UNIDAD No.

RIESGOS Y CONTROLES

2024

CPA Oscar Noé López Cordón, MsC

onlopezcordon@profesor.usac.edu.gt
Los riesgos afectan la capacidad de la organización de sobrevivir, competir con
éxito o mantenerse con una fortaleza financiera adecuada, la imagen pública
positiva o la calidad de productos o servicios que brinda.

Riesgo es una medida de la incertidumbre.

“El nivel de exposición a las incertidumbres que una empresa debe entender y
efectivamente administrar para lograr alcanzar sus objetivos y crear valor para
sus interesados”.
Riesgos externos:
Desarrollos tecnológicos que en caso de no adoptarse provocarían
obsolescencia organizacional, cambios en las necesidades y
expectativas de la demanda, condiciones macroeconómicas tanto a nivel
internacional como nacional, condiciones microeconómicas, competencia
elevada con otras organizaciones, dificultad para obtener crédito o
costos elevados del mismo, complejidad y elevado dinamismo del
entorno de la organización, y reglamentos y legislación que afecten
negativamente a la organización.
Riesgos externos:
•Riesgos económicos: cambios que pueden impactar las finanzas, la
disponibilidad de capital, y barreras al acceso competitivo.
•Ambiente natural: catástrofes naturales o causadas por el ser humano, o
cambios climáticos que puedan generar cambios en las operaciones,
reducción en la disponibilidad de materia prima, pérdida de sistemas de
información, resaltando la necesidad de planes de contingencia.
•Factores regulatorios: nuevos estándares, regulaciones y leyes que
impliquen cambios en las políticas y estrategias operativas y de reporte
de la entidad.
•Operaciones extranjeras: cambios en el gobierno o leyes de países
extranjeros que afecten a la entidad.
•Factores sociales: cambios en las necesidades y expectativas de los
clientes que puedan afectar el desarrollo de los productos, procesos de
producción, servicio al cliente, precios o garantías.
•Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y
uso de la información, costos de infraestructura y la demanda de los
servicios basados en la tecnología.
Riesgos internos:
Riesgos referentes a la información financiera, a
sistemas de información defectuosos, a pocos o
cuestionables valores éticos del personal, a
problemas con las aptitudes, actitudes y
comportamiento del personal.
Riesgos Internos

•Infraestructura: decisiones sobre el uso de recursos de capital que

pueden afectar las operaciones y la disponibilidad de la
infraestructura.
•Estructura de la administración: cambios en las responsabilidades de
la administración que puedan afectar los controles que se llevan a
cabo en la organización.
•Personal: calidad del personal contratado y los métodos de
capacitación y motivación que puedan influir en el nivel de control de
conciencia dentro de la entidad, y vencimiento de contratos que
puedan afectar la disponibilidad de personal.
•Acceso a los activos: naturaleza de las actividades de la entidad y
acceso de empleados a los activos, que puedan contribuir a la
malversación de activos.
•Tecnología: alteraciones en los sistemas de información que puedan
afectar los procesos de la entidad.
En Implementing Turnbull – A Boardroom Briefing se ha
desarrollado la siguiente clasificación en cuatro
categorías de riesgo:
o De negocio,
o Financieros,
o De cumplimiento,
o Operacionales y otros
 NIVELES DE RIESGOS
Los riesgos pueden ser apreciados en tres niveles:

Ø Estratégico:
Esta apreciación de riesgos se utiliza como guía de la organización durante un
prolongado período de tiempo (hasta diez años). Dicho procedimiento es
usualmente realizado por la Dirección y Alta Gerencia.

Ø Proceso / programa / procesos:

Esta apreciación de riesgos es utilizada, desarrollada y gerenciada durante el
período actual de la organización. El gerente del proceso, programa o proceso es
la persona que inicialmente tiene la responsabilidad de la apreciación.

Ø Operacional:
Utilizado en las operaciones diarias. Es la apreciación es usualmente realizada por
el nivel de supervisión o por individuos o equipos de trabajos designados para tal
tarea.
 IDENTIFICACIÓN DE RIESGO

El riesgo no puede ser medido, priorizado o gerenciado hasta que el mismo haya sido
identificado.

En la realización de los pronósticos a corto y mediano plazo, en el

planeamiento estratégico es apropiado efectuar la identificación de los riesgos
de negocio.
Qué preguntas podemos hacernos a efectos de realizar dicha identificación
de riesgos?:
o Qué no nos gustaría ver aparecer en la prensa?
o Qué problemas han tenido nuestros competidores en años recientes?
o Cuáles son los tipos de fraude a los cuales nuestro negocio puede ser
susceptible?
o Cuáles son los mayores riesgos legales y regulatorios a los cuales nuestro
negocio está expuesto?
o Qué riesgos provienen de los procesos de negocio?
 ANALISIS DE RIESGOS

Una vez identificados los riesgos es necesario analizar los

mismos. El proceso de análisis de riesgos comprende:
Ø Medir el riesgo,
Ø Administrar los mismos
Si el mayor propósito del escenario es la amenaza de fraude, el escenario de cómo
puede ser realizado debe cubrir los siguientes tres elementos:
o Robo: cómo el activo puede ser robado
o Ocultamiento: cómo el ladrón puede ser ocultado o no descubierto.
o Conversión: Cómo el ladrón puede convertir el activo a su uso personal.

Si el escenario de amenaza es utilizado para auditar o evaluar fraude y cuestiones de

seguridad, se convierte en un blueprint para el crimen.
 MEDICIONES
MEDICIÓN DE RIESGOS

Una vez que los riesgos y las consecuencias son identificados, el próximo paso es
medir los riesgos.
Medir riesgos es difícil debido a su naturaleza intangible.
Los gerentes prefieren pensar en términos cualitativos más que en términos
cuantitativos.
Para algunos gerentes, definir riesgos en una escala de tres niveles (bajo, medio y
alto) es suficiente para sus necesidades
Hay diferentes enfoques para medir riesgos y consecuencias:
• Estimaciones de probabilidad y funciones de pérdidas esperadas: La aplicación de
probabilidades a los valores de los activos y también a los ingresos para
determinar la exposición a pérdidas.
• Factores de riesgos: Probabilidad x impacto de pérdidas esperadas-
• El uso de factores observables
• Matrices de medición: El uso de matrices de amenazas y componentes para
evaluar consecuencias y control
Patton, Evans y Lewis describen 19 de los más populares factores de riesgo utilizados por
auditores:

1. Calidad de los controles internos 15. Nivel de ética en los empleados

2. Compentencia de la gerencia 16. Planes de auditoría de los
3. Integridad de la gerencia auditores externos
4. Tamaño de la unidad 17. Exposición política
5. Cambios en los sistemas contables 18. Necesidad de mantener una
6. Complejidad de las operaciones apariencia de independencia del
7. Liquidez de los activos auditor interno
8. Cambios en el personal clave 19. Distancia de las oficinas centrales
9. Condiciones económicas de la unidad
10. Rápido crecimiento
11. Extensión del uso de la computadora
12.Tiempo desde la última auditoría
13.Presión en la gerencia para alcanzar
los objetivos
14.Extensión de las relaciones
gubernamentales
1. Eliminar. 4. Transferir.
La Gerencia intenta abandonar el proceso, La Gerencia intentará involucrar a
teniendo en cuenta que no puede manejar un tercero en la administración de
los riesgos de dicho proceso sus propios riesgos. P.E. los
adecuadamente. Tratará de prohibirlo, seguros, reaseguros, acciones de
pararlo, eliminarlo, etc. cobertura y de indemnización, la
2. Retener. securitización, el compartir riesgos,
La Gerencia tratará de mantener el el outsourcing de determinados
proceso, aceptando los riesgos procesos, etc.
involucrados en el mismo. En dicha 5. Explotar.
estrategia se encuentran la aceptación del La Gerencia intentará transformar el
nivel de riesgos, la propia asegurabilidad, riesgo como efecto negativo en una
el contrapeso con otros procesos, etc. oportunidad y desarrollo para la
3. Reducir. empresa. P.E. la expansión de
La Gerencia intentará reducir los riesgos a operaciones, la creación de otros
niveles aceptables para retener los procesos o productos, el rediseño de
mismos. En este caso la Gerencia tratará procesos o productos, la
de diversificar los riesgos o controlar los reorganización, la renegociación,
mismos. etc.
 AMBIENTE DEBIL DE CONTROL
PROPICIO PARA EL FRAUDE:
 Poca o ninguna restricción física en el acceso al equipo
 Carencia de un Depto. de auditoría interna
 Control absoluto sobre las actividades desarrolladas por el PED
 Falta de documentación sobre los sistemas y programas en
producción.
 Errores corregidos mediante solicitudes verbales
 Cambios en línea a los datos contenidos en el sistema
 Poco o ningún control sobre el uso de reportes elaborados por el
PED
 Uso del PED en horario nocturno, sin ninguna supervisión sobre
las funciones que se realizan.
 AMBIENTE DEBIL DE CONTROL
PROPICIO PARA EL FRAUDE:
 Poco o ningún control sobre el consumo y circulación de suministros.
 Los Deptos usuarios no revisan la información procesada y preparada por
el PED
 Solicitudes verbales de cambios de programas. Programas fuente que
permanecen en el sistema.
 Presencia en el directorio de programas ajenos a la producción de la
empresa.
 Poca o ninguna rotación de personal, ausencia de planes de vacaciones, etc.
 Procesamiento de datos fuera del ámbito de la empresa, con gran flujo de
documentos e información sin ningún control.
 DEFINICIONES DE
CONTROL
“ Control ” puede usarse de diferentes formas: comprobación,
examen, inspección, verificación, dirección, gobierno, mando.

En el campo de la administración de empresas se suele utilizar

ambos significados:
Acto aislado y simple de verificación (sentido estricto)
Función de la dirección de empresas (sentido amplio).

“Es una medida y corrección del desempeño de las actividades de

los subordinados para asegurar que los objetivos y planes de la
empresa, diseñados para lograrlo, se están llevando a cabo.”
 Control Interno -
Definición-
 El Control Interno conforme COSO “es un proceso integrado
a los procesos, y no un conjunto de pesados mecanismos
burocráticos añadidos a los mismos, efectuado por el consejo
de la administración, la dirección y el resto del personal de
una entidad, diseñado con el objeto de proporcionar una
garantía razonable para el logro de objetivos incluidos en las
siguientes categorías:

 Eficacia y eficiencia de las operaciones (salvaguarda de activos).

 Confiabilidad de la información financiera.
 Cumplimiento de las leyes, reglamentos y políticas.
 Cumplimiento de los planes estrategicos
 La función de control:
 Control es todo lo que tiende a evitar errores.
 Control es todo lo que tiende a minimizar riesgos.

Es aquella que tiene por finalidad asegurar que todos y cada uno de
los actos de una organización obtengan los objetivos previstos,
dentro de los límites prefijados. No se limita exclusivamente a
verificar en qué medida se logra un objetivo.

El control íntegramente considerado debe considerar que los actos

logren los resultados previstos y no solamente señalar las
eventuales desviaciones.
El control es la suma de factores deliberadamente
dispuestos por la organización con el fin de:
 Condicionar cada acto, asegurando que sea
realizado de un modo determinado.
 Determinar la medida en que cada acto dio el
resultado previsto.
 Informar los resultados y las eventuales
desviaciones, retroalimentando de esta manera todo
el proceso.
 PROCESO BÄSICO DEL
CONTROL:

 Establecimiento de Normas
 Evaluación de la Actuación
 Corrección de las Desviaciones
 REQUISITOS QUE
DEBEN CUMPLIR LOS
CONTROLES:
1. Deben reflejar la naturaleza y necesidades de la empresa
2. Deben reportar prontamente las desviaciones
3. Deben ser futuristas
4. Deben señalar excepciones
5. Deben ser objetivos
6. Deben ser flexibles
7. Deben ser económicos
8. Deben ser comprensibles
9. Deben conducir a la acción correctiva.
“Las labores de control se enfrentan siempre a fuerte
oposición:
 Por parte de los eficientes y honestos, porque lo
consideran innecesario, inhibitorio o degradante,
 De los deficientes, porque no se percatan de su
utilidad
 y por parte de los deshonestos, porque les
estorba.”
 Aspectos a considerar
Es un proceso:
✓ No es un hecho aislado, es un conjunto de actividades realizadas de forma continua
✓ Resulta efectivo cuando está integrado en la estructura y cultura de la entidad
Aplicado al definir la estrategia:

VISIÓN Y
MISIÓN

OBJETIVOS
ESTRATÉGICOS

OBJETIVOS DE
NEGOCIO

OBJETIVOS DIVISIONES
PROCESOS
RIESGOS
ASPECTOS IMPLÍCITOS EN LA DEFINICIÓN
DE CONTROL INTERNO

CI ES UN PROCESO CI LO LLEVAN A
CABO LAS PERSONAS

CONTROL
INTERNO
CI FACILITA LA
CONSECUCIÓN DE OBJETIVOS

CI SÓLO PUEDE APORTAR UN GRADO

RAZONABLE DE SEGURIDAD
 RIESGOS QUE AMENAZAN LA
INFORMACION

EXTERNOS
Naturales (Temblor, Incendio, Inundación, Tormenta)
Humanos (Robo, Sabotaje, Motines sociales, Fraude)
Materiales (Desperfectos en el equipo, Fallas de energía)
CLASIFICACION DE LOS CONTROLES
POR SU NATURALEZA
• GENERALES (VARIOS SISTEMAS)
• MANUALES (USO DE HUMANWARE)
• AUTOMATICOS (INCORPORADOS)

POR SU EFECTO: POR SU ESTADO:

• DISUASIVOS • RECOMENDADOS
• DE EVIDENCIA • DESCARTADOS
• PREVENTIVOS * • IMPLANTADOS
• DETECTIVOS * * Controles de Aplicaciones que se
• CORRECTIVOS * ampliarán
• RECUPERATIVOS
CONTROLES en función del
momento del incidente
CONTROLES PREVENTIVOS
Son aquellos que reducen la frecuencia con que ocurren las causas de error.

Características:

• Reducen la frecuencia de errores

• Previenen operaciones no autorizadas

• Son sutilmente incorporados en los procesos

• Son los de mas bajo costo.

 Autorización:
La iniciación de una transacción o la ejecución
de un proceso se limita a los individuos
autorizados para ello.
 Custodia Segura:
A los activos de información se les aplican
medidas de seguridad similares a las de los
activos tangibles, tales como efectivo, valores
negociables, etc.
 Formas pre numeradas:
En las formas individuales se pre imprimen
números consecutivos a fin de permitir la
detección posterior de su pérdida o mala
colocación.
Formas preimpresas:
Los elementos fijos de información se anotan por anticipado en las
formas y, en algunos casos, en un formato que permite el
procesamiento directo por el computador, a fin de prevenir errores en
la anotación de datos repetitivos.

Lic. MA Sergio Arturo Sosa Rivas -USAC-

Documento de retorno:
Es un documento producido por el computador,
con el objeto de que vuelva a entrar al sistema.
Endoso:

Marcar una forma o un documento a fin de dirigir o

restringir su uso posterior en el procesamiento.
Cancelación:
Marcar o identificar los documentos de las transacciones
a fin de prevenir su uso posterior una vez que han
cumplido su función.
Contraseñas:
La autorización para permitir el acceso a
información o procesos, por medio de una
señal o clave conocida únicamente por los
individuos autorizados para ello.
 Confiabilidad del personal:
Puede confiarse en que el personal que
efectúa el procesamiento maneja los datos
en forma adecuada y consistente.
Entrenamiento:
Se proporcionan instrucciones explícitas al
personal y se verifica que las hayan
comprendido, antes de asignárseles nuevas
tareas.
Competencia del personal:

Las personas asignadas a funciones de procesamiento

o de supervisión dentro de los sistemas de
información, poseen el conocimiento técnico
necesario para llevar a cabo sus funciones.
Mecanización:

El utilizar medios electrónicos para procesar la información, proporciona

consistencia al procesamiento.
Segregación de funciones:

La responsabilidad de la custodia, control del

manejo y el procesamiento de la
información, se encuentran separadas.
 CONTROLES
DETECTIVOS
 Estos no impiden que ocurra una causa de error, sino que acciona la
alarma después de que haya ocurrido.
 Pueden impedir la continuidad de un proceso
 No impiden que ocurra un error, pero dan la alarma después que haya
ocurrido
 Requieren de ciertos gastos operativos moderados.
Documento de envío:
Es el medio para comunicar las cifras control a
través del movimiento físico de la información,
particularmente de la fuente al punto de
procesamiento o entre puntos de
procesamiento.
Números consecutivos de lote:
Los lotes de documentos de transacciones se
numeran en forma consecutiva y se controlan.
Cifras de control de cantidades:
Son totales de valores homogéneos para un grupo
de transacciones o registros, generalmente en
valores monetarios o cantidades.
Cifras de control de numero de documentos:
Consiste en que se efectúa un conteo del
número de documentos individuales y este
total es el que se controla.
Cifras de control sin significado monetario:
Es un total no significativo, pero útil, obtenido de
la sumatoria de información numérica no
monetaria.
Totales de lote:

Es cualquier tipo de cifra control o conteo que se aplica a un numero

especifico de documentos de transacciones o a los documentos de las
transacciones que se reciben en un periodo de tiempo especifico.
Verificación de rebasamiento:

Es una verificación de límite que se basa en la capacidad de un área de

la memoria o de un archivo para aceptar información.
Verificación de formato:
Determinación de que los datos se registran en la
forma establecida en el formato de
información que se estipula en el programa de
aplicación, ya sea en forma numérica o
alfanumérica.
Verificación de integridad:

Consiste en comprobar que se hayan anotado datos en aquellos campos

que no pueden procesarse si se dejan en blanco.
Dígito Verificador:

Es un dígito, generalmente el ultimo de un campo de

identificación, que es una función matemática de todos los
demás dígitos en el campo. La validez de todo el campo se
comprueba al calcular, con base en los demás dígitos del
campo, el digito verificador y compararlo con el consignado
en el campo.
Ejemplo: Número de Afiliación al IGSS, es un Código Base 10.

No. Afilic. al IGSS = 1 7 2 0 9 7 7 7- 6

Multiplicar x 1 y 2 = 1 2 1 2 1 2 1 2

(Excepto Dígito Verif.)

= 1 14 2 0 9 14 7 14

Se suman = 1+1+4+2+0+9+1+4+7+1+4

Total = 34

Siguiente Decena = 40

Comprobación = 40 (-) 34 = 6 = D.V

Razonabilidad:

Pruebas que se aplican a varios campos de información mediante la

comparación con otra información disponible en los registros de
transacciones o los maestros, a efecto de establecer su razonabilidad.
Verificación de limite:
Pruebas de los campos de importes específicos, contra limites
inferiores o superiores de aceptabilidad estipulados. Cuando se
verifican ambos limites, la prueba suele denominarse “verificación
de rango”.
Verificación de validez:

Los caracteres en un campo codificado son cotejados contra

un conjunto aceptable de valores en una tabla, o
examinados con respecto a un patrón definido de
formato, utilizando la lógica y la aritmética.
Fechas:
Registrar fechas de calendario para efectos de
comparaciones posteriores o de pruebas relativas a
la expiración de documentos.
Verificación de la digitación:

La entrada redundante de datos por medio de un teclado, a fin de verificar la

exactitud de una entrada anterior. Las diferencias entre los datos
previamente registrados y los datos accesados en la verificación originan
una señal mecánica.
Aprobación:

Consiste en la aceptación de una transacción para que

sea procesada, después de que se ha iniciado.
Totales de corrida a corrida:

Consiste en el uso de las cifras de control de salida que resultan de un

proceso, como cifras de control para un procesamiento posterior. Las
cifras control se utilizan como enlaces en una cadena para unir un
proceso con otro en una secuencia de procesos.
Igualización/comparación:

Es una prueba para determinar la igualdad entre los

valores de dos conjuntos equivalentes de partidas o
entre un conjunto de partidas y una cifra control.
Cualquier diferencia indica un error.
 Clasificación por antigüedad:
Consiste en la identificación de partidas sin o con poco movimiento, de
acuerdo con su fecha, generalmente la fecha de la transacción. Esta
clasificación segrega las partidas de acuerdo con varios límites de
fechas.
 Cuenta de partidas pendientes de procesarse:
Cotejar las partidas del flujo del procesamiento en una
aplicación con otras desarrolladas en forma
independiente, a fin de identificar partidas no
procesadas o diferencias en las mismas.
 Cotejo:
Cotejar las partidas del flujo del procesamiento en una aplicación
con otras desarrolladas en forma independiente, a fin de
identificar partidas no procesadas o diferencias en las mismas.
 Auditoria periódica:
Consiste en la verificación de un archivo o de una fase de
procesamiento, con el objeto de detectar problemas y fomentar
el cumplimiento de los procedimientos establecidos.
 Etiquetas:
Consiste en la identificación externa o interna de los lotes de
transacciones o de los archivos de acuerdo con su fuente, aplicación,
fechas u otras características de identificación.
 CONTROLES CORRECTIVOS

Ayudan a la investigación y corrección de las causas de los errores que hayan

sido detectados.
La acción correctiva es siempre necesaria.
Son casi siempre muy costosos.
 Reportes de discrepancias o inconsistencias
No es más que un listado de las partidas que han violado algún
control detectivo y que, consecuentemente, requieren
investigación posterior.
 Rastro de auditoria:
Pista de auditoria o pista de las transacciones, consiste en
la disponibilidad de un medio manual o legible por
computador que permita rastrear el estado y el
contenido del registro de una transacción individual,
hacia atrás o hacia delante, entre salida, procesamiento
y fuente.
 Los principios generales aplicables al diseño de rastros adecuados para
auditoria, son los siguientes:
 Para todas las operaciones que afectan los estados financieros debe
haber un medio de establecer la cuenta a la cual son transcritas las
operaciones.
 Por todas las cuentas reflejadas en los estados financieros debe haber
un medio para comprobar el importe de las cifras del total, hacia los
elementos de las operaciones individuales.
 Por todas las operaciones y cuentas que originan un número
importante de consultas deben existir medidas para proporcionar los
registros necesarios para contestar las consultas en forma regular.
 Por todas las operaciones y cuentas que típicamente no son objeto de
consultas, debe haber un medio de comprobación, aun cuando no se
establezcan medidas para contestar consultas en forma regular.
 Estadísticas de errores y su fuente:
Consiste en llevar control estadístico de la información relativa a los
diversos tipos de errores que se dieron en el proceso y cual fue el
origen de los mismos. Esta información se utiliza para determinar los
procedimientos que deberán aplicarse a efecto de reducir la cantidad
de errores.
 Corrección automatizada de errores:
Se refiere a que el propio computador realiza un proceso para
corregir cierto tipo de errores de transacciones o de registros
que violan un control detectivo; así, si por error se pago una
factura que excedía al valor de la orden de compra
correspondiente, el computador produce automáticamente
una nota de cargo al proveedor, por la diferencia.
 Respaldo y recuperación:
Consiste en que deben conservarse los archivos maestros y las
transacciones del día anterior, a efecto de tener la posibilidad de
volver a crear nuevos archivos maestros actualizados, en caso se
destruyera el archivo maestro del día.

BACK-UPS
 Reinclusión en el proceso:
Se refiere a que las transacciones cuyos errores detectados, fueron
corregidos, deben reincluirse en el proceso como si fueran datos de
entrada nuevos, debiendo en consecuencia, pasar a través de todos los
controles detectivos que se aplican sobre las transacciones normales.
http://www.youtube.com/watch?feature=player_emb
edded&v=rc7FgirCnYU