones

Coordinación entre tareas

Documentación

Niveles de autorización

Registro oportuno y adecuado de transacciones y hechos

Acceso restringido a los recursos

Activos y registros

Rotación de personal en tareas clave

Control del sistema de información

Controles en TIC

Actividades de control

Técnicas

LMOR | 134

Tipos de Controles DESCRIPCION DEL CONTROL TIPO

Preventivo Detectivo Correctivo

LMOR | 136

Priorización-Respuesta



Bajo impacto

Tolerancia


Alto impacto

Procedimientos de

control y Planes de

contingencia


Alto impacto

Planes de

contingencia

BajoA

lto

Ba

joAlto


Bajo impacto

Procedimientos de

control

Imp

ac

toProbabilidad

LMOR | 137

Principios:

10 – Diseñar Actividades de Control

11 – Diseñar Actividades para los sistemas de

información

12 – Implementar Actividades de Control

MICI: Actividades de Control

LMOR | 138

Principio 10 – Diseñar Actividades de ControlDiseñar, actualizar y garantizar la suficiencia e

idoneidad de las actividades de control para el logro de

los objetivos y como respuesta a los riesgos.

Puntos de Interés:

Respuesta a los Objetivos y Riesgos

Diseño de las actividades de control apropiadas

Diseño de actividades de control en varios niveles

Segregación de funciones


LMOR | 139

Principio 11 – Diseñar Actividades para los sistemas

de informaciónLos objetivos del procesamiento de información incluyen:

Integridad, Exactitud y Validez.

Puntos de Interés:

Desarrollo de los sistemas de información

Diseño de los tipos de actividades de control apropiadas:

generales y de aplicación.

Diseño de la infraestructura de las TIC

Diseño de la administración de la seguridad

Diseño de la adquisición, desarrollo y mantenimiento de

las TIC


Se dividen en:

• controles generales

• controles de aplicación

relacionados entre sí y ambos ayudan a asegurar el

procesamiento de información completa y precisa.

Controles para tecnología de la información

LMOR | 140

Aplican a la forma en que son administrados los recursos

humanos, técnicos y financieros en los ambientes de las

TIC.

Se diseñan para cubrir el procesamiento de información

dentro de aplicaciones específicas de software.

Son diseñados para prevenir, detectar y corregir errores

en los flujos de información a través de los sistemas

informáticos.

Se categorizan en las tres fases fundamentales del ciclo

del proceso: Controles de Entrada, de Proceso y de

Salida.

Controles Generales TIC

LMOR | 141

Se centran generalmente en seis grupos:

Planeación y administración del programa de seguridad;

Controles de acceso de seguridad física y lógica;

Controles sobre el desarrollo, mantenimiento y cambios;

Controles del software de sistema, de control y monitoreo de acceso de uso y cambios;

Segregación de funciones;

Continuidad del servicio, contra desastres, respaldo y recuperación y planes de contingencia.

Controles Generales TIC

LMOR | 142

Controles Generales T.I.

Planeación y administración del programa de

seguridad de la entidad

El programa de planeación y administración de seguridad

provee un marco y ciclo continuo de actividad para el

riesgo gerencial. Incluye:

El desarrollo de políticas de seguridad,

La asignación de responsabilidades, y

El seguimiento de la correcta operación de los

controles relacionados con las computadoras.

LMOR | 143

Controles de acceso

Limitan o detectan el acceso a los recursos informáticos

(información, programas, equipos y facilidades),

Protegen contra modificaciones no autorizadas, pérdida y

exposición no deseada.

Controles sobre el desarrollo, mantenimiento y cambio del

software de aplicación

Previenen la utilización de programas no autorizados y/o

modificaciones a los programas existentes.


LMOR | 144

Controles de software del sistema

Limitan y realizan el seguimiento del acceso a programas potentes

y archivos sensibles que controlan el hardware de las

computadoras y

Aseguran las aplicaciones apoyadas por el sistema.

Segregación de Funciones

Previene que un individuo controle los aspectos clave de las

operaciones de las computadoras

Evita acciones o accesos no autorizados a los bienes o a los

archivos.


LMOR | 145

Continuidad del servicio

Sirve para asegurar que ante la eventualidad de un

siniestro, las operaciones críticas continúen sin

interrupción.

• Asegura la rápida recuperación de la

información.

• Garantiza que la operación se reanude

prontamente

• La información crítica o sensible sea protegida y

recuperada.

Controles Generales T.I

LMOR | 146

Ayudan a asegurar que las transacciones sean válidas,

autorizadas, procesadas e informadas de forma

completa y exacta. Se dividen en:

Controles de Insumo. Incluyen procesos que verifican

la confiablidad y exhaustividad de los datos

ingresados.

Controles de Proceso. Aseguran que los procesos se

desempeñan según lo previsto y la información se

mantiene completa y exacta durante la actualización.

Controles de Producto. Aseguran que la información

es exacta, grabada, recibida o revisada por personas

autorizadas.

Controles de Aplicación. TIC

LMOR | 147

LMOR | 148

Principio 12 – Implementar Actividades de

Control

Puntos de Interés:

Documentación y Formalización de

Responsabilidades a través de:

Políticas, manuales, lineamientos y otros

documentos similares.

Revisiones periódicas a las actividades de control


Controles Efectivos

Los controles excesivos y

complejos pueden contribuir a la

corrupción.

Poner énfasis en los controles

Anticorrupción.

CR

ITER

IOS D

E E

VA

LU

AC

IÓN

LMOR | 150

Programa formal de trabajo de control interno para los procesos

sustantivos y adjetivos mencionados en los criterios mencionados en el

componente de administración de riesgos

5 sistemas de información automatizados relevantes, a los que se les

haya aplicado evaluación de control interno y/o riesgos

Documento o procedimiento formal en el que se establezca la

obligatoriedad de evaluar y actualizar periódicamente las políticas y

procedimientos de los controles internos, relacionados con los procesos

sustantivos y adjetivos para logro de metas y objetivos institucionales

Evaluación de control interno a los procedimientos autorizados por el

cual se integra la información para la actualización trimestral de normas

de desempeño de los indicadores estratégicos, a fin de asegurar su

integridad y confiabilidad

Actividades de control

COMPONENTE:

INFORMACION Y COMUNICACION

LMOR | 151

Información

Establece la forma en que la

organización identifica, captura

e intercambia información de

una forma y en un período de

tiempo que le permita a las

personas llevar a cabo sus

responsabilidades.

Información y

comunicación

Definición

LMOR | 152

Comunicación

La comunicación efectiva debe fluir a través de toda

organización, de todos los componentes, la estructura

completa y partes externas.

Información y

comunicación

Definición

LMOR | 153

• Información y responsabilidad;

• Contenido y flujo de la información;

• Calidad de la información;

• Flexibilidad al cambio;

• Compromiso de la autoridad superior;

• Comunicación de valores organizacionales;

• Canales de comunicación.

Información y comunicación

Elementos

LMOR | 154

LMOR | 155

Principios:

13 – Usar información de Calidad.

14 – Comunicar internamente.

15 – Comunicar externamente.

MICI: Información y Comunicación

LMOR | 156

Principio 13 – Usar información de Calidad.

Puntos de Interés:

Identificar los requerimientos de información.

Expectativas de los usuarios internos y externos.

Datos relevantes de Fuentes Confiables tanto

internas como externas.

Datos procesados en información de calidad.

Apropiada, veraz, completa, exacta, accesible y

oportuna.


LMOR | 157

Principio 14 – Comunicar internamente.

Puntos de Interés:

Comunicación en toda la Institución.

Métodos apropiados de Comunicación:

Audiencia, Naturaleza de la información,

Disponibilidad; considerar los recursos utilizados.


LMOR | 158

Principio 15 – Comunicar externamente.

Puntos de Interés:

Comunicación con partes externas. A través de líneas

de reporte establecidas y autorizadas.

Métodos apropiados de Comunicación:

Audiencia, Naturaleza de la información,

Disponibilidad, Documental o medios; considerar los

recursos utilizados y los requisitos legales o

reglamentarios.


Financieros/ No Financieros Características

Usadas para cumplir

los requerimientos

externos

Preparados de acuerdo

a las normas

Pueden ser requeridos

y regulados por

contratos y acuerdos

Usados por el gerente

para negocios y

desiciones de mercado

Establecido por la

gerencia y la dirección

Los objetivos de la

información financiera

externa pueden estar

relacionados con:

• Estados Financieros

Anuales.

• Estados Financieros

Intermedios.

• Reportes trimestrales

Los objetivos de la

información no financiera

externa pueden estar

relacionados con:

• Informes d Control Interno

• Informes de sustentabilidad

• Procedimiento de

suministro/custodia de los

activos.

Reportes financieros

internos:

Información financiera por

área o división

Presupuestos / cash flow /

Presupuesto por programas

Compromisos financieros de

convenios bancarios

Los objetivos de la

información no financiera

interna pueden estar

relacionados con:

• Personal/ Utilización del

Activo

• Medidas de satisfacción del

cliente

• Medidas de Seguridad y

Salud

Inte

rnos

/ E

xte

rnos

LMOR | 159

CR

ITER

IOS D

E E

VA

LU

AC

IÓN

LMOR | 160

Plan de Sistemas de Información implantado, alineado y que dé soporte

al cumplimiento de objetivos y estratégicos

Planes de recuperación de desastres de datos, hardware y software

asociados directamente al logro de objetivos y metas, documentados.

Documentadas las Políticas, lineamientos y criterios para la elaboración

de informes relevantes respecto al logro del plan estratégico y sus

objetivos y metas, que promuevan la integridad, confiabilidad,

oportunidad y protección de la información

Información y comunicación

COMPONENTE:

SUPERVISIÓN

16. La Organización llevará a cabo evaluaciones

continuas e individuales, con el fin de comprobar

si los componentes de el control interno están

presentes y están funcionando.

17. Evalúa y comunica las deficiencias de control

interno.

Monitoreo


LMOR | 162

LMOR | 163

Principios:

16 – Realizar Actividades de Supervisión

17 – Evaluar los Problemas y Corregir las

Deficiencias

MICI: Supervisión

LMOR | 164

Principio 16 –

Realizar Actividades de Supervisión

Puntos de Interés:

Establecimiento de Bases de Referencia.

Supervisión del Control Interno.

Evaluación de Resultados.

MICI: Supervisión

LMOR | 165

Principio 17 –

Evaluar los Problemas y Corregir las

Deficiencias

Puntos de Interés:

Informe sobre Problemas

Evaluación de Problemas

Acciones Correctivas.

MICI: Supervisión

CR

ITER

IOS D

E E

VA

LU

AC

IÓN

LMOR | 166

Autoevaluaciones del control interno por parte de los

responsables de su funcionamiento en los dos últimos

ejercicios, de los procesos sustantivos y adjetivos con riesgos

detectados y evaluados

Procedimiento de los lineamientos y mecanismos para los

responsables de los procesos y controles internos, para

comunicar al Coordinador del Control Interno, sobre los

resultados de las evaluaciones y deficiencias detectadas, para

su seguimiento

Procesos sustantivos y adjetivos con riesgos detectados y

evaluados, a los que se llevaron a cabo auditorías internas o

externas en los dos últimos ejercicios

Monitoreo

CONTROL INTERNO

COSO 2013 - MICI

V. Criterios de Eficacia y

Herramientas de Evaluación

LMOR | 167

HERRAMIENTAS DE EVALUACION

Herramientas de evaluación

Para evaluar o autoevaluar el control interno

existen diversas herramientas técnicas tales como:

• Entrevistas,

• Dinámicas grupales,

• Mapa de procesos,

• Diagramas de flujo,

• Cuestionarios,

• Análisis documental,

• Encuestas, entre otras.

Se utilizan dependiendo del tipo y alcance de la

evaluación

LMOR | 169

Evaluación del control interno en la

Administración Pública Municipal

Etapas:

I. Planeación

1. Capacitación

2. Objetivo y Alcance

3. Universo

4. Normativa aplicable

5. Programa de actividades

LMOR | 170



Etapas:

II. Ejecución

1. Cuestionarios

2. Análisis documental y valoración de las

respuestas

III. Integración y presentación de resultados

1. Resultados total y por componente

2. Estrategias sugeridas para su fortalecimiento

3. Presentación de resultados por componente

y total del municipio, institución o delegación

LMOR | 171



Modelo de Evaluación (ASF):

1. Cuestionario para valoración

2. Parámetros de Valoración

Cuantitativos

3. Criterios para la valoración

4. Rangos de Valoración

LMOR | 172

http://www.asf.gob.mx/Publication/182_Metodologias_para_la_Evaluacion

CONTROL INTERNO

COSO 2013 - MICI

VI. Beneficios y limitaciones del control

interno

LMOR | 173

BENEFICIOS Y LIMITACIONES

CP Luz María Ortiz Rodríguez

CONSEJO DIRECTIVO O

DIRECCION EJECUTIVA

Responsables del Control

Importancia del Control

RESPONSABILI-DADES CLARAS

APLICACIÓN GLOBAL

INFORMES ECONÓMICOS Y

OPERATIVOS

FACILITA LA ADMINISTRACIÓN

IDENTIFICA CAUSAS DE

DESVIACONES

MEDIDAS CORRECTIVAS

DE DESVIACIONES

PREVIENE IRREGULARIDA-DES Y FRAUDES

El Control Interno, da transparencia y mejora la

eficiencia de la gestión al tomar acción sobre

debilidades y riesgos identificados a lo largo de la

organización y sus procesos.

Importancia del Control

Importancia del Control Interno

En resumen contribuye para: Alcanzar metas y objetivos.

Fortalecer la fiabilidad de la información financiera.

Ayuda al cumplimiento de leyes y ordenamientos.

Ayuda a prevenir la pérdida de recursos.

Ayuda en la prevención de irregularidades y fraudes.

Es un frente en el combate a la corrupción.

Aporta una estructura para la rendición de cuentas.

Fomenta la transparencia.

Por sí mismo no puede asegurar el logro de los objetivos;

No puede convertir un directivo malo en un buen directivo;

No puede garantizar el éxito ni la sobrevivencia de la

entidad;

No puede impedir la toma de decisiones erróneas;

No puede evitar una elusión de los controles por la propia

dirección;

Puede ser neutralizado por confabulación;

Su costo no debe exceder los beneficios potenciales.

Limitaciones

del control internoLimitaciones

LMOR | 179

CONTROL INTERNO

COSO 2013 - MICI

VII. Roles y responsabilidades

LMOR | 180

RESULTADOS – OBJETIVOS – SEGURIDAD – CALIDAD –

COSTO - CUMPLIMIENTO – INFORMACIÓN

TRANSPARENCIA – RENDICION DE CUENTAS

IMPACTO


ESTRATEGIA

OBJETIVOS

RECURSOS

PROCESOS

ESTRUCTURAPLANEACIÓN

PROGRAMACIÓN

PRESUPUESTO Y

SUPERVISIÓNPROCESOS,

ACCIONES Y

TAREAS

ESTRATEGICO

DIRECTIVOOPERATIVO

QU

E S

E

ESPER

A?


Todos los integrantes de una

organización tienen una participación y

responsabilidad en el control interno.

La eficacia del sistema de C.I. depende de la

actitud de respaldo de la alta dirección y

demás personal. La alta dirección establece el

“tono” de la organización y su compromiso con

el buen funcionamiento de un sistema

adecuado de C.I., fomenta que el resto del

personal sea responsable en sus respectivos

ámbitos.


La ALTA DIRECCIÓN tiene la responsabilidad más

importante en el sistema. Debe asegurarse de su

adecuado funcionamiento y actualización y de

impulsar la capacitación sobre el C.I. y su

evaluación.

Le corresponde:

• La misión y plan estratégico

• Tono ético y de integridad

• Vigilancia y supervisión de la alta dirección

• Políticas generales y estructura de la

organización

• Rendición de cuentas a los accionistas

• Filosofía de administración, decisiones y riesgos.


PLANEACIÓN

PROGRAMACIÓN

PRESUPUESTO Y

SUPERVISIÓN PROCESOS,

ACCIONES Y

TAREAS

ESTRATEGICO

DIRECTIVO

OPERATIVO

GOBIERNO CORPORATIVO


Dirección Ejecutiva / Administración

Son responsables directos del diseño,

implementación y adecuada supervisión del

funcionamiento, mantenimiento y

documentación del sistema de C.I.

Sus responsabilidades varían dependiendo de

sus funciones y de las características de la

organización.


Dirección Ejecutiva / Administracióna) Debe mostrar integridad, ética, honestidad,

legalidad, compromiso con el desempeño,

transparencia y rendición de cuentas, respeto al

personal, entre las más importantes.

b) Liderazgo basado en el ejemplo y buena dirección.

c) Asegurar la competencia de los integrantes con

capacidades alineadas a los objetivos.

d) Dar oportunidad a la innovación y mejora.

e) Debe supervisar cómo se ejerce la autoridad y el

control interno en las operaciones, asignando

claras responsabilidades y líneas de comunicación.


Auditores InternosContribuyen a mantener o mejorar la calidad del

C.I. al evaluar su efectividad en el proceso de

Monitoreo.

Evalúan y contribuyen con sus recomendaciones a

la eficacia continua del sistema. Desempeñan un

papel importante en el control interno eficaz con

sus recomendaciones pero no tienen directa

responsabilidad sobre el diseño, implementación,

mantenimiento y documentación del control

interno.


PersonalEl control interno es parte implícita y

explícita de las funciones de cada uno.

Todos los miembros del personal juegan un

rol al efectuar el control y son responsables

de reportar problemas de operación y de

no cumplimiento al código de ética y de

conducta o de violaciones a la política.


Auditores ExternosAgentes externos como los auditores

externos, asesoran y proporcionan

recomendaciones sobre el control interno.


OtrosAgentes externos que interactúan con la

organización (clientes, proveedores, expertos,

etc), proporcionan información sobre el

funcionamiento del C.I., la calidad y el logro de

sus objetivos o desviaciones.

Legisladores que emiten regulaciones para la

mejora del control interno.

Sector Público

El MICI, define que el titular debe establecerobjetivos institucionales de control interno yasignar de manera clara la responsabilidad de:

Implementar controles adecuados y suficientes

Supervisar y evaluar periódicamente el control interno

Mejorar de manera continua el control interno, conbase en los resultados de las evaluaciones periódicasrealizadas por los revisores internos y externos, entreotros



Asegurar que el control interno:

a. Contribuye de manera eficaz, eficiente yeconómica a alcanzar las tres categorías deobjetivos

b. Asegura de manera razonable, la salvaguardade los recursos, la actuación honesta de todoel personal y la prevención de actos decorrupción.

Asignar de manera clara a determinadas unidades oáreas, la responsabilidad de su control interno.

A través de las conductas pertinentes.


Participantes:

• Consejo de Administración

• Comité de Ética

• Comité de Auditoría

• Comité de Riesgos y Control

• Comité de Nominaciones de Gobierno

• Asesoramiento jurídico


Participantes:

• Titular

• Nivel directivo y operativo

• Órgano Interno de Control

• Coordinador de control Interno

• Enlace de control interno

• Enlace de administración de riesgos

• Enlace del COCODI


COCODIS. Objetivos

Comité de Control y Desempeño Institucional

Contribuir al cumplimiento de los objetivos y

metas institucionales con enfoque a resultados;

Impulsar el establecimiento y actualización del

Sistema de Control Interno Institucional a

través de su seguimiento permanente;

Promover el cumplimiento de programas

institucionales;


Contribuir a la administración de riesgos

institucionales con el análisis y seguimiento de las

estrategias y acciones del PTAR, dando prioridad a

los riesgos de atención inmediata;

Impulsar la prevención de la materialización de

riesgos, a efecto de evitar la recurrencia de

observaciones, atendiendo la causa raíz de las

mismas;

Agregar valor a la gestión, con aprobación de

acuerdos y compromisos de solución a los asuntos

que se presenten.

Implantación del modelo de control interno

Los 17 Principios de COSO 2013

LMOR | 198

45345

5543

646

545

74

Responsabilidad del Titular de la Organización

• Claridad en la metodología a instrumentar

• Se constituya como herramienta de gestión y proceso

sistemático.

Deben estar presentes los cinco componentes

funcionando de manera integrada.

Criterio profesional para evaluar los componentes en

relación al cumplimiento de los objetivos.

Solidez de la alta dirección al demostrar integridad y ética.

Análisis periódico y objetivo de problemática y tendencias.

Requisitos del Control Interno Efectivo

LMOR | 199

Criterio profesional tomando en cuenta:

Leyes, regulaciones y normas aplicables a la organización

Naturaleza del negocio, tamaño de la organización y los

mercados en los que opera

Alcance y naturaleza del modelo operativo y los procesos

de la organización

Capacidad del personal responsable del control interno

Uso de la tecnología en la organización

Apetito al riesgo de la dirección

Análisis del costo beneficio de los controles

Documentación del sistema de control interno

La implantación de los Criterios de Evaluación de cada

componente

Requisitos del Control Interno Efectivo

Fortalecimiento del control interno

• A través de encuestas formuladas y actualizadas cada

año por la SFP.

• El Enlace de control interno es responsable de su

aplicación en los tres niveles de control:

estratégico, directivo y operativo.

• El Enlace implementará los controles necesarios, a fin

de que las encuestas se contesten en su totalidad. En

caso contrario, el Enlace solicitará justificación y

documento que la acredite.

Evaluación y Fortalecimiento del SCI

LMOR | 202

Los servidores públicos en los tres niveles de control

son responsables de conservar y resguardar las

evidencias que respalden las respuestas.

La evidencia documental y/o electrónica a que se

refiere este numeral estará a disposición de los

órganos fiscalizadores.

Las debilidades detectadas se informarán a los

niveles superiores y se integrarán al PTCI

Evaluación y Fortalecimiento del SCI

LMOR | 203

Mapa de Aplicación de

Control Interno

INICIOSFP/ASF

Emite disposición normativa de

Control Interno

Titular de la Institución

Autoevalúa y elabora Informe Anual


Elabora el Programa de Trabajo de Control

Interno


Presenta Informe Anual

OICEvalúa Informe Anual

y emite Informe de Resultados de Evaluación


En su caso, actualiza el Programa de

Trabajo de Control Interno


Da seguimiento al Programa de

Trabajo de Control Interno

OICVerifica avances al Programa de

Trabajo de Control Interno y resultados

esperados

FIN

LMOR | 204

CP Luz María Ortiz Rodrí[email protected]

Documents

ANALISIS DE RIESGOS - asm.gob.mx · Contenido I. Introducción al marco de control interno II. Iniciativas legales III. Definición de Control Interno IV. Modelos de Control Interno