control interno

Contraloría General de la República

Control Interno

Diciembre de 2009

12/17/2009

• Definición de control interno

• Propósitos de la evaluación del Sistema de Control Interno

• Componentes

• Metodología

Agenda

Definición

• Se entiende por control interno, el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismosde verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.

Definición

• Es un proceso continuo realizado por la dirección, gerencia y el personal del Sujeto de Control; para proporcionar seguridad razonable, respecto a si están lográndose los siguientes objetivos:► Promover la efectividad, eficiencia y economía en las operaciones y la

calidad en los servicios que debe brindar cada Sujeto de Control

► Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal

► Cumplir las leyes, reglamentos y otras normas gubernamentales

► Elaborar información financiera válida y confiable, presentada con oportunidad

Propósitos de la evaluación del SCI

• La evaluación y calificación del sistema de control interno en los sujetos de control tiene, entre otros, los siguientes propósitos específicos:► Determinar lo adecuado o inadecuado del Sistema de Control Interno

► Determinar la confiabilidad, calidad y eficiencia del Sistema de Control Interno

► Definir el nivel de confianza que el auditor puede otorgar al sistema de control interno

► Servir como insumo para la definición de la estrategia de auditoría, con el fin de focalizar los recursos del Equipo Auditor en las áreas, procesos o transacciones claves para el proceso auditor.

• Para realizar esta tarea el auditor debe tener conocimiento y entendimiento del Sujeto de Control, especificar los criterios de auditoría, las actividades claves de la administración y los controles aplicados.

AMBIENTE DE CONTROL

EVALUACIÓN DE RIESGOS

ACTIVIDADES DE CONTROL

INFORMACIÓN Y COMUNICACIÓN

MONITOREO

COSOCOSO

Ambiente de ControlInfluencia de la organización para definir el nivel de concientización que respecto a los controles tengan los funcionarios. Influencia hacia los valores de integridad, ética, competencia, autoridad y responsabilidad.Base para todos los otros componentes de control.Evaluación del Riesgo Identificación y análisis de riesgos relevantes para la consecución de los objetivos del Sujeto de Control.Forma la base para determinar las actividades de control.Actividades de ControlPolíticas / procedimientos que aseguran que las directrices de la administración sean ejecutadas.Incluyen definiciones y controles sobre: aprobaciones, autorizaciones, revisiones de desempeño y segregación de funciones.Información y ComunicaciónInformación pertinente, si es identificada, suministrada y comunicada en forma oportuna.(divulgación)Controles sobre el acceso a información generada interna como externamente.Flujo de información que permite acciones de controlMonitoreoEvaluación del desempeño del sistema de control interno.Indicadores de GestiónControl ejercido dentro del procesoActividades de auditoría interna.

Componentes del Control Interno

Metodología de Evaluación

Evaluación Conceptual Evaluación de la Operatividad

Pruebas de RecorridoPruebas de Recorrido

MínimoMínimoMáximoMáximo

Evaluación de Control Interno

Requerimiento

Criterios de Evaluación

% Ponderación

FASE DE PLANEACIÓN

FASE DE PLANEACIÓN

Definición de Línea de Auditoría



Requerimiento

Criterios de Evaluació

% Ponderación

FASE DE EJECUCIÓNFASE DE

EJECUCIÓN

Eficiente / IneficienteEficiente / Ineficiente RESULTADO 2

Selección de controles A probar

Selección de controles A probar

Proceso y/o Cuenta Significativa


AltoAlto MedioMedio BajoBajo

Resultado de Pruebas Resultado de Pruebas

ModeradoModerado

50%50%

Para el Informe

Evaluación Riesgo de ControlEvaluación Riesgo de Control

Evaluación General del SCIEvaluación General del SCI % Ponderación% Ponderación

ExisteExiste AplicaAplica

25%


Ambiente de Control

Valoración del riesgo

Actividades de Control

Monitoreo

Información y Comunicación

Requerimiento

25%

20%

10%

20%


30% 70%%

Ponderación

FASE DE PLANEACIÓN

FASE DE PLANEACIÓN

Confiable / No ConfiableConfiable / No Confiable

Enfoque Cumplimiento / Sustantivo

RESULTADO 1

Adecuado / InadecuadoAdecuado / Inadecuado

Para el Auditor

Para el Informe

Evaluación Conceptual

Evaluación General del SCIEvaluación General del SCI % Ponderación% Ponderación

ExisteExiste AplicaAplica

25%


Ambiente de Control

Valoración del riesgo

Actividades de Control

Monitoreo

Información y Comunicación

Requerimiento

25%

20%

10%

20%


30% 70%%

Ponderación

FASE DE PLANEACIÓN

FASE DE PLANEACIÓN

Confiable / No ConfiableConfiable / No Confiable

Enfoque Cumplimiento / Sustantivo

RESULTADO 1

Adecuado / InadecuadoAdecuado / Inadecuado

Para el Auditor

Para el Informe

Metodología de Evaluación - Conceptual

Consolidación de la calificación

No ConfiableInadecuadoAlto>34%

Medio17% < 34%

ConfiableAdecuadoBajo<17%

Para el Proceso AuditorPara Informe

Resultado de la Evaluación Conceptual del Sistema de Control Interno

Escala de riesgo

Porcentaje

Pruebas de RecorridoPruebas de Recorrido

MínimoMínimoMáximoMáximo


Requerimiento


% Ponderación

FASE D E PLA NEAC IÓ N

FASE DE PLANE ACIÓ N




Requerimiento


% Ponderación

FASE DE EJEC UCIÓ NFASE D E

EJECUC IÓ N

Eficiente / IneficienteEficiente / Ineficiente RESULTADO 2

Selección de controles a probar

Selección de controles a probar


Proces o y/o Cuenta Significativa

AltoAlto MedioMedio BajoBajo

Resultado de Pruebas Resultado de Pruebas

ModeradoModerado

50%50%

Pa ra el Info rme

Evaluación Riesgo de ControlE valuación Riesgo de Control

Evaluación de la Operatividad

Metodología de Evaluación - Operatividad

Punto de partida para evaluación de riesgos

Identificar en el Sujeto de Control la

Existencia de un Sistema de

Administración de Riesgos

SI

NO

Se toma como punto de partida para la identificación de

riesgos y controles

Desarrollo por parte del Auditor la

metodología de Administración de

Riesgos

• Estratégicos ó Gobernantes

Son aquellos procesos que proporcionan directrices a los demás procesos y son realizados por el directorio u organismo que haga sus veces, y por la alta gerencia para poder cumplir con los objetivos y políticas institucionales. Se refieren a la planificación estratégica, los lineamientos de acción básicos, la estructura organizacional y la administración integral de riesgos, entre otros.

• Operativos, Misionales, Básicos ó Productivos

Son los procesos esenciales de la entidad destinados a llevar a cabo las actividades que permitan ejecutar efectivamente las políticas y estrategias relacionadas con la calidad de los productos o servicios que ofrecen a sus clientes.

• Habilitantes, de Soporte ó de Apoyo

Son aquellos que apoyan a los procesos gobernantes y productivos, se encargan de proporcionar personal competente, reducir los riesgos del trabajo, preservar la calidad de los materiales, equipos y herramientas, mantener las condiciones de operatividad y funcionamiento, coordinar y controlar la eficacia del desempeño administrativo y la optimización de los recursos.

Punto de partida para evaluación de riesgos – Cadena de Valor

C

L

I

E

N

T

E

S

Planeación Estratégica

MISIONALES

Desarrollo de nuevos

productosVentas

Gestión de

TecnologíaGestión Jurídica Gestión Humana

Gestión Financiera

Contable y tributaria

Admon. Propiedad, planta

y equipoAuditoria

Planeación Financiera

Corporativa

Responsabilidad Social

Producción Abastecimiento y Distribución

DE APOYO O DE SOPORTE

ESTRATÉGICOSP

R

O

V

E

E

D

O

R

E

S

Innovación MercadeoAprovisiona-

mientoServicio al cliente

Gestión de la calidad

Gestión Ambiental Integral

Estrategia de Comunicaciones

Estrategia de Innovación

Estrategia de Desarrollo de

Personal

Punto de partida para evaluación de riesgos – Cadena de Valor

NIVEL DE IMPACTO

PROBABILIDAD

Punto de partida para evaluación de riesgos –Administración de Riesgos

Planeación y Dirección

Corporativa

MISIONALES

Mercadeo Ventas

Gestión de Tecnología

Gestión Jurídica y

Legal

Gestión Humana

Gestión Financiera y

Contable

Gestión de Recursos Físicos

Auditoria

Finanzas y Planeación

CorporativaResponsabilidad Social

Abastecimiento Producción DistribuciónServicio

al cliente

DE APOYO O DE SOPORTE

DIRECCIONAMIENTO

P

R

O

V

E

E

D

O

R

E

S

Insumos

• Materias primas

• Material de empaque

• Repuestos

• Servicios industriales

C

L

I

E

N

T

E

S

Productos

• Bebidas no alcohólicas en diferentes presentaciones

Procesos (transacciones y cuentas representativas) / Objetivos por proceso

Identificar Riesgos inherentes por proceso

Matriz de riesgos inherentes

Impacto

Probabilidad

AltaMediaBaja

Bajo

Medio

Alto Identificar y evaluar diseño y efectividad de los controles

R1R1 Evaluar la aplicación de los controles

Cadena de valor

Monitoreo al comportamiento de riesgos

Matriz de riesgos residuales

Impacto

AltaMediaBaja

Bajo

Medio

Alto

R1R1

Controles:

Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.

Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.

La definición de los controles incluye:v Qué busca hacer el control (objetivo)v Cómo se lleva a cabo el control (procedimiento)v Naturaleza del control: Preventivo ó Detectivov Tipo de control: Manual, Automático, ó Dependiente de Tecnología Informáticav Quién lleva a cabo el control (Responsable)v Cuándo se realiza el control (Periodicidad)

Controles:

Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.

Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.

La definición de los controles incluye:v Qué busca hacer el control (objetivo)v Cómo se lleva a cabo el control (procedimiento)v Naturaleza del control: Preventivo ó Detectivov Tipo de control: Manual, Automático, ó Dependiente de Tecnología Informáticav Quién lleva a cabo el control (Responsable)v Cuándo se realiza el control (Periodicidad)


Evaluación de Controles:

La evaluación de los controles incluye dos aspectos:

• Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable se evalúa respondiendo al siguiente interrogante:ü Las características o condiciones del control permiten mitigar el riesgo al cual está

asociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, de lo contrario se califica como inadecuado

• Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condiciones establecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable se evalúa respondiendo al siguiente interrogante:ü El control se está ejecutando de acuerdo con las condiciones que se le han establecido?ü La respuesta puede variar según el nivel de ejecución:

v Débil: no se está ejecutandov Moderado: se está ejecutando parcialmentev Fuerte: se está ejecutando completamente - Cumple con las

condiciones dispuestas

Evaluación de Controles:

La evaluación de los controles incluye dos aspectos:

• Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable se evalúa respondiendo al siguiente interrogante:ü Las características o condiciones del control permiten mitigar el riesgo al cual está

asociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, de lo contrario se califica como inadecuado

• Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condiciones establecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable se evalúa respondiendo al siguiente interrogante:ü El control se está ejecutando de acuerdo con las condiciones que se le han establecido?ü La respuesta puede variar según el nivel de ejecución:

v Débil: no se está ejecutandov Moderado: se está ejecutando parcialmentev Fuerte: se está ejecutando completamente - Cumple con las

condiciones dispuestas


Evaluación de Controles (cont.):

La combinación de la evaluación del diseño y la eficiencia operativa del control permite establecer la medida de solidez del control. Con base en estas evaluaciones, los dueños de procesos pueden definir oportunidades de mejoramiento y planes de acción para mejorar y/o fortalecer los controles existentes o en algunos casos crear nuevos controles.

Evaluación de Controles (cont.):

La combinación de la evaluación del diseño y la eficiencia operativa del control permite establecer la medida de solidez del control. Con base en estas evaluaciones, los dueños de procesos pueden definir oportunidades de mejoramiento y planes de acción para mejorar y/o fortalecer los controles existentes o en algunos casos crear nuevos controles.

Solidez del Control:

ü Débil

ü Moderado

ü Fuerte

ModeradaDébilDébil

FuerteModeradaDébil

Débil Moderada Fuerte

Adecuado

Inadecuado

Diseño

Eficiencia Operativa

SOLIDEZ DEL CONTROL


• Pasos:► Establecer los procesos / transacciones significativas

► Evaluar el diseño del control a partir de la prueba de recorrido

► Propósito:► Confirmar la comprensión del flujo de las transacciones dentro de procesos

representativos y de los riesgos identificados.

► Confirmar que los controles identificados han sido puestos en operación.

► Confirmar si los controles se han diseñado de manera efectiva para prevenir o detectar y corregir errores en forma oportuna.

► Confirmar si estos controles se han implementado y operan de manera adecuada.

► Controles identificados

► Establecer la matriz de riesgos y controles (3.9.2)

Metodología de Evaluación - Operatividad

Evaluación del Riesgo Inherente Aseveraciones Descripción del Control Clase de Control Evaluación Riesgo de Control Evaluación Riesgo de Importancia Significativa

Control Seleccionado para ser Probado

Resultado de Evaluación del control probado en la ejecuciónRiesgo

FASE DE PLANEACIÓN / ANALISIS DE RIESGOS FASE DE EJECUCIÓN

Ejercicio

• Definir los roles de Auditor (1 mesa) y Auditado (1 mesa).

• Seleccionar una Entidad, la cual será objeto del proceso de auditoría

• Diligenciar el formato (3.6 – Evaluación conceptual del Sistema de Control Interno), considerando:► La respuesta del auditado

► La evidencia obtenida (prueba corroborativa), para dos componentes ambiente de control y actividades de control.

► Obtener la calificación final de la evaluación conceptual del Sistema de Control Interno y discutirlo con el auditado.

► Socializar el trabajo desarrollado

GRACIAS

control interno

Documents