control interno
DESCRIPTION
Control InternoTRANSCRIPT
Contraloría General de la República
Control Interno
Diciembre de 2009
Page 212/17/2009
• Definición de control interno
• Propósitos de la evaluación del Sistema de Control Interno
• Componentes
• Metodología
Agenda
Page 3
Definición
• Se entiende por control interno, el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismosde verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.
Page 4
Definición
• Es un proceso continuo realizado por la dirección, gerencia y el personal del Sujeto de Control; para proporcionar seguridad razonable, respecto a si están lográndose los siguientes objetivos:► Promover la efectividad, eficiencia y economía en las operaciones y la
calidad en los servicios que debe brindar cada Sujeto de Control
► Proteger y conservar los recursos públicos contra cualquier pérdida, despilfarro, uso indebido, irregularidad o acto ilegal
► Cumplir las leyes, reglamentos y otras normas gubernamentales
► Elaborar información financiera válida y confiable, presentada con oportunidad
Page 5
Propósitos de la evaluación del SCI
• La evaluación y calificación del sistema de control interno en los sujetos de control tiene, entre otros, los siguientes propósitos específicos:► Determinar lo adecuado o inadecuado del Sistema de Control Interno
► Determinar la confiabilidad, calidad y eficiencia del Sistema de Control Interno
► Definir el nivel de confianza que el auditor puede otorgar al sistema de control interno
► Servir como insumo para la definición de la estrategia de auditoría, con el fin de focalizar los recursos del Equipo Auditor en las áreas, procesos o transacciones claves para el proceso auditor.
• Para realizar esta tarea el auditor debe tener conocimiento y entendimiento del Sujeto de Control, especificar los criterios de auditoría, las actividades claves de la administración y los controles aplicados.
Page 6
AMBIENTE DE CONTROL
EVALUACIÓN DE RIESGOS
ACTIVIDADES DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
MONITOREO
COSOCOSO
Ambiente de ControlInfluencia de la organización para definir el nivel de concientización que respecto a los controles tengan los funcionarios. Influencia hacia los valores de integridad, ética, competencia, autoridad y responsabilidad.Base para todos los otros componentes de control.Evaluación del Riesgo Identificación y análisis de riesgos relevantes para la consecución de los objetivos del Sujeto de Control.Forma la base para determinar las actividades de control.Actividades de ControlPolíticas / procedimientos que aseguran que las directrices de la administración sean ejecutadas.Incluyen definiciones y controles sobre: aprobaciones, autorizaciones, revisiones de desempeño y segregación de funciones.Información y ComunicaciónInformación pertinente, si es identificada, suministrada y comunicada en forma oportuna.(divulgación)Controles sobre el acceso a información generada interna como externamente.Flujo de información que permite acciones de controlMonitoreoEvaluación del desempeño del sistema de control interno.Indicadores de GestiónControl ejercido dentro del procesoActividades de auditoría interna.
Componentes del Control Interno
Page 7
Metodología de Evaluación
Evaluación Conceptual Evaluación de la Operatividad
Pruebas de RecorridoPruebas de Recorrido
MínimoMínimoMáximoMáximo
Evaluación de Control Interno
Requerimiento
Criterios de Evaluación
% Ponderación
FASE DE PLANEACIÓN
FASE DE PLANEACIÓN
Definición de Línea de Auditoría
Definición de Línea de Auditoría
Evaluación de Control Interno
Requerimiento
Criterios de Evaluació
% Ponderación
FASE DE EJECUCIÓNFASE DE
EJECUCIÓN
Eficiente / IneficienteEficiente / Ineficiente RESULTADO 2
Selección de controles A probar
Selección de controles A probar
Proceso y/o Cuenta Significativa
Proceso y/o Cuenta Significativa
AltoAlto MedioMedio BajoBajo
Resultado de Pruebas Resultado de Pruebas
ModeradoModerado
50%50%
Para el Informe
Evaluación Riesgo de ControlEvaluación Riesgo de Control
Evaluación General del SCIEvaluación General del SCI % Ponderación% Ponderación
ExisteExiste AplicaAplica
25%
Evaluación de Control Interno
Ambiente de Control
Valoración del riesgo
Actividades de Control
Monitoreo
Información y Comunicación
Requerimiento
25%
20%
10%
20%
Criterios de Evaluación
30% 70%%
Ponderación
FASE DE PLANEACIÓN
FASE DE PLANEACIÓN
Confiable / No ConfiableConfiable / No Confiable
Enfoque Cumplimiento / Sustantivo
RESULTADO 1
Adecuado / InadecuadoAdecuado / Inadecuado
Para el Auditor
Para el Informe
Page 8
Evaluación Conceptual
Evaluación General del SCIEvaluación General del SCI % Ponderación% Ponderación
ExisteExiste AplicaAplica
25%
Evaluación de Control Interno
Ambiente de Control
Valoración del riesgo
Actividades de Control
Monitoreo
Información y Comunicación
Requerimiento
25%
20%
10%
20%
Criterios de Evaluación
30% 70%%
Ponderación
FASE DE PLANEACIÓN
FASE DE PLANEACIÓN
Confiable / No ConfiableConfiable / No Confiable
Enfoque Cumplimiento / Sustantivo
RESULTADO 1
Adecuado / InadecuadoAdecuado / Inadecuado
Para el Auditor
Para el Informe
Metodología de Evaluación - Conceptual
Page 9
Evaluación Conceptual
Evaluación General del SCIEvaluación General del SCI % Ponderación% Ponderación
ExisteExiste AplicaAplica
25%
Evaluación de Control Interno
Ambiente de Control
Valoración del riesgo
Actividades de Control
Monitoreo
Información y Comunicación
Requerimiento
25%
20%
10%
20%
Criterios de Evaluación
30% 70%%
Ponderación
FASE DE PLANEACIÓN
FASE DE PLANEACIÓN
Confiable / No ConfiableConfiable / No Confiable
Enfoque Cumplimiento / Sustantivo
RESULTADO 1
Adecuado / InadecuadoAdecuado / Inadecuado
Para el Auditor
Para el Informe
Metodología de Evaluación - Conceptual
Page 10
Consolidación de la calificación
No ConfiableInadecuadoAlto>34%
Medio17% < 34%
ConfiableAdecuadoBajo<17%
Para el Proceso AuditorPara Informe
Resultado de la Evaluación Conceptual del Sistema de Control Interno
Escala de riesgo
Porcentaje
Page 11
Pruebas de RecorridoPruebas de Recorrido
MínimoMínimoMáximoMáximo
Evaluación de Control Interno
Requerimiento
Criterios de Evaluación
% Ponderación
FASE D E PLA NEAC IÓ N
FASE DE PLANE ACIÓ N
Definición de Línea de Auditoría
Definición de Línea de Auditoría
Evaluación de Control Interno
Requerimiento
Criterios de Evaluación
% Ponderación
FASE DE EJEC UCIÓ NFASE D E
EJECUC IÓ N
Eficiente / IneficienteEficiente / Ineficiente RESULTADO 2
Selección de controles a probar
Selección de controles a probar
Proceso y/o Cuenta Significativa
Proces o y/o Cuenta Significativa
AltoAlto MedioMedio BajoBajo
Resultado de Pruebas Resultado de Pruebas
ModeradoModerado
50%50%
Pa ra el Info rme
Evaluación Riesgo de ControlE valuación Riesgo de Control
Evaluación de la Operatividad
Metodología de Evaluación - Operatividad
Page 12
Punto de partida para evaluación de riesgos
Identificar en el Sujeto de Control la
Existencia de un Sistema de
Administración de Riesgos
SI
NO
Se toma como punto de partida para la identificación de
riesgos y controles
Desarrollo por parte del Auditor la
metodología de Administración de
Riesgos
Page 13
• Estratégicos ó Gobernantes
Son aquellos procesos que proporcionan directrices a los demás procesos y son realizados por el directorio u organismo que haga sus veces, y por la alta gerencia para poder cumplir con los objetivos y políticas institucionales. Se refieren a la planificación estratégica, los lineamientos de acción básicos, la estructura organizacional y la administración integral de riesgos, entre otros.
• Operativos, Misionales, Básicos ó Productivos
Son los procesos esenciales de la entidad destinados a llevar a cabo las actividades que permitan ejecutar efectivamente las políticas y estrategias relacionadas con la calidad de los productos o servicios que ofrecen a sus clientes.
• Habilitantes, de Soporte ó de Apoyo
Son aquellos que apoyan a los procesos gobernantes y productivos, se encargan de proporcionar personal competente, reducir los riesgos del trabajo, preservar la calidad de los materiales, equipos y herramientas, mantener las condiciones de operatividad y funcionamiento, coordinar y controlar la eficacia del desempeño administrativo y la optimización de los recursos.
Punto de partida para evaluación de riesgos – Cadena de Valor
Page 14
C
L
I
E
N
T
E
S
Planeación Estratégica
MISIONALES
Desarrollo de nuevos
productosVentas
Gestión de
TecnologíaGestión Jurídica Gestión Humana
Gestión Financiera
Contable y tributaria
Admon. Propiedad, planta
y equipoAuditoria
Planeación Financiera
Corporativa
Responsabilidad Social
Producción Abastecimiento y Distribución
DE APOYO O DE SOPORTE
ESTRATÉGICOSP
R
O
V
E
E
D
O
R
E
S
Innovación MercadeoAprovisiona-
mientoServicio al cliente
Gestión de la calidad
Gestión Ambiental Integral
Estrategia de Comunicaciones
Estrategia de Innovación
Estrategia de Desarrollo de
Personal
Punto de partida para evaluación de riesgos – Cadena de Valor
Page 15
NIVEL DE IMPACTO
PROBABILIDAD
Punto de partida para evaluación de riesgos –Administración de Riesgos
Planeación y Dirección
Corporativa
MISIONALES
Mercadeo Ventas
Gestión de Tecnología
Gestión Jurídica y
Legal
Gestión Humana
Gestión Financiera y
Contable
Gestión de Recursos Físicos
Auditoria
Finanzas y Planeación
CorporativaResponsabilidad Social
Abastecimiento Producción DistribuciónServicio
al cliente
DE APOYO O DE SOPORTE
DIRECCIONAMIENTO
P
R
O
V
E
E
D
O
R
E
S
Insumos
• Materias primas
• Material de empaque
• Repuestos
• Servicios industriales
C
L
I
E
N
T
E
S
Productos
• Bebidas no alcohólicas en diferentes presentaciones
Procesos (transacciones y cuentas representativas) / Objetivos por proceso
Identificar Riesgos inherentes por proceso
Matriz de riesgos inherentes
Impacto
Probabilidad
AltaMediaBaja
Bajo
Medio
Alto Identificar y evaluar diseño y efectividad de los controles
R1R1 Evaluar la aplicación de los controles
Cadena de valor
Monitoreo al comportamiento de riesgos
Matriz de riesgos residuales
Impacto
AltaMediaBaja
Bajo
Medio
Alto
R1R1
Page 16
Controles:
Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.
La definición de los controles incluye:v Qué busca hacer el control (objetivo)v Cómo se lleva a cabo el control (procedimiento)v Naturaleza del control: Preventivo ó Detectivov Tipo de control: Manual, Automático, ó Dependiente de Tecnología Informáticav Quién lleva a cabo el control (Responsable)v Cuándo se realiza el control (Periodicidad)
Controles:
Se refiere a toda medida tomada para mitigar o gestionar el riesgo, y para que la probabilidad de que el negocio / proceso logre sus metas y objetivos sea mayor.
Son incorporados en los procesos para garantizar que se cumplan los requerimientos del flujo de trabajo y los objetivos generales del negocio y de los procesos.
La definición de los controles incluye:v Qué busca hacer el control (objetivo)v Cómo se lleva a cabo el control (procedimiento)v Naturaleza del control: Preventivo ó Detectivov Tipo de control: Manual, Automático, ó Dependiente de Tecnología Informáticav Quién lleva a cabo el control (Responsable)v Cuándo se realiza el control (Periodicidad)
Punto de partida para evaluación de riesgos –Administración de Riesgos
Page 17
Evaluación de Controles:
La evaluación de los controles incluye dos aspectos:
• Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable se evalúa respondiendo al siguiente interrogante:ü Las características o condiciones del control permiten mitigar el riesgo al cual está
asociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, de lo contrario se califica como inadecuado
• Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condiciones establecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable se evalúa respondiendo al siguiente interrogante:ü El control se está ejecutando de acuerdo con las condiciones que se le han establecido?ü La respuesta puede variar según el nivel de ejecución:
v Débil: no se está ejecutandov Moderado: se está ejecutando parcialmentev Fuerte: se está ejecutando completamente - Cumple con las
condiciones dispuestas
Evaluación de Controles:
La evaluación de los controles incluye dos aspectos:
• Diseño: Configuración del control con respecto al riesgo que está mitigando. Esta variable se evalúa respondiendo al siguiente interrogante:ü Las características o condiciones del control permiten mitigar el riesgo al cual está
asociado? Si la respuesta es positiva se establece que el diseño del control es adecuado, de lo contrario se califica como inadecuado
• Eficiencia Operativa: Implementación del control (ejecución) de acuerdo con las condiciones establecidas (procedimiento, frecuencia, responsable y documentación soporte). Esta variable se evalúa respondiendo al siguiente interrogante:ü El control se está ejecutando de acuerdo con las condiciones que se le han establecido?ü La respuesta puede variar según el nivel de ejecución:
v Débil: no se está ejecutandov Moderado: se está ejecutando parcialmentev Fuerte: se está ejecutando completamente - Cumple con las
condiciones dispuestas
Punto de partida para evaluación de riesgos –Administración de Riesgos
Page 18
Evaluación de Controles (cont.):
La combinación de la evaluación del diseño y la eficiencia operativa del control permite establecer la medida de solidez del control. Con base en estas evaluaciones, los dueños de procesos pueden definir oportunidades de mejoramiento y planes de acción para mejorar y/o fortalecer los controles existentes o en algunos casos crear nuevos controles.
Evaluación de Controles (cont.):
La combinación de la evaluación del diseño y la eficiencia operativa del control permite establecer la medida de solidez del control. Con base en estas evaluaciones, los dueños de procesos pueden definir oportunidades de mejoramiento y planes de acción para mejorar y/o fortalecer los controles existentes o en algunos casos crear nuevos controles.
Solidez del Control:
ü Débil
ü Moderado
ü Fuerte
ModeradaDébilDébil
FuerteModeradaDébil
Débil Moderada Fuerte
Adecuado
Inadecuado
Diseño
Eficiencia Operativa
SOLIDEZ DEL CONTROL
Punto de partida para evaluación de riesgos –Administración de Riesgos
Page 19
• Pasos:► Establecer los procesos / transacciones significativas
► Evaluar el diseño del control a partir de la prueba de recorrido
► Propósito:► Confirmar la comprensión del flujo de las transacciones dentro de procesos
representativos y de los riesgos identificados.
► Confirmar que los controles identificados han sido puestos en operación.
► Confirmar si los controles se han diseñado de manera efectiva para prevenir o detectar y corregir errores en forma oportuna.
► Confirmar si estos controles se han implementado y operan de manera adecuada.
► Controles identificados
► Establecer la matriz de riesgos y controles (3.9.2)
Metodología de Evaluación - Operatividad
Evaluación del Riesgo Inherente Aseveraciones Descripción del Control Clase de Control Evaluación Riesgo de Control Evaluación Riesgo de Importancia Significativa
Control Seleccionado para ser Probado
Resultado de Evaluación del control probado en la ejecuciónRiesgo
FASE DE PLANEACIÓN / ANALISIS DE RIESGOS FASE DE EJECUCIÓN
Page 20
Ejercicio
• Definir los roles de Auditor (1 mesa) y Auditado (1 mesa).
• Seleccionar una Entidad, la cual será objeto del proceso de auditoría
• Diligenciar el formato (3.6 – Evaluación conceptual del Sistema de Control Interno), considerando:► La respuesta del auditado
► La evidencia obtenida (prueba corroborativa), para dos componentes ambiente de control y actividades de control.
► Obtener la calificación final de la evaluación conceptual del Sistema de Control Interno y discutirlo con el auditado.
► Socializar el trabajo desarrollado
GRACIAS