Ca4-Unidad Didactica-Control Interno

UNIVERSIDAD CENTRAL DEL ECUADOR
FACULTAD DE CIENCIAS ADMINISTRATIVAS

MODALIDAD A DISTANCIA
SEMESTRE: 2021 - 2022
UNIDAD DIDÁCTICA
CONTROL INTERNO
Nivel: CUARTO
Número de créditos: 4
TUTOR:
Dra. María Angélica García
Quito – Ecuador
INTRODUCCIÓN
La alta competitividad del mercado ha impulsado a varias compañías a incursionar en la

creación y oferta de una diversidad de productos y servicios con el fin de apalancar su
crecimiento, lo cual ha aumentado la complejidad de sus operaciones y de su perfil de
riesgo. En este sentido, una adecuada administración y supervisión del control interno es
uno de los desafíos más grandes a los que se enfrentan las compañías hoy en día. Vale la
pena resaltar que la gestión de los riesgos, no hace otra cosa más que buscar la protección
de los recursos de la entidad y el logro de sus objetivos.
Desde este enfoque es importante que las empresas cuenten con herramientas que le
permitan fortalecerse dentro de una cultura de gestión de control interno y riesgo
empresariales, basándose en las mejores prácticas mundiales y teniendo en cuenta siempre
que la gestión de riegos y la gestión de control interno van de la mano y garantizan la
transparencia y confiabilidad en las operaciones, minimizando la posibilidad de la ocurrencia
de fraude y error en la gestión operativa de los procesos, sistemas, personas y factores
externos.
La constante implementación y mejora tecnológica, sistemas y procesos así como las

operaciones naturales de cualquier compañía traen consigo un sin número de riesgos que
pueden encasillarse claramente en riesgos operativos, ya que: “El riesgo operativo se
define como la posibilidad de sufrir pérdidas debido a la inadecuación o a fallos de los
procesos, personas o sistemas internos o bien a causa de acontecimientos externos, esta
definición también engloba el riesgo legal, pero excluye los riesgos estratégico y de
reputación”.
Bajo este contexto, es importante que las compañías comprendan a qué se refiere el riesgo
operativo para poder llevar a cabo una administración y un control efectivo de esta categoría
de riesgo. La administración de este tipo de riesgos requiere sin duda de la adopción de
metodologías y herramientas que ayuden a identificar, evaluar, transferir, mitigar, aceptar,
eliminar y monitorear cada uno de los riesgos.
2
Haciendo un breve recuento histórico, recordemos como desde 1992, con la publicación del
Informe COSO, ya se indicaba que las compañías necesariamente dentro de su actividad
normal se veían enfrentadas a una variedad de riesgos, los cuales debían valorarse a través
de la identificación y el análisis de riesgos relevantes para la consecución de los objetivos
de la entidad, formando así una base para determinar cómo administrar los riesgos.
Por otro lado, la metodología COSO se crea con el objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base al cual
pudieran valorar sus sistemas de control interno y generando una definición común de
control interno. Según COSO se define al Control Interno como un proceso llevado a cabo
por la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
dentro de las siguientes categorías: Eficacia y eficiencia de las operaciones, confiabilidad de
la información financiera y cumplimiento de las leyes, reglamentos y normas que sean
aplicables.
Ya en el año 2004, el Comité COSO publica un nuevo marco de gestión integral de Riesgo
COSO Enterprise Risk Management (ERM), capaz de abordar la gestión de riesgo de las
empresas con un enfoque integrador y que genere una verdadera oportunidad de creación
de valor para sus stakeholders.
Por lo tanto, COSO ERM se traduce en una guía para la gestión de control interno y riesgo
empresariales misma que está conformada por ocho componentes: ambiente de control,
establecimiento de objetivos, identificación de eventos, evaluación de riesgo, respuesta al
riesgo, actividades de control, información y comunicación, y monitoreo.
Tomando en consideración la necesidad que ha surgido a lo largo de estos años de crear

todas estas guías de nivel mundial, resulta cada vez más evidente la importancia de que los
riesgos sean gestionados adecuadamente con el fin de evitar, afectar significativamente el
logro de los objetivos de una organización.
3
IMPORTANCIA DEL CONTROL INTERNO
El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la

empresa, fijando y evaluando los procedimientos administrativos, contables y financieros
que ayudan a que la empresa realice su objeto. Detecta las irregularidades y errores y
propugna por la solución factible evaluando todos los niveles de autoridad, la administración
del personal, los métodos y sistemas contables para que así el auditor pueda dar cuenta
veraz de las transacciones y manejos empresariales.
Desde tiempos remotos, el ser humano ha tenido la necesidad de controlar sus

pertenencias y las del grupo del cual forma parte, por lo que de alguna manera se tenían
tipos de control para evitar desfalcos; por tal situación, es necesario que una empresa
establezca un control interno, ya que con esto se logra mejorar la situación financiera,
administrativa y legal.
Se dice que el control interno es una herramienta surgida de la imperiosa necesidad de

accionar proactivamente a los efectos de suprimir y/o disminuir significativamente la multitud
de riesgos a las cuales se hayan afectadas los distintos tipos de organizaciones, sean estos
privados o públicos, con o sin fines de lucro. Partiendo de esto mencionamos la siguiente
interpretación del control interno:
Es la base donde descansan las actividades y operaciones de una entidad; es decir, que las
actividades de producción, distribución, financiamiento, administración, entre otras, son
regidas por el control interno; además, es un instrumento de eficiencia y no un plan que
proporciona un reglamento tipo policíaco o de carácter tiránico.
El mejor sistema de control interno es aquel que no daña las relaciones de empresa-clientes
y mantiene en un nivel de alta dignidad humana las relaciones de dirigentes y subordinados;
su función es aplicable a todas las áreas de operación de los negocios, de su efectividad
depende que la administración obtenga la información necesaria para seleccionar las
alternativas que mejor convengan a los intereses de la entidad.
4
RELACIONES CON OTRAS ESPECIALIDADES
A través del control interno contable se planifican varias actividades de control, entre ellas la
planificación de la auditoría, el alcance de las pruebas sustantivas, etc.; en sí toda la gestión
requiere de procedimientos de control y revisión, por tanto el control interno es transversal
en todos los procesos y procedimientos de las empresas, y su aplicación es macro,
relacionándose con algunas asignaturas.
- Con la contabilidad financiera
- Con la economía
- Con la administración financiera
- Con el marketing
- Con la informática
5
BIBLIOGRAFÍA Y NETGRAFÍA
Bibliografía básica
1. Chorafas Dmitris N., Operational Risk Control whith Basel II, Elsevier Butterworth-
Heinemann, Primera Edición, año 2004.
2. Comité de Supervisión Bancaria de Basilea, Declaración de Principios del Comité para
la reglamentación bancaria y las prácticas de vigilancia de Basilea sobre la prevención
de la utilización del sistema bancario para fines de reciclaje de fondos derivados de
actividades ilegales, diciembre 2004.
3. Mendoza A & Castillo M., Diseño de una Metodología para la identificación y la medición
del Riesgo Operativo en Instituciones Financieros, Universidad de los Andes, Bogotá
Colombia.
4. Santillana, Juan Ramón: Establecimiento de Sistemas de Control Interno, 1ra edición,
2001.
5. Rivas, Glenda, Modelos contemporáneos de control interno. Fundamentos teóricos,
Observatorio Laboral Revista Venezolana Vol. 4, Nº 8, julio-diciembre, 2011: 115-136
Universidad de Carabob
6. Melendez, T. Juan, Métodos de Evaluación de Control Interno, Universidad “Los
Ángeles” de Chimbote, Curso: control interno, Facultad de Ciencias Contables y
Financieras, Escuela Profesional de Contabilidad, México, 2010.
7. Sulca, Gabriela; Becerra, Efraín, Espinosa, Veónica, Control Interno, COSO II, Auditoría,
Biblioteca Repositorio Digital, Facultad de Ciencias Administrativas, Escuela de
Contabilidad y Auditoría, disponible en:
https://drive.google.com/drive/folders/0B3gftDYAF3gZUFNsWFRJTEc3ZHM
Bibliografía complementaria
1. Resolución No. JB-2005-834 de 20 de octubre del 2005 De la Gestión del Riesgo

Operativo
2. Venegas Martínez, Francisco, Riesgos Financieros y Económicos, Productos
derivados y decisiones económicas bajo incertidumbre, Segunda Edición, Editec
S.A., México año 2008
3. ARENS A, ELDER R. Y BEASLEY M. (2007). Auditoría. Un enfoque integral.
Undécima edición. Pearson educación. México.
4. COOPERS & LYBRAND (1997). Los nuevos conceptos de control interno. (Informe
COSO). Primera edición. Ediciones Díaz Santos. España.
5. ESTUPIÑAN G. RODRIGO (2006). Administración o gestión de riesgos E.R.M. y la
auditoría interna. Primera edición. Ecoe ediciones. Colombia.
6
6. Marco Integrado de Control Interno para Latinoamérica (2004). Disponible:
http://www.sisepuede.com.ec/docs/ MICIL.doc Consultado el 02-01-2012.
7. MANTILLA B. SAMUEL (2003). Auditoría 2005. Primera edición. Editorial Ecoe
ediciones. Colombia.
8. MANTILLA B. SAMUEL Y BLANCO SANDRA (2005). Auditoría del Control interno.
Primera edición. Editorial Ecoe ediciones. Colombia. PriceWaterhouseCoopers
(2005). Administración de riesgos corporativos – Marco integrado. Resumen
ejecutivo Marco. Primera edición. Editado por la Federación Latinoamericana de
auditores internos (FLAI).
9. QUEVEDO, DOSCARLI Y RAMIREZ ELIANA (2006). Análisis comparativo entre los
enfoques modernos de Control Interno: COSO, COCO y MICIL. Trabajo especial de
grado no publicado. Universidad de Carabobo. República bolivariana de Venezuela.
WARREN CARL, REEVE JAMES, Y FESS PHILIP (2005). Contabilidad Financiera.
Novena edición. Thomsom editores. México. WHITTINGTON, O Ray y PANY Karls
(2005). Principios de auditoría. Decimocuarta edición. McGraw Hill.
Netgrafía
1. http://es.wikipedia.org/wiki/Riesgo_de_cr%C3%A9dito
2. http://es.wikipedia.org/wiki/Basilea_II
7
ÍNDICE DE CONTENIDOS
INTRODUCCIÓN ................................................................................................................... 2
IMPORTANCIA DEL CONTROL INTERNO ....................................................................... 4
RELACIONES CON OTRAS ESPECIALIDADES ............................................................... 5
BIBLIOGRAFÍA Y NETGRAFÍA .......................................................................................... 6
ÍNDICE DE CONTENIDOS ................................................................................................... 8
1. Control Interno ............................................................................................................... 11
1.1 Definición de Control Interno .................................................................................... 11
1.2 Principios de Control Interno ..................................................................................... 11
1.3 Objetivos de Control Interno ...................................................................................... 12
1.4 Elementos ................................................................................................................... 13
2. Modelos de Control Interno ....................................................................................... 16
2.1 Introducción ............................................................................................................... 16
2.2 Modelo COSO............................................................................................................ 16
2.2.1 Primer componente: Ambiente de Control................................................................. 17
2.2.2 Segundo componente: Evaluación de los Riesgos ..................................................... 18
2.2.3 Tercer Componente: Actividades de Control ............................................................. 19
2.2.4 Cuarto componente: Información y comunicación .................................................... 20
2.2.5 Quinto componente: Monitoreo ................................................................................. 20
2.3 Modelo COCO ........................................................................................................... 21
2.3.1 Primer Grupo: Propósito: ........................................................................................... 22
2.3.2 Segundo grupo: Compromiso .................................................................................... 23
2.3.3 Cuarto grupo: Evaluación y Aprendizaje ................................................................... 23
2.4 Modelo MICIL ........................................................................................................... 24
2.4.1 Primer Componente: Entorno o ambiente de control y trabajo institucional. ............ 25
2.4.2 Segundo componente: Evaluación de riesgos para obtener objetivos ........................ 26
2.4.3 Tercer Componente. Actividades de control para minimizar riesgos ........................ 27
2.4.4 Cuarto componente: Información y comunicación para fomentar la transparencia ... 28
2.4.5 Quinto componente: Supervisión interna continua y externa periódica..................... 29
2.5 Metodología COSO ERM .......................................................................................... 29
2.5.1 Definición................................................................................................................... 30
2.5.2 Componentes .............................................................................................................. 30
2.6 Riesgo Operativo........................................................................................................ 32
2.6.1 Definición de Riesgo Operativo ................................................................................. 32
2.6.2 Principios del Riesgo Operativo................................................................................. 32
2.6.3 Factores del riesgo operativo ..................................................................................... 34
3. Métodos de Evaluación de Control Interno................................................................ 38
3.1 Introducción ............................................................................................................... 38
3.2 Método Descriptivo.................................................................................................... 38
3.3 Método de Cuestionario ............................................................................................. 39
3.3.1 Características de redacción de cuestionario:............................................................. 39
3.3.2 Ejemplo de cuestionario: ............................................................................................ 40
3.4 Método de Flujograma (Diagrama de Flujo).............................................................. 41
3.4.1 Técnicas de Diagramación: ........................................................................................ 42
3.4.1.1 Diagramas de flujo de procesos: ................................................................................ 42
3.4.1.2 Diagramas de causa y efecto: ..................................................................................... 43
3.4.1.3 Ejemplos de Diagramas.............................................................................................. 43
4. Caso de aplicación práctica metodología COSO ERM o COSO II ........................... 46
4.1 Datos Generales Caso Práctico - Corporación Cable TV........................................... 46
4.2 Productos y servicios.................................................................................................. 46
8
4.3 Mapa de procesos ....................................................................................................... 47
4.3.1 Metodología COSO ERM ó COSO II– Aplicación práctica ..................................... 50
4.3.2 Objetivo...................................................................................................................... 50
4.3.3 Alcance....................................................................................................................... 50
4.3.4 Proceso de Gestión ..................................................................................................... 51
4.3.4.1 Ambiente Interno ....................................................................................................... 51
4.3.4.2 Establecimiento de objetivos...................................................................................... 51
4.3.4.3 Identificación de eventos............................................................................................ 52
4.3.4.4 Evaluación de riesgos ................................................................................................. 52
4.3.4.5 Respuesta al riesgo ..................................................................................................... 52
4.3.4.6 Actividades de control................................................................................................ 52
4.3.4.7 Información y comunicación...................................................................................... 52
4.3.4.8 Supervisión................................................................................................................. 52
4.3.5 Estructura de la Gestión de control interno y riesgo empresariales ........................... 52
4.3.6 Recursos ..................................................................................................................... 53
4.3.7 Roles y Responsabilidades ......................................................................................... 53
4.3.8 Estructuras de responsabilidad ................................................................................... 53
4.3.8.1 Estructura Estratégica................................................................................................. 53
4.3.8.2 Estructura Táctica....................................................................................................... 54
4.3.8.3 Estructura Operativa................................................................................................... 54
4.3.9 Roles y Responsabilidades ......................................................................................... 54
4.4 Metodología para la implementación del proceso de gestión de control interno en los
procesos de ingresos y egresos ............................................................................................... 56
4.4.1 Identificación de Riesgos ........................................................................................... 56
4.4.2 Valoración de Riesgos................................................................................................ 57
4.4.3 Mapa de Riesgo .......................................................................................................... 59
4.4.4 Control y Monitoreo................................................................................................... 60
4.5 Gestión del sistema de control interno, para los procesos de ingresos y gastos en
Corporación Cable TV Cía. Ltda. .......................................................................................... 61
4.5.1 Análisis de la Base de Datos Institucional ................................................................. 61
4.5.2 Análisis del ambiente interno ..................................................................................... 65
2.1.1 Análisis de los Objetivos del Negocio: ...................................................................... 71
4.6 Matriz de Evaluación del Riesgo ............................................................................... 75
9
UNIDAD No. UNO
CONCEPTUALIZACIÓN Y
OBJETIVOS DEL
CONTROL INTERNO
OBJETIVOS
✓ Conoce el marco conceptual y objetivos del control interno
✓ Explicar los conceptos generales y la metodología utilizada para

efectuar el análisis y evaluación del Control Interno.
✓ Dotar de un marco teórico para el desarrollo del Caso de aplicación

práctica.
CONTENIDOS
UNIDAD No. UNO
1. CONCEPTUALIZACIÓN Y OBJETIVOS DEL CONTROL

INTERNO
1.1 Definición
1.2 Principios
1.3 Objetivos
1.4 Elementos
10
ORIENTACIONES SOBRE EL TEMA
1. Control Interno
1.1 Definición de Control Interno
Según Santillana el control interno se define como: “El Control Interno comprende el plan de
organización y todos los métodos y procedimientos que en forma coordinada son adoptados
por una entidad para salvaguardar sus activos, verificar la razonabilidad y confiabilidad de
su información financiera y la complementaria administrativa y operacional, promover la
eficiencia operativa y estimular la adhesión a las políticas prescritas por la administración”1
1.2 Principios de Control Interno
Para lograr establecer un eficaz sistema de control interno, se debe tomar en cuenta
previamente la organización de la entidad sobre la base de los siguientes principios:
a) División del trabajo: En ningún caso una sola persona tendrá el control íntegro de una
operación, para procesar cada tipo de transacción el control interno debe pasar por cuatro
etapas separadas:
• Autorizada.
• Aprobada.
• Ejecutada.
• Registrada.
De modo tal que garantice que los responsabilizados con la custodia de los medios y la
elaboración de los documentos primarios no tengan autoridad para aprobar los mismos y
que ambos no tengan la función o posibilidad de efectuar anotaciones en los registros
contables de esta forma el trabajo de una persona es verificado por otra que trabaja
independiente y que al mismo tiempo verifica la operación realizada posibilitando la
detección de errores.
b) Fijación de responsabilidad: Garantizar que los procedimientos inherentes al control de

las operaciones económicas, así como la elaboración y aprobación de los documentos
pertinentes, permitan determinar en todos los casos, la responsabilidad primaria sobre todas
las anotaciones y operaciones llevadas a cabo. Se deben proveer las funciones de cada
1
SANTILLANA, Juan Ramón: Establecimiento de sistemas de Control Interno, 1ra edición, 2001,
p3.
11
área, así como las consecuentes responsabilidades de cada uno de los integrantes de la
misma, teniendo en cuenta que la autoridad es delegable, no siendo así la responsabilidad.
c) Cargo y descargo: “Debe garantizarse que todo recurso o servicio recibido o entregado
sea registrado, o sea lograr que se contabilicen los cargos de todo lo que entra y descargos
de todo lo que sale, lo cual servirá de evidencia documental que precise quién lo ejecutó,
aprobó, registró y verificó.
Debe quedar bien claro en qué forma y momento una cuenta recibe los créditos y los
débitos, es por ello que toda anotación que no obedezca a las normas de una cuenta se
debe investigar en detalle.
La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o análisis en

forma sistemática, por personal independiente al que efectúa dichas anotaciones, permitirá
observar si las operaciones registradas se corresponden con el contenido de cada cuenta.
Resulta conveniente además aplicar la práctica de rotar a los trabajadores en sus distintos
puestos de trabajos teniendo en cuenta sus conocimientos y nivel ocupacional, lo que limita
los riesgos de la comisión de fraudes viabilizando su descubrimiento en caso de producirse
éstos y tiene además la ventaja de aumentar la eficiencia del trabajo al conseguir un
entrenamiento más integral.”2
Los principios de Control Interno en general pueden resumirse en cinco puntos principales:
• Separación de funciones de operación, custodia y registro.

• Dualidad de personas en cada operación, es decir al menos dos personas
deben intervenir directamente en cada operación.
• Ninguna persona debe tener acceso directo a registros contables que
controlan su actividad.
• El trabajo de los empleados será complementario y no de revisión.
• El Departamento de Contabilidad será el único encargado del registro de las
operaciones de la empresa.
1.3 Objetivos de Control Interno
Desde el punto de vista de informe COSO los objetivos del control interno son:
2
LÓPEZ, Toledo Martha; Control Interno, Cuba, 2003, p.38
12
1. Eficacia y eficiencia de las operaciones
2. Fiabilidad de la información financiera
3. Cumplimiento de las leyes y normas aplicables
El primer numeral se enfoca a los objetivos de la entidad inclusive a las metas de

desempeño y capacidad de ganancia y salvaguarda de errores. El segundo se relaciona con
la presentación de los estados financieros de una forma oportuna y adecuada. El tercero
corresponde a las políticas y normas que la entidad se sujeta para cumplir los objetivos de
mejor manera.
Con el control interno la entidad podrá cumplir los objetivos de desempeño, podrá aumentar
la capacidad de ganancia y además prevé la pérdida de recursos.
También puede asegurar la cobertura financiera, ayuda a que la empresa se conforme con
las leyes y regulaciones, evitando el daño a su prestigio y otras consecuencias. Es decir,
permite a una entidad llegar a donde quiere ir, evitando fraudes.
De manera más detallada se puede exponer que los objetivos de Control Interno son los
siguientes:
• Prevenir fraudes
• Descubrir robos malversaciones de fondos
• Obtener información administrativa, contable y financiera, oportuna y
confiable
• Detectar errores administrativos, contables y financieros
• Proteger y salvaguardar los bienes, valores y demás activos de la empresa
• Promover la eficiencia del personal
• Detectar desperdicios materiales y de tiempo en operaciones de la empresa
• Mediante la evaluación al control interno se puede graduar la extensión del
análisis; pruebas y estimación de cuentas sujetas a ser auditadas, etc.
1.4 Elementos
Para que la administración pueda lograr los objetivos de control interno de la entidad, es
necesario aplicar los siguientes elementos:
Ambiente de control: Está dado por los valores, la filosofía, la conducta ética y la
integridad dentro y fuera de la organización. Es necesario que el personal de la Empresa,
los clientes y las terceras personas relacionadas con la compañía, los conozcan y se
identifiquen con ellos.
13
Evaluación de riesgos: Consiste en la identificación de los factores que podrían hacer que
la entidad cumpla sus objetivos propuestos. Cuando se identifiquen los riesgos, éstos deben
gestionarse, analizarse y controlarse.
Procedimientos de control: Son emitidos por la dirección y consisten en políticas y

procedimientos que aseguran el cumplimiento de los objetivos de la entidad y que son
ejecutados por toda la organización. Además de brindar las medidas necesarias para
afrontar los riesgos.
Supervisión: Mediante un monitoreo continúo efectuado por la administración se evalúa si

los funcionarios realizan sus tareas de manera adecuada o si es necesario realizar cambios.
La supervisión comprende supervisión interna (Auditoría Interna) por parte de las personas
de la empresa y evaluación externa (Auditora Externa) que la realizan entes externos de la
Empresa.
Sistemas de información y comunicación: Se utilizan para identificar, procesar y

comunicar la información al personal, de tal manera que le permita a cada empleado
conocer y asumir sus responsabilidades. La alta administración debe transmitir mensajes
claros acerca de las actividades de la entidad y de la gestión y control que se realizan en
cada una de ellas. Igualmente, se puede obtener información de fuentes externas para
mejorar los controles y comunicar cualquier anomalía a la administración.
14
UNIDAD No. DOS
MODELOS DE CONTROL
INTERNO
OBJETIVOS
✓ Conoce los modelos de control interno (COSO, COCO, MISIL, etc.)
✓ Dotar de un marco teórico para el desarrollo del Caso de aplicación

práctica.
CONTENIDOS
UNIDAD No. DOS
2. MODELOS DE CONTROL INTERNO
2.1 Introducción
2.2 Modelo COSO
2.3 Modelo COCO
2.4 Modelo MICIL
2.5 Metodología COSO ERM
2.6 Riesgo Operativo
15
2. Modelos de Control Interno
2.1 Introducción
A partir de la década de los noventa, los nuevos modelos desarrollados en el campo del
control están definiendo una nueva corriente del pensamiento, con una amplia concepción
sobre la organización, involucrando una mayor participación de la dirección, gerentes y
personal en general de las organizaciones a nivel mundial. Estos modelos han sido
desarrollados con la idea de que representen fuertes soportes del éxito de la organización,
siempre que los mismos sean llevados con el criterio y la perspicacia necesaria de parte del
profesional.
Se han publicado diversos modelos de Control, así como numerosos lineamientos para un
mejor gobierno corporativo. Los modelos más conocidos son: el COSO (USA), el COCO
(Canadá), el Cadbury (Reino Unido), el Vienot (Francia), el Peters (Holanda), King
(Sudáfrica) y MICIL (adaptación del COSO para Latino- américa).
Los modelos COSO, COCO y MICIL son los más adoptados en las empresas del continente
americano; es por ello que el análisis de los fundamentos teóricos de los modelos
contemporáneos de control Interno que se presenta a continuación centra su atención en los
mismos.
2.2 Modelo COSO
Se iniciará el recorrido ubicando al lector en el denominado informe COSO (Committee of

Sponsoring organizations) comisionado por los cinco organismos profesionales financieros
más importantes de los Estados Unidos, fue definido en 1992; tras cinco años de estudio y
discusión, surgiendo un nuevo marco conceptual del control interno con el objetivo
fundamental de integrar las diversas definiciones y conceptos vigentes para este momento.
A nivel organizacional, se realza la necesidad de que la alta dirección y el resto de la

organización comprendan cabalmente la trascendencia del control interno, la incidencia del
mismo sobre los resultados de su gestión, el papel estratégico a conceder a la auditoría y
esencialmente la consideración del control como un proceso integrado a las operaciones de
la empresa y no como un conjunto de reglas
A nivel normativo, pretende plantear y normas rígidas, compuesto por mecanismos

burocráticos. Una referencia conceptual común a nivel de auditoría interna, externa, en los
16
ámbitos académicos o legislativos, lo cual hasta ahora resultaba complejo, dada la
multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
De acuerdo al marco integrado de control interno COSO (Modelo COSO), el control interno
consta de cinco categorías o componentes que la administración diseña y aplica para
proporcionar una seguridad razonable de que sus objetivos de control se llevaran a cabo de
manera adecuada.
Estos componentes son: (1) Ambiente de Control; (2) Evaluación de los Riesgos; (3)
Actividades de Control; (4) Información Y comunicación; y (5) Monitoreo. A continuación, se
muestra en detalle el significado de cada uno de estos componentes.
2.2.1 Primer componente: Ambiente de Control
Ambiente de control de una empresa, es la actitud general de sus administradores y

empleados hacia la importancia del control interno. Consiste en acciones, políticas y
procedimientos que reflejan las actitudes generales de los altos niveles de la administración,
directores y propietarios de una entidad en cuanto al control interno y su importancia para
la organización, tiene gran influencia en la manera como se estructuran las actividades de
una empresa, se establecen los objetivos y se valoran los riesgos. Es por ello que, es
considerado el fundamento o la base del resto de los componentes de control interno.
De acuerdo a Whittington, y Pany (2005: 214), el ambiente de control “crea el tono de la

organización a influir en la conciencia de control. Puede verse como el fundamento del resto
de los componentes”. Es por ello, que se puede decir que, un efectivo ambiente de control
puede ayudar a mitigar la probabilidad de irregularidades, así como un ambiente de control
débil puede reducir la efectividad de otros componentes de control interno.
En el ambiente de control se distinguen siete factores a considerar: (1) Integridad y valores

éticos; (2) Compromiso por la competencia; (3) Consejo de directores o comité de auditoría;
(4) Filosofía y estilo operativo de la gerencia; (5) Estructura organizacional; (6) Asignación
de autoridad y responsabilidades y; (7) Políticas y procedimientos de recursos humanos. A
continuación, se detalla el significado de cada uno de los factores del ambiente de control
mencionados anteriormente.
• Integridad y valores éticos: son el resultado de las normas éticas y de conducta de

la empresa, así como la forma en que éstos se comunican y refuerzan en la
práctica. Incluyen las acciones de la administración para eliminar o reducir
iniciativas o tentaciones que podrían llevar al personal de la empresa a cometer
actos deshonestos, ilegales o poco éticos.
17
• Compromiso por la competencia: Cuando se habla de competencia se hace
referencia al conocimiento y las habilidades que son necesarias para cumplir con
una determinada tarea. Cada individuo que hace vida profesional dentro de una
empresa posee una serie de habilidades y destrezas, que al combinarlas con sus
conocimientos sobre un área le permite ejecutar una actividad dentro de una
empresa. Arens, Elder y Beasley (2007: 275) “el compromiso con la competencia
comprende la consideración de los niveles de competencia para trabajos
específicos y la forma en que estos niveles se traducen en habilidades y
conocimientos necesarios”.
• Consejo de directores o comité de auditoría: Este debe integrarse con miembros
independientes que no sean funcionarios ni empleados y que tampoco tengan otras
relaciones con la empresa que puedan desviar su independencia, ya que de esta
manera podrá cumplir con su función de super- visión sobre los reportes financieros,
e impedir que los ejecutivos dejen a un lado los controles existentes y se comentan
actos deshonestos.
• Estructura organizacional: se considera otro factor del ambiente de control, ya que
una estructura organizacional bien diseñada ofrece la base para planear, dirigir y
controlar las operaciones. Es considerada el marco de la planeación y control de las
operaciones.
• Filosofía y estilo operativo de la gerencia: abarca el enfoque de la gerencia para
monitorear riesgos del negocio; las actitudes y acciones de la gerencia hacia el
reporte financiero y hacia el procesamiento de la información, funciones contables y
el personal.
• Asignación de autoridad y responsabilidad: incluye cómo se asignan la autoridad y
responsabilidad por las actividades operativas y cómo se establecen las relaciones
de reporte y las jerarquías de autorización.
• Políticas y prácticas de recursos humanos. Incluye el conjunto de lineamientos,
normas, políticas y procedimientos relacionados con la contratación, orientación,
entrenamiento, evaluación, asesoría, promoción, compensación y acciones de
corrección.
2.2.2 Segundo componente: Evaluación de los Riesgos
La evaluación de los riesgos sirve para describir el proceso con que los ejecutivos
identifican, analizan y administran los riesgos de negocio que puede enfrentar una empresa
y el resultado de ello. Mantilla (2005: 39) comenta que el significado de la valoración de
riesgos se orienta en la siguiente idea: “La valoración de riesgos es la identificación y
análisis de los riesgos relevantes para la consecución de los objetivos, formando una base
para la determinación de cómo deben administrarse los riesgos. Dado que las condiciones
18
económicas, industriales, reguladoras y de operación continuarán cambiando, se necesitan
mecanismos para identificar y tratar los riesgos especiales asociados con el cambio”.
Todas las empresas, independientemente de su tamaño, estructura, naturaleza o clase de

industria, enfrentan riesgos en todos los niveles. Los riesgos afectan la destreza de la
entidad para sobrevivir. Por lo que, la identificación de los objetivos es una condición previa
para la valoración de riesgos. Primero, deben definirse los objetivos a fin de que la
administración pueda identificar los riesgos y determinar las acciones necesarias para
administrar. La definición de objetivos es una parte clave del proceso administrativo por ser
requisito previo para un control interno eficaz.
De acuerdo a Whittington, y Pany (2005; 218), los siguientes factores podrían indicar un
mayor riesgo a la empresa: “- Cambios en el ambiente de operaciones;
- Personal nuevo;
- Sistemas de información nuevos o reconstruidos;
- Crecimiento rápido; Tecnología nueva;
- Líneas de productos o actividades nuevas;
- Reestructuración corporativa;
- Operaciones en el extranjero”.
2.2.3 Tercer Componente: Actividades de Control
Son las políticas y procedimientos que ayudan a asegurar que se están llevando a cabo las
directrices administrativas. Se establecen con el propósito de garantizar que las metas de la
empresa se alcancen. Las actividades de control consideradas en la estructura conceptual
integrada COSO son las siguientes:
• Revisiones de alto nivel, incluye la comparación del desempeño contra presupuestos,

pronósticos, etc.
• Procesamiento de la información, se realiza una variedad de controles a fin de verificar
la precisión, integridad y autorización de las transacciones.
• Funciones directas o actividades administrativas, los administradores dirigen las
funciones o las actividades revisando informes de desempeño.
• Controles físicos, Equipos, inventarios y otros activos se aseguran físicamente en forma
periódica son contados y comparados con las cantidades presentadas en los registros
de control.
• Indicadores de desempeño, relacionar unos con otros los diferentes conjuntos de datos
operacionales o financieros, además de analizar las interrelaciones e investigar y
corregir las acciones.
19
• Segregación de responsabilidades, para reducir el riesgo de error o de acciones
inapropiadas. Para ello existen cuatro guías generales que orientan la segregación
adecuada de las responsabilidades:
1. Contabilidad separada de la custodia de los activos financieros;

2. Custodia de activos relacionados separados de la autorización de operaciones;
3. Responsabilidad operativa separada de la responsabilidad de registro contable;
4. Deberes y responsabilidades del departamento de tecnología de información
separado de los departamentos de usuarios.
2.2.4 Cuarto componente: Información y comunicación
La información y la comunicación son elementos esenciales en una estructura de control

interno. La información acerca del ambiente de control, la evaluación de los riesgos y los
procedimientos de control y la supervisión son necesarios para que los administradores
puedan dirigir las operaciones y garantizar que sean puesto en práctica las normativas
legales, reglamentarias y de información.
Este componente de control interno se refiere a los métodos empleados para identificar,
reunir, clasificar, registrar e informar acerca de las operaciones de la entidad y para
conservar la contabilidad de los activos relacionados.
En relación a este componente, Mantilla (2005: 71) comenta que: “… El sistema de

información produce documentos que tienen información operacional, financiera y
relacionada con el cumplimiento, la cual hace posible operar y controlar el negocio. Ella se
relaciona no solamente con los datos generados internamente, sino también con la
información sobre sucesos, actividades y condiciones externas necesaria para la toma de
decisiones y la información externa de negocios. También debe darse una comunicación
efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la
organización. Todo el personal debe recibir un mensaje claro por parte de la alta
administración respecto a qué responsabilidades de control deben asumirse seriamente.”
2.2.5 Quinto componente: Monitoreo
Las actividades de monitoreo se refieren a la evaluación continua o periódica de calidad del

desempeño del control interno, con el propósito de determinar qué controles están operando
de acuerdo con lo planeado y que se modifiquen según los cambios en las condiciones.
Mantilla (2005: 83) “Los sistemas de control interno cambian con el tiempo. La manera como
se aplican los controles tiene que evolucionar. Debido a que los procedimientos pueden
tornarse menos efectivos, o quizás no se desempeñan ampliamente, ello puede ocurrir a
20
causa de la llegada de personal nuevo, la variación de la efectividad del entrenamiento y la
supervisión, la reducción de tiempo y recursos u otras presiones adicionales”.
El Sistema de control interno puede supervisarse mediante acciones continuas de los

administradores o por evaluaciones separadas. Las acciones de monitoreo continúo
denominado “monitoreo ongoing”, incluyen actos regulares de administración y super-
visión, comparaciones, conciliaciones y otras acciones rutinarias. Por desempeñarse en una
base de tiempo real reaccionan dinámicamente a las condiciones cambiantes y están
integrados a la gestión de la organización, proporcionan una retroalimentación sobre la
efectividad de los otros componentes de control interno.
Se realizan evaluaciones separadas que son necesarias para que la administración tenga
una seguridad razonable respecto de la efectividad del sistema de control interno, se
realizan cada cierto tiempo. Para este tipo de evaluación se debe tener presente:
a) El alcance y frecuencia de la evaluación;
b) El proceso de evaluación;
c) La metodología de evaluación; y;
d) El nivel de documentación.
2.3 Modelo COCO
El siguiente modelo a considerar es el denominado “Modelo COCO (Criteria of Control)” de

Canadá, es producto de una profunda revisión realizada por el Comité de Criterios de
Control de Canadá sobre el reporte COSO, el propósito de esta revisión se centró en hacer
el planteamiento de un Modelo más sencillo y comprensible, ante las dificultades que en la
aplicación del COSO enfrentaron inicialmente algunas organizaciones.
El modelo COCO (Criteria of Control) de Canadá, fue publicado tres años más tarde que
COSO; éste simplifica los conceptos y el lenguaje para hacer posible una discusión sobre el
alcance total del control, con la misma facilidad en cualquier nivel de la organización
empleando un lenguaje más sencillo, para hacerle accesible para todos los empleados de
una empresa.
El cambio importante que plantea el Modelo Canadiense consiste en que, en lugar de

conceptualizar al proceso de Control como una pirámide de componentes y elementos
interrelacionados, proporciona un marco de referencia a través de 20 criterios generales,
que el personal en toda la organización puede usar para diseñar, desarrollar, modificar o
evaluar el Control. Las organizaciones que pretendan aplicar los lineamientos de COCO
deberán tener un claro conocimiento y con- sideración de los cinco componentes que
conforman el marco integrado de control interno publicado por COSO. La estructura del
21
modelo canadiense requiere de creatividad para su interpretación y aplicación, y es
adaptable a cualquier organización una vez que se adecua a las necesidades de sus
propios intereses, o usarlas de referencia para desarrollar un modelo propio.
En este orden de ideas Estupiñán expone (2006:10), el modelo COCO “busca proporcionar
un entendimiento del control y dar respuesta a las tendencias que se observan en los
desarrollos siguientes:
- El impacto de la tecnología y el recorte a las estructuras organizacionales, que
han proporcionado mayor énfasis sobre el control a través de medios
informales, como la visión empresarial compartida, comunión de valores y una
comunicación abierta;
- En la creciente demanda de informar públicamente acerca de la efectividad del
control, respecto a ciertos objetivos;
- En el énfasis de las autoridades para establecer controles, como una forma de
proteger los intereses de los accionistas. Algunas autoridades financieras han
establecido procedimientos y protocolos de información, aplicables a las
instituciones bajo su jurisdicción”.
El objetivo del modelo COCO se orienta a desarrollar lineamientos generales para el diseño,
implementación evaluación y reportes sobre estructuras de control en una organización, en
él se engloba el sector público y el privado. El llamado ciclo de entendimiento básico del
Control, como se representa en el Modelo, consta de cuatro etapas que contienen los 20
criterios generales, conformando un ciclo lógico de acciones a ejecutar para asegurar el
cumplimiento de los objetivos de la organización.
Los criterios son elementos básicos para entender y aplicar el sistema de control plasmado
en el modelo COCO. Se requiere de un adecuado análisis y comparaciones para lograr
analizar estos criterios en el contexto de una empresa en particular y para la efectiva
evaluación de los controles que han sido implantados.
Los 20 criterios que prevé el modelo COCO, están agrupados en cuanto a: (1) Objetivos; (2)
Compro- miso; (3) Aptitud y, (4) Evaluación y Aprendizaje. Al respecto Fernández (2003)
categoriza a los criterios definidos para cada grupo, que son:
2.3.1 Primer Grupo: Propósito:
• Los objetivos deben ser comunicados.

• Los riesgos internos y externos que pudieran afectar el logro de los objetivos deben ser
identificados y debidamente analizados.
22
• Deben ser comunicadas y practicadas las políticas ideadas para apoyar la consecución
de los objetivos, de tal manera que el personal de una empresa identifique el alcance de
su libertad de actuación en la misma.
• Deben ser establecidos planes para orientar los esfuerzos del personal, al logro de los
objetivos.
• Los objetivos y planes deben incluir metas, parámetros e indicadores que permitan
medir el desempeño.
2.3.2 Segundo grupo: Compromiso
Los valores éticos de la organización deben ser establecido y comunicados a todos sus
miembros.
• Las políticas y prácticas de recursos humanos deben ser consistentes con los valores
éticos y al logro de los objetivos de la organización.
• La autoridad y responsabilidad deben ser claramente definidos y consistentes con los
objetivos, de tal manera que el proceso de toma de decisiones sea llevado a cabo por el
personal apropiado.
• Se debe fomentar una atmósfera de confianza para apoyar el flujo de la información.
Tercer grupo: Aptitud
• El personal debe tener conocimientos, habilidades y las herramientas necesarias para

desempeñar sus labores orientadas al logro de los objetivos organizacionales.
• El proceso de comunicación debe apoyar los valores de la organización.
• Se debe identificar y comunicar información suficiente y relevante para el logro de los
objetivos organizacionales.
• Deben ser coordinadas las decisiones y acciones de las diferentes partes de la
organización Las actividades de control deben ser diseñadas como una parte integral de
la organización.
2.3.3 Cuarto grupo: Evaluación y Aprendizaje
• Se debe supervisar el ambiente interno y externo para identificar información que

oriente hacia la evaluación de los objetivos.
• El desempeño debe ser evaluado tomando como punto de partida las metas e
indicadores preestablecidos.
• Las premisas consideradas para el logro de objetivos deben ser revisadas
periódicamente.
• El sistema de información debe ser evaluado en la medida en que cambien los
objetivos, y se precisen las deficiencias de información.
23
• Debe comprobarse el cumplimiento de los procedimientos modificados.
• Se debe evaluar periódicamente el sistema de control e informar de los resultados.
La estructura del control interno propuesta por el modelo COCO, Estupiñán (2006: 13),
plantea que el control comprende los elementos de una organización que tomados en con-
junto, apoyan al personal en el logro de sus objetivos organizacionales los cuales se ubican
en las categorías generales siguientes:
I. Categoría: Efectividad y eficiencia de las operaciones: incluye objetivos

relacionados con metas de la organización de:
a) Los servicios al cliente;
b) La salvaguarda y uso eficiente de recursos;
c) Del cumplimiento de obligaciones sociales;
d) De la protección de recursos contra pérdida o uso indebido.
II. Categoría: Confiabilidad de los reportes financieros internos y externos: este incluye
el adecuado mantenimiento de registros contables, información confiable para uso
de la organización y la publicada para información de terceros y protección de los
registros contra accesos indebidos.
III. Categoría: Cumplimiento de leyes, disposiciones y políticas internas, en esta
definición del control se entiende que el mismo conlleva la responsabilidad de
identificar y reducir los riesgos, con mayor énfasis en aquellos que pudieran afectar
la viabilidad y éxito de la organización, tales como:
- Deficiente capacidad para identificar y explotar oportunidades. Deficiente
capacidad para responder a riesgos inesperados;
- Ausencia de información definitiva e indicadores confiables para la toma de
decisiones.
IV. Categoría: Evaluación de los riesgos, todas las organizaciones se enfrentan riesgos.
Los riesgos afectan la posibilidad de la organización de competir para mantener su
poder financiero y la calidad de los productos y servicios.
Para la aplicación de este modelo se hacer necesario incursionar de manera detallada en

los criterios seguidos en la ponderación de la importancia de las diversas operaciones que
realiza la organización y en la eficacia de los controles, para lograr alcanzar este objetivo es
necesario tomar como orientación los elementos de control interno que, para tales efectos,
se pueden adoptar los propuestos en el marco de control interno del modelo COCO.
2.4 Modelo MICIL
La Federación Latinoamericana de Auditoría Interna (FLAI) con el apoyo del Proyecto

Anticorrupción y Rendición de Cuentas en las Amé- ricas (conocido como Proyecto AAA de
24
sus siglas del inglés) promovió y aprobó el Marco Integrado de Control Interno
Latinoamericano (MICIL) en la asamblea realizada en la ciudad de La Paz, Bolivia, el 25 de
octubre del 2003 y que se constituye en el documento de referencia técnica para el diseño,
aplicación y operación del control interno de las organizaciones públicas y privadas en
Latino- américa.
El Modelo MICIL incluye cinco componentes de control interno que presentados bajo un
esquema que parte del ambiente de control como pieza central, que promueve el
funcionamiento efectivo de los otros cuantos componentes que encajan en él como una
pieza central de un rompecabezas asegurando su funcionamiento efectivo en todos los
niveles de la organización. Estos componentes son:
1) Ambiente de Control y Trabajo institucional,

2) Evaluación de los riesgos para obtener objetivos,
3) Actividades de control para minimizar los riesgos,
4) Información y comunicación para fomentar la transparencia; y,
5) Supervisión interna continua y externa periódica. A continuación, se muestra el
significado de cada uno de estos componentes.
2.4.1 Primer Componente: Entorno o ambiente de control y trabajo institucional.
La base de los modelos de control interno COSO y COCO, son los valores, la ética y la
integridad, en MICIL marca la pauta en el comportamiento de una organización y tiene igual
influencia directa en el nivel de conciencia de control y en la consecución de los objetivos
organizacionales. En este componente de control al igual que en el modelo COSO, se
establecen una serie de factores que se describen a continuación:
• Integridad y valores éticos: el diseño y la aplicación de este modelo se sustenta en los

valores y la ética organizacional, que es aplicada al personal y en las políticas formales
que existen en la empresa para cumplir con sus objetivos.
• Estructura organizativa: está resumida por lo general en su documento de creación, una
ley en el caso de entidades públicas o los estatutos en el caso de organizaciones
privadas. Proporciona un marco de referencia para el desarrollo del proceso
administrativo, dota de la infraestructura necesaria y permite la gestión de manera
eficaz.
• Autoridad asignada y responsabilidad asumida: Es necesario puntualizar la autoridad en
las diferentes unidades operativas que integran a la organización, para lograr un
funcionamiento adecuado.
• Administración de los recursos humanos: es el recurso más importante en una
organización, por ello el ambiente de control se verá fortalecido si la organización lo
25
administra de manera eficiente y eficaz. Competencia personal y evaluación del
desempeño individual: los conocimientos y habilidades para desarrollar tareas en un
puesto de trabajo dentro de una organización son fundamentales para garantizar su
funcionamiento, la calidad de los servicios entregados o de los bienes producidos, por
ello la empresa debe definir un perfil profesional para el desempeño de las diferentes
posiciones directivas y de operación. Filosofía y estilo de gestión de la dirección: están
relacionado de manera directa con la manera en que la organización administra y
evalúa los riesgos organizacionales. El consejo de administración y los comités: el
entorno de control y trabajo están definidos en gran medida por las directrices del
consejo de administración y de los comités de gestión creados para operar las
principales actividades de la organización. Rendición de cuentas y transparencia:
respecto a los resultados financieros y de gestión de las operaciones, situación que
permitirá promover la transparencia en el manejo de las organizaciones.
2.4.2 Segundo componente: Evaluación de riesgos para obtener objetivos
Los riesgos que afectan de manera directa las habilidades de las organizaciones para su
operación, para competir con éxito en su entorno, para mantener una posición financiera
sólida, para disponer de una imagen pública positiva, para la producción de bienes o
servicios de buena calidad y para contar con el personal apropiado. El nivel directivo de la
empresa debe determinar el nivel de riesgo que considera aceptable y esforzarse por
mantenerlos en los límites marcados o bajo control. Al igual que el COSO, el modelo MICIL
considera que el establecimiento de los objetivos es una condición previa para la evaluación
o valoración de los riesgos organizacionales.
Los factores fundamentales a considerar como parte integrante del componente evaluación
de riesgos dirigido al logro de los objetivos organizacionales son:
• Los objetivos organizacionales, que se resumen en cuatro categorías:
(1) eficiencia y efectividad de las operaciones de la organización, que constituyen el

punto clave al cual se dirigirá la mayor parte de los esfuerzos y recursos y permitirá
identificar los riesgos asociados a su consecución;
(2) Confiabilidad de la información financiera y de operación producida, dirigidos a la
producción de información veraz, oportuna y confiable de los resultados de
operaciones realizadas por la organización;
(3) Protección a los activos de la organización, constituidos por una serie de adecuados
procesos para la adquisición, contratación, registro, integración, manejo y control de
los recursos organizacionales; y,
26
(4) Cumplimiento de regulaciones legales, reglamentarias y contractuales, referidas al
cumplimiento de un marco legal y normativa que afecta el funcionamiento de la
organización ante un entorno.
• Riesgos potenciales para la organización: la dirección debe analizar en detalle los

riesgos existentes en todos los niveles de la organización y tomar las medidas
adecuadas en el momento oportuno para adminístralos. De acuerdo a este modelo
existen una serie de factores externos que representan riesgos potenciales para
una organización como: los avances tecnológicos, las necesidades o expectativas
de los usuarios, nuevas normas y leyes, desastres naturales, cambios en la
economía, entre otros.
• Gestiones dirigidas al cambio: MICIL considera que los cambios generados en las
actividades desarrolladas dentro de la organización hace que el marco de control
que se aplica pierda vigencia, plantea algunos elementos que requieren especial
atención, entre ellos: Cambios en el entorno de operaciones de la organización,
personal que ingresa a la empresa por primera vez, sistemas de información que
han sido reconstruidos o la sustitución del usado por la empresa por otro totalmente
nuevo entre otros.
2.4.3 Tercer Componente. Actividades de control para minimizar riesgos
Las actividades de control son generadas por la dirección de la organización, con el

propósito de poner en práctica un conjunto de políticas que le permita asegurar el
cumplimiento de los objetivos estratégicos de la organización, minimizando la incidencia de
riesgos que podrían afectar el logro de dichos objetivos. MICIL considera los siguientes
factores aplicables al marco integrado de control institucional:
• Análisis de la dirección, que consiste en la revisión de los resultados generados por

el componente información y comunicación, para hacer seguimiento al cumplimiento
y avance en el logro de los objetivos organizacionales.
• Proceso de información, que busca garantizar información confiable, veraz y
oportuna a todos los niveles de la organización para poyar la toma de decisiones.
Indicadores de rendimiento, son establecidos en varios documentos formales y de
referencia y están dirigidos a evaluar el grado de eficacia y eficiencia en el logro de
los objetivos organizacionales, y son la base para la aplicación de acciones
correctivas.
• Disposiciones legales y gubernamentales: constituye un objetivo de control interno y
por ende debe considerarse para el establecimiento de medidas que permitan el
cumplimiento de las regulaciones gubernamentales aplicables.
27
• Criterios técnicos de control interno, dirigidos al funcionamiento eficaz de este
marco integrado en la organización.
• Estándares específicos, que establecen el contenido especifico que deben tener los
informes utilizados para la comunicación de los logros obtenidos.
• Información generada, que consiste en una serie de informes o reportes que
proporcionan los datos fundamentales para valorar la egresa y las acciones que se
cotizan en los mercados de valores. Un ejemplo de ellos son los estados financieros
auditados. Rendimientos esperados, proyección de los rendimientos esperados por
la organización a base de los resultados estadísticos de los últimos ejercicios
económicos y del entorno político, social, económico en el que se desenvuelve la
empresa.
• Otros criterios de control, de acuerdo a MICIL la dirección debe establecer, definir y
aplicar un plan de acción para afrontar los riesgos garantizando el cumplimiento de
los objetivos de la empresa en el tiempo.
2.4.4 Cuarto componente: Información y comunicación para fomentar la

transparencia
Es necesario identificar, recoger y comunicar información relevante de forma y en el plazo

que permita a cada persona que labora en la empresa asumir sus responsabilidades. Así
mismo es importante el establecimiento de una comunicación eficaz que permita el
movimiento de la información formal e informal en todas las direcciones de una
organización. Los principales factores que conforman el componente información y
comunicación son:
• Información en todos los niveles, la información relevante que se produce en la

organización sobre los resultados de las operaciones realizadas por esta, debe ser
difundida y comunicada en todos los niveles de la organización para contribuir al
logro de los objetivos organizacionales.
• Datos fundamentales en los estados financieros, la información presentada en los
reportes financieros debe mostrar de manera razonable la situación de la empresa
ara un momento determinado y debe ser generada de acuerdo a las normas
contables vigentes y aplicables a la organización.
• Herramienta para la supervisión, está referido la información y la comunicación de
los resultados obtenidos por la organización deben ser una herramienta práctica,
detallada, confiable y oportuna para aplicar la función de supervisión en los
diferentes niveles de una organización.
• Información adicional y detallada, que permita analizar el comportamiento de las
operaciones en base a datos estadísticos con el logro de los objetivos
organizacionales, con el propósito de evaluar el avance en el logro de los mismos.
28
• Por último, la comunicación de los objetivos de la organización, que es una actividad
que está relacionada con la entrega de información importante para la ejecución de
las operaciones.
2.4.5 Quinto componente: Supervisión interna continua y externa periódica.
Este componente de control interno permite evaluar sí la estructura de control interno de la

organización está funcionando de manera adecuada, o si es necesario introducir cambios
para mejorar su efectividad. Este proceso de supervisión comprende la evaluación, por los
niveles adecuados, sobre el diseño, funcionamiento y manera como se adoptan las medidas
para actualizarlo o corregirlo. De acuerdo a MICIL, las operaciones de supervisión como
componente del marco integrado de control interno se concreta en los siguientes factores:
• Monitoreo continuo por la administración: incluye una serie de actividades dirigidas a

validar la ejecución de las actividades en una organización.
• Seguimiento interno, está dirigido a las actividades importantes que representen
potencial riesgo en la obtención de los objetivos organizacionales, y que puede ser
evaluado por el marco de control interno a partir de la evaluación de sus propios
componentes. Evaluaciones externas, que incorpora en el diseño del control interno una
serie de evaluaciones externas realizadas en forma periódica como parte integrante de
las auditorias de los estados financieros u otro tipo de evaluación.
2.5 Metodología COSO ERM
A Finales del año 2004, como respuesta a una serie de escándalos, e irregularidades que
provocaron pérdidas importante a inversionistas, empleados y otros grupos de interés,
nuevamente el Committee of Sponsoring Organizations of the Treadway Commission,
publicó el Enterprise Risk Management - Integrated Framework y sus Aplicaciones técnicas
asociadas, en el cual amplía el concepto de control interno, proporcionando una guía un
poco más detallada sobre la identificación, evaluación y gestión integral de riesgo. Conocido
con el nombre de COSO II.
Este nuevo enfoque no se emitió para sustituir el marco de control interno plasmado en el
modelo COSO, sino que lo incorpora como parte de él, permitiendo a las empresas mejorar
sus prácticas de control interno o decidir encaminarse hacia un proceso más completo de
gestión de riesgo. Adicionalmente, dado que COSO II Enterprise Risk Management -
Integrated Framework se encuentra completamente alineado con el Internal Control -
Integrated Framework, las mejoras en la gestión de riesgo permitirán mejorar, aún más,
sobre la inversión ya realizada en control interno bajo las disposiciones de la Ley Sarbanes-
Oxley. Esta nueva metodología proporciona la estructura conceptual y el camino para
29
lograrlo. La premisa principal de la gestión integral de riesgo es que cada entidad, con o sin
fines de lucro, existe para proveer valor a sus distintos grupos de interés.
Sin embargo, todas estas entidades enfrentan incertidumbres y el desafío para la

administración es determinar qué cantidad de incertidumbre esta la entidad pre- parada para
aceptar, como esfuerzo, en su búsqueda de incrementar el valor de esos grupos de interés.
Esa incertidumbre se manifiesta tanto como riesgo y oportunidad, con el potencial de
erosionar o generar valor. PriceWaterhouseCoopers (2005: 04), define a la administración
de riesgos corporativos así: “La administración de riesgos corporativos es un proceso
efectuado por el consejo de administración de una entidad, su dirección y restante personal,
aplicable a la definición de estrategias en toda la empresa y diseñado para identificar
eventos potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del
riesgo aceptado y proporcionar una seguridad razonable sobre la consecución de objetivos
de la entidad”.
2.5.1 Definición
Es un proceso efectuado por la junta de directores, la administración y otro personal de

entidad, aplicando en la definición de la estrategia y a través del emprendimiento, diseñado
para identificar los eventos potenciales que pueden afectar la entidad, y para administrar los
riesgos que se encuentran dentro de su apetito por el riesgo, para proveer seguridad
razonable en relación con el logro del objetivo de la entidad
La administración de riesgos empresarial ERM comprende:

• Proceso continuo- es un medio para un fin no un fin para sí mismo.
• Es efectuado por las partes involucradas en un proceso.
• Se debe aplicar en todo nivel de Organización.
• Permite evaluar e identificar los posibles riesgos que afecten a la compañía.
• Ayuda al logro de los objetivos y nos brinda seguridad razonable en informes
financieros, contables.
• Mejor toma de decisiones de respuesta al riesgo.
• Previene riesgos futuros
2.5.2 Componentes
La administración de riesgos corporativos (ERM) según lo planteado por

PriceWaterhouseCoopers (2005: 05-06), consta de ocho componentes relacionados entre
sí, que se derivan de la manera en que la dirección conduce la empresa y cómo están
integrados en el proceso de gestión, estos son:
30
a) Ambiente interno: Dentro de una organización el ambiente interno establece las
bases sobre las cuales el riesgo es percibido y posteriormente entregado al
personal de la entidad, incluyendo así la filosofía de administración del riesgo y el
apetito por el riesgo, la integridad, los valores éticos y el ambiente en el que operan.
b) Establecimiento de objetivos: Es importante que los objetivos de la organización se
establezcan antes que la administración pueda identificar los eventos potenciales
que puedan afectar el logro. El COSO E.R.M. afirma que la Compañía puede
administrar el correcto funcionamiento de los procesos para establecer objetivos y
que estos, planteados con anterioridad, apoyan y están alineados con la
visión/misión de la entidad y a su vez son consistentes con su apetito por el riesgo.
c) Identificación de eventos: Se deberá identificar todos aquellos eventos internos y
externos los cuales afecten a la entidad, mediante el cual se pueda clasificar entre
eventos y oportunidades. Las oportunidades serán canalizadas hacia la estrategia
de la administración o hacia el alcance de los objetivos.
d) Evaluación del riesgo: Al momento de identificar los riesgos, estos deben ser
analizados y teniendo en cuenta el impacto y probabilidad de que ocurran, siendo
así la base para determinar cómo se deben administrar. Los riesgos se valoran
sobre una base inherente y una base residual.
e) Respuesta al riesgo: La administración selecciona las respuestas a los riesgos
identificados los cuales son: evitar, aceptar, reducir, o compartir el riesgo –
desarrollando un conjunto de acciones que permitan a los riesgos alinearse con la
tolerancia y con el apetito al riesgo que tiene la entidad.
f) Actividades de control: Se establecen e implementan políticas y procedimientos
para ayudar a asegurar que las respuestas al riesgo se llevan a cabo de manera
efectiva.
g) Información y comunicación: Se identifica, captura y comunica la información
relevante en una forma y en cronograma que le permita a la gente llevar a cabo sus
responsabilidades. La comunicación efectiva también ocurre en un sentido amplio,
fluyendo desde abajo, a través y hacia arriba de la entidad.
h) Monitoreo: Se monitorea la totalidad de la administración de riesgos del
emprendimiento y se realizan las modificaciones necesarias. El monitoreo se logra
mediante actividades administrativas ongoing (en curso), evaluaciones separadas, o
ambas.
Para la aplicación de este modelo se hacer necesario incursionar de manera detallada en

los criterios seguidos en la ponderación de la importancia de las diversas operaciones que
realiza la organización y en la eficacia de los controles, para lograr alcanzar este objetivo es
necesario tomar como orientación los elementos de control interno que, para tales efectos,
se pueden adoptar los propuestos en el marco de control interno del modelo COCO.
31
2.6 Riesgo Operativo
2.6.1 Definición de Riesgo Operativo
De acuerdo al Comité de Supervisión Bancaria de Basilea:
“El riesgo operativo se entenderá como la posibilidad de que se ocasionen pérdidas

financieras por eventos derivados de fallas o insuficiencias en los procesos, personas,
tecnología de información y por eventos externos.
El riesgo operativo incluye el riesgo legal, en relación a la posibilidad de que se presenten

pérdidas o contingencias negativas como consecuencia de fallas en contratos y
transacciones que pueden afectar el funcionamiento o la condición de una institución del
sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación,
instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal
surge también de incumplimientos de las leyes o normas aplicables. El riesgo operativo no
trata sobre la posibilidad de pérdidas originadas en cambios inesperados en el entorno
político, económico y social.
2.6.2 Principios del Riesgo Operativo
En el nuevo Acuerdo de Capital se establece los Principios de «Prácticas Adecuadas para la

Gestión y Supervisión de los Riesgos de Operación
Desarrollo de un ambiente apropiado de gestión de control interno y riesgo

empresariales
Principio No. 1.- Responsabilidad Alta Gerencia: El Directorio debe ser consciente de
responsabilidad de los principales aspectos de los riesgos de operación del banco, como
una categoría de riesgo distinta que debe ser gestionada, y debe aprobar y revisar
periódicamente el esquema de gestión del riesgo operativo del banco. El esquema debe
proporcionar una definición a nivel corporativo del riesgo operativo y establecer los
principios sobre la manera como los riesgos de operación serán identificados, evaluados,
monitoreados, y controlados/mitigados.
Principio No. 2.- Aseguramiento efectivo del control: El Directorio debe asegurar que el
esquema de gestión del riesgo operativo del banco esté sujeto a una auditoría interna
efectiva e integral por parte de personal competente, operativamente independiente y
apropiadamente entrenado. La función de auditoría interna no debe ser directamente
responsable de la gestión de los riesgos de operación.
32
Principio No. 3.- Gestión integral de toda la Organización: La Alta Gerencia debe tener
la responsabilidad de implementar la toda la organización esquema de gestión del riesgo
operativo aprobado por el Directorio. El esquema debe ser implementado en toda la
organización bancaria, y todos los niveles del personal deben entender sus
responsabilidades con relación a la gestión de los riesgos de operación. La alta gerencia
también debe tener la responsabilidad de desarrollar políticas, procesos y procedimientos
para la gestión de los riesgos de operación en todos los productos, actividades, procesos y
sistemas del banco. La gestión de control interno y riesgo empresariales implica:
Identificación, Evaluación, Monitoreo, y Mitigación/ Control.
Gestión de control interno y riesgo empresariales: identificación, evaluación,

monitoreo y mitigación/control
Principio No. 4.- Tanto para las actividades actuales como las nuevas: Los bancos
deben identificar y evaluar el riesgo operativo inherente a todos los productos, actividades,
procesos y sistemas relevantes. Los bancos también deben asegurar que antes de
introducir o emprender nuevos productos, actividades, procesos y sistemas, el riesgo
operativo inherente a los mismos esté sujeto a procedimientos de evaluación adecuados.
Principio No. 5.- Gestión permanente sistemática y proactiva: Los bancos deben
implementar un proceso para monitorear regularmente los perfiles de riesgos de operación y
su exposición material a pérdidas. Debe existir un reporte permanente de información
pertinente a la Alta Gerencia y al Directorio que apoye la gestión proactiva de los riesgos de
operación
Principio No. 6.- Coherencia entre estrategias y objetivos: Los bancos deben tener
políticas, procesos y procedimientos para controlar o mitigar los riesgos de operación
significativos. Los bancos deben evaluar la viabilidad de estrategias alternativas de control y
limitación de riesgos, y deben ajustar su perfil de riesgo operativo empleando estrategias
apropiadas, de conformidad con su apetito y perfil integral de riesgo.
Principio No. 7.- Existencia de planes de Contingencia: Los bancos deben implementar
planes de contingencia y de continuidad del negocio a fin de garantizar su capacidad para
operar en forma continua y minimizar las pérdidas en caso de una interrupción severa del
negocio.
Papel de los supervisores
33
Principio No. 8.- Supervisión obligada a todo tipo de entidades: Los supervisores
bancarios deben exigir a todos los bancos, sin importar su tamaño, que implementen un
esquema eficaz para identificar, evaluar, monitorear y controlar o mitigar los riesgos de
operación, como parte de un enfoque integral para la gestión de control interno y riesgo
empresariales.
Principio No. 9.- Supervisión, periódica e independiente: Los supervisores deben llevar
a cabo, de manera directa o indirecta, una evaluación periódica independiente de las
políticas, procedimientos y prácticas de un banco relacionadas con los riesgos de operación.
Los supervisores deben asegurarse de contar con mecanismos apropiados de reporte que
les permitan mantenerse informados de los avances en los bancos.
Principio No. 10.-. Transparencia y divulgación: Los bancos deben hacer suficiente
divulgación pública para permitir que los participantes del mercado evalúen su enfoque para
la gestión de los riesgos de operación.
2.6.3 Factores del riesgo operativo
La norma define a los factores de riesgo operativo como la causa primaria o el origen de un
evento de riesgo operativo, siendo estos: procesos, personas, tecnología de información y
eventos externos y establece requisitos mínimos para la administración de cada de ellos
propiciando un ambiente adecuado de gestión del riesgo operativo, conforme lo establecido
en el Nuevo Acuerdo de Capital de Basilea (NACB), conocido también como Basilea II.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo:
• La definición del riesgo de operativo y los requisitos mínimos que deben cumplir las
entidades respecto a los factores del riesgo operativo
• La exigencia de un esquema de administración del riesgo de operativo; y;
• El establecimiento de las responsabilidades en la administración del riesgo de
operativo.
A continuación, se analiza los lineamientos mínimos, para cada uno de los factores del
riesgo operativo.
1. Administración de Procesos: La administración de procesos es un tema fundamental

para la adecuación de los mismos a las exigencias del mercado, procurando que todos
los procesos trabajen en armonía para maximizar la eficiencia de las instituciones
financieras.
34
Por tanto, exige de las organizaciones el establecimiento de procesos estructurados, que
garanticen el cumplimiento de la misión, visión y objetivos estratégicos; es por ello que la
norma propone que las entidades financieras agrupen sus procesos en tres categorías:
• Gobernantes o estratégicos;
• Fundamentales, productivos, de negocio u operativos; y,
• Habilitantes, de soporte o de apoyo.
Adicionalmente, la norma dispone que las entidades identifiquen, aún en los servicios
provistos por terceros, sus procesos críticos, es decir aquellos que, en caso de una
interrupción, pondrían en peligro la continuidad de las operaciones; por lo cual, se justifica
plenamente establecer planes de contingencia y de continuidad del negocio.
Además, las entidades deberán vigilar el cumplimiento de los procesos y someterlos a una
mejora continua, para lo cual, deben desarrollar políticas para identificar, diseñar, medir,
analizar, actualizar y controlar los procesos.
2. Administración del Recurso Humano: Consiste en el proceso a través del cual las
instituciones planifican y gestionan el recurso humano para promover su desempeño
eficiente y alcanzar los objetivos individuales de las personas y los objetivos
institucionales.
Con la finalidad de que se promueva una cultura laboral y se alcance un trabajo eficiente y
eficaz es necesario que las entidades definan políticas y procesos para la administración del
recurso humano, conforme con su filosofía y sus propias necesidades.
Existen ciertos aspectos relacionados con el personal, que toda organización deberá
considerar al momento de establecer esas políticas: reclutamiento, selección, determinación
de competencias, contratación, planes de carreras, evaluaciones de desempeño, criterios
de remuneración, motivación, clima organizacional, higiene y seguridad, condiciones físicas
y ambientales, rotación, finalización de la relación laboral, entre otros. Estos aspectos han
sido incluidos en tres grupos de procesos para la administración del recurso humano:
• Incorporación,
• Permanencia y;
• Desvinculación.
3. Administración de la Tecnología de Información: En cuanto a la tecnología, la

expectativa es que las instituciones cuenten con una tecnología de información que
35
soporte adecuadamente las operaciones y procesos de las entidades, siendo
necesario cumplir los siguientes objetivos:
• Planifiquen ordenadamente sus requerimientos actuales y futuros de tecnología;

• Establezcan toda una serie de requisitos y condiciones de seguridad y de
continuidad del negocio;
• Generaren información íntegra, disponible y confidencial;
• Aseguren que la tecnología no afecte al normal desenvolvimiento de sus
operaciones.
4. Administración de Eventos Externos: La administración del riesgo operativo requiere

que las entidades identifiquen eventos externos (no derivados del entorno político,
económico y social) a los que pueden ser vulnerables como, por ejemplo:
• Fallas en los servicios públicos;

• Ocurrencia de desastres naturales;
• Atentados;
• Otros actos delictivos;
Con la finalidad de establecer planes de contingencia que ayuden a mitigar su impacto en la

operatividad de la entidad.
36
UNIDAD No.
TRES
MÉTODOS DE EVALUACIÓN DE
CONTROL INTERNO
OBJETIVOS
✓ Conocer los métodos de evaluación de control interno.
✓ Desarrollar metodologías para la evaluación de control interno para

gestionar riesgos empresariales.
CONTENIDO
UNIDAD No. TRES
3. METODOS DE EVALUACIÓN DE CONTROL INTERNO
3.1 Introducción
3.2 Método Descriptivo
3.3 Método de Cuestionario
3.4 Método de Flujograma (Diagrama de Flujo)
37
3. Métodos de Evaluación de Control Interno

3.1 Introducción
Una forma quizás más sencilla de obtener información sobre el funcionamiento del sistema
de control interno en una entidad será la indagación, la observación, la revisión de los
manuales de organización y funciones, manuales de contabilidad y auditoría interna,
reglamento interno de trabajo, los procedimientos e instrucciones internas y otras
disposiciones adoptadas por la administración o gerencia; así como conversaciones o
entrevistas con ejecutivos sobre la constitución, organización, capital social de la empresa,
los procesos judiciales, cantidad de trabajadores, etc. Sin embargo, los medios o los
métodos más utilizados para documentar adecuadamente la evaluación del sistema de
control interno en la empresa y que al mismo tiempo puedan servir para dejar constancia de
haber efectuado la evaluación son los siguientes métodos: descriptivo, cuestionario, gráficos
o flujogramas.
3.2 Método Descriptivo

Consiste en la narración de los procedimientos relacionados con el control interno, los
cuales pueden dividirse por actividades que pueden ser por departamentos, empleados y
cargos o por registros contables. Una descripción adecuada de un sistema de contabilidad
y de los procesos de control relacionados incluye por lo menos cuatro características:
a. Origen de cada documento y registro en el sistema.
b. Cómo se efectúa el procesamiento.
c. Disposición de cada documento y registro en el sistema.
d. Indicación de los procedimientos de control pertinentes a la evaluación de los
riesgos de control.
Sin embargo, no debe incurrirse en el error de describir las actividades de los

departamentos o de los empleados de manera aislada u objetiva. Debe hacerse la
descripción siguiendo el curso de las operaciones a través de su manejo en los
departamentos citados.
Por lo general se describe procedimientos, registros, formularios, archivos, departamentos

que intervienen en el sistema de control. Este método presenta el inconveniente que
muchas personas no tienen habilidad para expresar sus ideas por escrito en forma clara,
precisa y sintética, lo que trae como consecuencia que algunas debilidades de control no
queden expresadas en la descripción.
38
3.3 Método de Cuestionario
Consiste en usar como instrumento para la investigación, cuestionarios previamente
formulados que incluyen preguntas acerca de la forma en que se manejan las transacciones
u operaciones de las personas que intervienen en su manejo, la forma en que fluyen las
operaciones a través de los puestos o lugares donde se define o se determinan los
procedimientos de control para la conducción de las operaciones.
El método de cuestionario es utilizado extensamente por los auditores independientes como

los auditores internos, consiste en una encuesta sistemática presentada bajo la forma de
preguntas referidas a aspectos básicos del sistema, y ante una respuesta negativa
evidencia una ausencia de control. Los cuestionarios se pueden organizar clasificando las
preguntas de acuerdo con los objetivos de control y cada pregunta referirse a la presencia
de las medidas de control para lograr el objetivo de que se trate.
El objetivo del cuestionario de control interno es reunir información, para descubrir hechos,
evidencias, opiniones, con el fin de reunir datos o información cuantitativa. La información
obtenida debe ser tabulado, depurado y servir juntos con otros agentes como soporte del
informe de auditoría basado en los papeles de trabajo.
Los cuestionarios abordan cuestiones que los participantes deberán considerar, centrando
su reflexión en los factores internos y externos que han dado, o pueden dar lugar, a eventos
negativos.
Las preguntas pueden ser abiertas o cerradas, según sea el objetivo de la encuesta.
Pueden dirigirse a un individuo o a varios, o bien pueden emplearse en conexión con una
encuesta de base más amplia, ya sea dentro de una Organización o dirigida a clientes,
proveedores o terceros.
3.3.1 Características de redacción de cuestionario:
En la elaboración o la preparación de un cuestionario, el auditor debe tener presente

determinadas características fundamentales, como son:
a. El cuestionario debe redactarse de acuerdo al nivel de formación de las personas a las

que se dirige.
b. Las preguntas deben redactarse con claridad y permitir cierta libertad para que el
encuestado no se sienta inclinado a dar una determinada respuesta ni a contestar si o
no.
39
c. Deben evitarse los términos subjetivos y si es posible las preguntas deben ser concisas
y precisas con el fin de lograr mayor concentración y evitar la fatiga al entrevistado.
d. Las preguntas han de estar encaminadas (dirigidas) para cumplir el objetivo de la
evaluación del control interno y no deben eliminar la entrevista sino complementarla.
3.3.2 Ejemplo de cuestionario:
CUESTIONARIO DE CONTROL INTERNO

FONDOS DE CAJA CHICA.
Preparado por
Fecha
Si No
Revisado por
Fecha
1. ¿Se usa el sistema de fondo fijo?
2. ¿Es una sola persona responsable principalmente de cada fondo?
3. Justificantes de caja chica:
a) ¿Se exigen siempre en cada desembolso del fondo?
b) ¿Están numerados?
c) ¿Los firma el que recibe el efectivo desembolsado?
d) ¿Están escritos con tinta?
e) ¿Llevan el importe en cifras y en letras?
f) ¿Los aprueba una persona responsable?
g) ¿Se cancelan, juntamente con los documentos justificantes, de forma que
no puedan usarse nuevamente?
4. ¿Se extienden los cheques para renovar el fondo a la orden del cajero del
fondo?
5. El cajero del fondo:
a) ¿Tiene acceso a los ingresos en efectivo?
b) ¿Tiene acceso a los libros generales de contabilidad?
6. Cuando se cambian cheques usando el efectivo del fondo, ¿debe primeramente aprobar el
cheque alguna otra persona que no sea el cajero de caja chica?
7. ¿Se aprueban oficialmente los adelantos hechos del fondo?
8. ¿Se depositan puntualmente en el banco los cheques pagados con las
existencias del fondo?
9. ¿Existe un buen sistema de auditoría interna para los justificantes de caja
chica, que actúe cuando se renueva el fondo?
10. ¿Es razonable el importe del fondo de caja chica?
11. ¿Hay cheques posfechados en el fondo?
12. ¿Son las erogaciones de apariencia razonable?
13. ¿Cuál es la cantidad máxima que puede pagarse con el fondo por un
justificante $ 25,00 aislado de caja chica?
14. ¿Se practica una auditoría interna de sorpresa en la caja chica y en sus
operaciones?
CUESTIONARIO DE CONTROL INTERNO
COMPRAS Y CUENTAS POR PAGAR
40
Preparado por Si No
Fecha
Revisado por.
Fecha
1. ¿Existe un departamento organizado de compras?
2. ¿Opera este departamento independientemente de los que se enumeran a
continuación?
a) El departamento de recepción
b) El departamento de embarques
c) El departamento de contabilidad
3. ¿Se hacen por escrito todas las órdenes de compra?
4. ¿Están numeradas consecutivamente por anticipado todas las órdenes de
compra?
5. ¿Se aprueban en las órdenes de compra los detalles siguientes?
a) Precio
b) Cantidad
e) Proveedor
6. ¿Recibe directamente el departamento de contabilidad los documentos
siguientes?
a) Una copia de la orden de compra
b) Una copia del informe de recepción
7. ¿Obtiene el departamento de recepción copias de las órdenes de compra
para contar con autorización para aceptar materiales suministros, etc.?
8. ¿Se numeran consecutivamente por anticipado los informes de recepción?
a) ¿Comprueba el departamento de contabilidad la secuencia en esta
numeración?
9. ¿Conserva permanentemente el departamento de recepción una copia de
los informes de recepción?
10. ¿Recibe el departamento de compras una copia del informe de recepción?
11. ¿Se notifica inmediatamente al departamento de contabilidad de las
devoluciones que se hacen a los vendedores?
12. ¿Pasan a través del departamento de embarques las compras devueltas?
a) ¿Se preparan informes de embarque amparando las devoluciones?
b) ¿Se correlacionan los informes de embarque con las notas de crédito del
vendedor?
13. ¿Correlaciona el departamento de contabilidad las facturas con los
documentos siguientes?
a) Órdenes de compra
b) Informes de recepción
14. ¿Se aprueban debidamente las facturas antes de pagarlas?
15. ¿Se verifican en las facturas los detalles siguientes?
a) Precios
b) Multiplicaciones y sumas
3.4 Método de Flujograma (Diagrama de Flujo)

Consiste en la preparación de diagramas de flujo de los procedimientos ejecutados en cada
uno de los departamentos involucrados en una operación. Un diagrama de flujo de control
41
interno consiste en una representación simbólica y por medio de flujo secuencial de los
documentos de la entidad auditada. El diagrama de flujo debe representar todas las
operaciones, movimientos, demoras y procedimientos de archivo concernientes al proceso
descrito. Este método debe incluir las mismas cuatro características del método gráfico
enunciadas anteriormente.
Este método simplifica la tarea de descripción de los procedimientos y técnicas mediante el

uso de gráficos de movimiento de transacciones, también llamadas diagramas de flujo o
flow charts. Este diagrama proporciona al lector una imagen clara del sistema, mostrando la
naturaleza y secuencia de los procedimientos, división de responsabilidades, fuentes,
distribución de documentos y situación de los registros de contabilidad.
3.4.1 Técnicas de Diagramación:
3.4.1.1 Diagramas de flujo de procesos:
• El análisis del flujo de procesos es la representación esquemática de un proceso, con el

objetivo de comprender las interrelaciones entre las entradas, tareas, salidas y
responsabilidades de sus componentes.
• Los acontecimientos pueden ser identificados y considerados frente a los objetivos del
proceso.
• Puede utilizarse en una visión de la organización a nivel global o a un nivel de detalle.
Figura No. 1
Diagrama de Flujo
42
3.4.1.2 Diagramas de causa y efecto:
Se conocen como diagramas de Ishikawa o de espina de pescado, y son útiles para

identificar las causas de los riesgos.
Figura No. 2
Diagrama de Causa Efecto
3.4.1.3 Ejemplos de Diagramas
Figura No. 3
Ejemplo Diagrama del Ciclo de Ventas
43
Luego de haber realizado la evaluación del sistema de control interno en una organización
se realiza la tabulación y análisis de la información obtenida, posteriormente se emite una
carta de control interno adjuntando las observaciones y recomendaciones con la finalidad
que la alta dirección o gerencia efectúe los correctivos pertinentes y oportunos en cautela de
los intereses empresariales.
44
UNIDAD No.
CUATRO
MATRIZ DE RIESGO –
EJERCICIO DE APLICACIÓN
OBJETIVOS
✓ Identificar de manera general qué es un objetivo organizacional, un

riesgo, sus tipos, métodos para su evaluación, acciones para su
atención, formas para documentarlo y como informarlo.
✓ Desarrollar un modelo de gestión para control interno a través de la

aplicación de un caso práctico en una empresa del Sector Privado, para
gestionar riesgos empresariales.
✓ Elaborar planes de acción y propuestas de mejora, para fortalecer el

Sistema de Control y la toma adecuada de decisiones.
CONTENIDO
UNIDAD No. CUATRO
4. CASO DE APLICACIÓN PRACTICA METODOLOGIA COSO II
4.1 DATOS GENERALES DEL CASO DE APLICACIÓN PRÁCTICA

4.2 PRODUCTOS Y SERVICIOS
4.3 MAPA DE PROCESOS
4.4 Metodología COSO ERM – Aplicación práctica
4.5 Recursos
4.6 Roles y Responsabilidades
4.7 METODOLOGÍA PARA LA IMPLEMENTACIÓN DEL PROCESO DE
GESTIÓN DE CONTROL INTERNO EN LOS PROCESOS DE INGRESOS
Y EGRESOS
4.8 GESTIÓN DEL SISTEMA DE CONTROL INTERNO, PARA LOS
PROCESOS DE INGRESOS Y GASTOS EN CORPORACION CABLE TV
CÍA. LTDA.
4.9 Matriz de Evaluación del Riesgo
45
4. Caso de aplicación práctica metodología COSO ERM o COSO II
4.1 Datos Generales Caso Práctico - Corporación Cable TV
CORPORACION CABLE TV es un proveedor multinacional de servicio de difusión directa

por satélite en vivo, Transmite televisión digital, incluidos canales de audio y por satélite a
los televisores fijos de sus clientes suscritos en Estados Unidos y Latinoamérica y que
cuenten con un decodificador y una antena parabólica receptora.
4.2 Productos y servicios
CORPORACION CABLE TV comercializa tanto productos y servicios de televisión pagada,

entendiéndose como productos a decodificadores en sus diversas tecnologías, y en el caso
de servicios a la diversa programación y servicios móviles, presentadas a continuación:
Canales por paquete comercial
Planes y Paquetes Azul Verde Dorado Plata
Canales
Canales Video
61 83 113 113
Estándar
Canales Video Alta Incluye 3 canales del
24 27 33
definición extranjero y deportivos
Canales Audio 36 36 36 36
20 Incluye Paquetes y
Canales P Opcional Opcional Opcional
canales deportivos
Tecnologías CORPORACION CABLE TV
Denominación Siglas Características
Decodificador básico en definición

Estándar SD
estándar
Decodificador en alta definición

Alta definición HD
Grabar programas, pausar televisión y
Programas en 3D
46
4.3 Mapa de procesos
La compañía clasifica sus procesos en: gobernantes, productivos, de apoyo y de control, tal
como se muestra en el siguiente mapa:
Mapa de Procesos de CORPORACION CABLE TV

Procesos Gobernantes
Planeación Estratégica Customer Experience
Procesos Productivos
Satisfacción del Cliente

Requisitos del Cliente
Desarrollo de Facturación y
Comercialización Field Service Pos Venta
Producto Cobranza
Procesos de Apoyo
Talento
Tecnología de Administración Publicidad y
Crédito Humano y Logística Procesos
la Información y Finanzas Comunicación
SSO
Proceso de Control
Control Interno
Por otro lado, a continuación se presenta un detalle del inventario de procesos que se
encuentra clasificado en función al trabajo y enfoque en calidad y gestión de procesos que
tiene la compañía.
Inventario de Procesos CORPORACION CABLE TV

Tipo de
Macro Proceso Proceso
Proceso
Planificación de actividades institucionales
Planeación Control de Gestión Estratégica
Estratégica Gestión Regulatoria
Gobernantes Planificación Financiera
Fidelización de Clientes
Experiencia con el
Evaluación de Calidad
Cliente
Comunicación Institucional y Corporativa
Gestión de Productos, Campañas y Ofertas
Desarrollo de
Evaluación y Retroalimentación de Productos, Campañas y
Productivos Producto
Ofertas
Comercialización Gestión de Canales de Venta
47
Tipo de
Macro Proceso Proceso
Proceso
Gestión de Venta
Administración de Ventas
Instalaciones
Servicios de Servicios a la base
instalación Optimización de redes
Calidad técnica
Gestión de Pre facturación
Facturación y
Gestión de Facturación
Ajustes
Gestión de Ajustes Financieros
Gestión de Recaudo
Cobranza
Gestión de Cobranza
Gestión de actualizaciones
Gestión de Reclamos
PosVenta
Soporte técnico telefónico
Gestión de Cancelación de contratos
Gestión de Compensaciones y Beneficios
Talento Humano Desarrollo organizacional
Seguridad y Salud Ocupacional
Estados Financieros de Cierre
Gestión Tributaria
Consolidación de Información Financiera – Tributaria
Gestión de capital de trabajo
Administración Manejo de Cuentas por Cobrar
Financiera Manejo de Cuentas por Pagar
Gestión de Deuda
Apoyo
Análisis de Ingresos y Gastos
Conciliación Bancaria y Relación Bancaria
Comisiones
Gestión de compras
Logística
Gestión de inventario
Gestión de demanda
Tecnología de
Desarrollo tecnológico
Información
Soporte técnico
Gestión de Proyectos
Procesos
Mejora Continua
Análisis de Riesgo
Control Control Interno
Auditorías
48
El área de Control Interno ha agrupado los procesos de la compañía en 8 Megaprocesos
que impactan directamente en materia financiera y de control:
1. Ingresos
2. Activo Fijo
3. Inventario
4. Recursos Humanos
5. Egresos
6. Tecnología de la Información
7. Finanzas y Cierre Contable
8. Tesorería
Para efectos de la aplicación de la metodología, se tomarán los mega procesos de ingresos

y egresos los cuales están compuestos en el caso de ingresos por 7 procesos 12
subprocesos y en el caso de Egresos 3 procesos y 11 subprocesos tal como se detalla a
continuación:
Inventario de Subprocesos
MEGA
PROCESOS SUBPROCESOS
PROCESOS
Administración de Administración de Precios y Descuentos
Ventas Gestión de Canales de Venta
Captación de la preventa
Gestión de Ventas Análisis de Crédito
Cobro cuota inscripción
Pre facturación
Ingresos
Facturación y Ajustes Facturación
Ajustes Financieros
Recaudación masiva con débito automático
Gestión de Recaudos y
Recaudación por ventanilla
Cobro
Conciliación de Recaudos
Gestión de Cobro Gestión de Cobro
Requisición de Compras
Selección del Proveedor
Orden de Compra y Contratos
Compras
Egresos Recepción / Ingreso de Bienes y Servicios
Administración del maestro de proveedores
Compras Excepcionadas
Cuentas por pagar Anticipo a Proveedores
49
MEGA
PROCESOS SUBPROCESOS
PROCESOS
Revisión y registro de Facturas
Procesamiento de Pagos
Administración de Reclamos de Proveedores
Otros Gastos Reembolsos de Gastos
El análisis metodológico basará su estudio en el Enterprise Risk Management Framework

conocido como COSO ERM o COSO II, cuya estructura presenta una metodología para
abordar la gestión de control interno y riesgo empresariales de las empresas con un
enfoque integrador que supone una verdadera oportunidad de creación de valor para sus
stakeholders.
La gestión de control interno y riesgo empresariales corporativos se ocupa de los riesgos y

oportunidades que afectan a la creación de valor o su preservación, se define como “El
proceso efectuado por los administradores, su dirección y restante personal aplicable a la
definición de estrategias en toda la empresa y diseñado para identificar eventos potenciales
que pueden afectar a la organización, gestionar sus riesgos dentro del riesgo aceptado y
proporcionar una seguridad razonable sobre el logro de sus objetivos.” 3
Dentro de los sistemas de información y su base de datos de procesos, el diseño de la

metodología de Matriz de Riesgo, se orientará el desarrollo de un modelo experto de gestión
de control interno y riesgo empresariales, el cual se formalizará a través de la emisión de
procedimientos de control, la definición de funciones y responsabilidades basados en la
experiencia y juicio experto del personal que lidera el proceso.
4.3.1 Metodología COSO ERM ó COSO II– Aplicación práctica

4.3.2 Objetivo
Los lineamientos establecidos en la presente Metodología tienen como objetivo servir de

guía a las actividades para la gestión de Control Interno con un enfoque de gestión de
control interno y riesgo empresariales empresariales en empresas de televisión pagada y
prepagada, para la aplicación práctica de la Metodología, denominaremos a la Empresa
CORPORACION CABLE TV.
4.3.3 Alcance
3
COSO II Y LA GESTIÓN INTEGRAL DE RIESGO DEL NEGOCIO, tomado de la página web
http:/estrategiafinanciera.es,
50
El caso de estudio diseña las políticas, estructura de gestión, metodologías y criterios
propuestos respecto de la gestión de control interno y riesgo empresariales para
CORPORACION CABLE TV, los elementos establecidos en el presente análisis, serán
aplicados por los involucrados en el proceso de gestión de Control Interno con enfoque de
riesgo operativo para los Procesos de Ingresos y Gastos.
4.3.4 Proceso de Gestión
El riesgo será gestionado de acuerdo a los parámetros del Enterprise Risk Management
Framework conocido como COSO ERM o COSO II, que gestiona los riesgos corporativos,
está conformado por ocho componentes relacionados entre sí, como se aprecia en el
siguiente gráfico:
Gestión de control interno y riesgo empresariales empresariales COSO ERM (COSO

II)
4.3.4.1 Ambiente Interno

Abarca el talante de una organización y establece la base de cómo el personal de la entidad
percibe y trata los riesgos, incluyendo la filosofía para su gestión, el riesgo aceptado, la
integridad y valores éticos y el entorno en que se actúa.
4.3.4.2 Establecimiento de objetivos

Los objetivos deben existir antes de que la dirección pueda identificar potenciales eventos
que afecten a su consecución. La gestión de control interno y riesgo empresariales
corporativos asegura que la dirección ha establecido un proceso para fijar objetivos y que
los objetivos seleccionados apoyan la misión de la entidad y están en línea con ella, además
de ser consecuentes con el riesgo aceptado.
51
4.3.4.3 Identificación de eventos
Los acontecimientos internos y externos que afectan a los objetivos de la entidad deben ser
identificados, diferenciando entre riesgos y oportunidades. Estas últimas revierten hacia la
estrategia de la dirección o los procesos para fijar objetivos.
4.3.4.4 Evaluación de riesgos

Los riesgos se analizan considerando su probabilidad e impacto como base para determinar
cómo deben ser gestionados y se evalúan desde una doble perspectiva, inherente y
residual.
4.3.4.5 Respuesta al riesgo

La dirección selecciona las posibles respuestas -evitar, aceptar, reducir o compartir los
riesgos - desarrollando una serie de acciones para alinearlos con el riesgo aceptado y las
tolerancias al riesgo de la entidad.
4.3.4.6 Actividades de control

Las políticas y procedimientos se establecen e implantan para ayudar a asegurar que las
respuestas a los riesgos se llevan a cabo eficazmente.
4.3.4.7 Información y comunicación

La información relevante se identifica, capta y comunica en forma y plazo adecuado para
permitir al personal afrontar sus responsabilidades. Una comunicación eficaz debe
producirse en un sentido amplio, fluyendo en todas direcciones dentro de la entidad.
4.3.4.8 Supervisión
La totalidad de la gestión de control interno y riesgo empresariales corporativos se
supervisa, realizando modificaciones oportunas cuando se necesiten. Esta supervisión se
lleva a cabo mediante actividades permanentes de la dirección, evaluaciones
independientes o ambas actuaciones a la vez.
4.3.5 Estructura de la Gestión de control interno y riesgo empresariales
La gestión del riesgo involucra el diseño del Proceso de Gestión de control interno y riesgo
empresariales, el cual ha sido incorporado al Mapa de Procesos de la Gerencia de Procesos
y Control Interno, y forma parte de la cadena de valor de la empresa, conforme lo siguiente:
52
Gerente de procesos y control interno - Mapa de Procesos
Mapa de Procesos - Gerencia de Procesos y Control Interno

EVALUACIÓN DE LOS PROCEOS Y
ELABORACIÓN DE CRONOGRAMA
VALORACIÓN DE SU CRITICIDAD
PLANIFICACIÓN (MATRIZ DE RIESGOS Y CONTROLES)
ANUAL DE TRABAJ0
DISEÑO DE METODOLOGÍA PARA

IMPLEMENTACIÓN GESTIÓN DE CONTROL INTERNO
IMPLEMENTACIÓN COMUNICACIÓN
GESTIÓN DE
PROCESOS Y
CONTROL
INTERNO MONITOREO Y COMUNICACIÓN DE SEGUIMIENTO DE ACCIONES
AUDITORÍAS DE CONTROL INTERNO EVALUACIÓN DE HALLAZGOS
DEFICIENCIAS CORRECTIVAS
SEGUIMIENTO
EVALUACIÓN DE LA GESTIÓN DE CONTROL

EVALUACIÓN INTERNO
ESTABLECIMIENTO IDENTIFICACIÓN EVALUACIÓN RESPUESTA ACTIVIDADES INFORMACIÓN Y

DE OBJETIVOS DE EVENTOS DE RIESGOS AL RIESGO DE CONTROL COMUNICACIÓN
GESTIÓN DE GESTIÓN DE
RIESGOS DE RIESGOS
NEGOCIO DE NEGOCIO
MONITOREO
4.3.6 Recursos
Los roles y responsabilidades relativas a la gestión de control interno y riesgos
empresariales se asignarán al Gerente de Procesos y Control Interno y así como a todo el
personal que gestione los procesos de ingresos y gastos y sus riesgos relacionados.
4.3.7 Roles y Responsabilidades
4.3.8 Estructuras de responsabilidad
El esquema organizativo de la gestión de control interno y riesgos empresariales se

encuentra segmentado en tres estructuras de responsabilidad: estratégica, táctica y
operativa.
4.3.8.1 Estructura Estratégica
Compuesta por el Presidente Ejecutivo y la Gerencia de Procesos y Control Interno.
Principales responsabilidades:
53
La definición, aprobación y supervisión de la estrategia, políticas, procesos y procedimientos
para la gestión de control interno y riesgos empresariales, así como asegurar la existencia
de los recursos necesarios para su correcta implantación.
4.3.8.2 Estructura Táctica
Compuesta por la Alta Gerencia: Presidencia y Gerencia de Comunicación y Gerencia de

Deportes.
Comunicar de forma clara la estrategia, las políticas y la estructura de la gestión de control
interno y riesgos empresariales con el propósito de crear una cultura de riesgos.
4.3.8.3 Estructura Operativa
Compuesta por áreas operativas y de negocio relacionada con los procesos de ingresos y
gastos. (Financiera Administrativa, Legal y Regulatoria, Tecnología de Información, Gestión
de Talento Humano, Customer Experience, Operaciones, Comercial).
Presidencia Ejecutiva Alta Gerencia: Diseñar y proponer las estrategias, políticas, procesos
y procedimientos de gestión de riesgo, así como, desarrollar metodologías y manuales de
gestión.
Gerencia de Procesos y Control Interno: Aplicar políticas, procedimientos y controles

aprobados en su operatividad, al igual que dar seguimiento, dentro de sus competencias, a
las exposiciones de riesgo y a los resultados de las acciones adoptadas para su tratamiento.
4.3.9 Roles y Responsabilidades
Por responsable
Roles y Responsabilidades de la gestión de control interno y riesgos empresariales
por responsables
Responsables Roles Responsabilidades
54
• Supervisar el perfil de Riesgos

• Informarse regularmente sobre la situación del riesgo de la
institución, su evolución en el tiempo y su perfil
Presidencia • Informarse, periódicamente, de la implantación y
Ejecutiva Supervisión cumplimiento de las estrategias, políticas, procedimientos y
límites aprobados; y, en el caso de determinar
incumplimiento o cumplimiento parcial, establecer las
medidas correctivas
Aprobación • Aprobar estrategias, políticas, procesos, procedimientos para

el manejo del riesgo.
• Aprobar el Plan de Gestión de control interno y riesgo
empresariales, el cual formará parte del Plan Anual de
Actividades de la Gerencia de Procesos y Control Interno.
• Aprobará la estructura organizacional que soporte el proceso
de gestión de riesgo.
• Comunicar de forma clara y explícita la estrategia de riesgo,

las políticas para su aplicación y la estructura de gestión del
Ejecución
riesgo.
• Aplicar la estrategia de gestión del riesgo.
• Proponer las estrategias, políticas, procedimientos, planes

de tratamiento para la gestión del riesgo.
• Proponer las metodologías para gestionar el riesgo, e
implementar mecanismos que aseguren su actualización
• Monitorear y analizar de forma sistemática el nivel de
exposición del riesgo.
• Poner en práctica las políticas de gestión del riesgo.
Gerencia de Consejo
Procesos y de • Implantar el Plan de comunicación.
Control • Analizar el entorno económico, de la industria, de los
Interno mercados en los que se opera y sus efectos en la empresa.
• Informar la Presidencia Ejecutiva respecto de la efectividad,
aplicabilidad y conocimiento por parte del personal de la
institución, de las estrategias, políticas, procesos y
procedimientos de riesgo.
• Asegurarse de la correcta ejecución tanto de la estrategia,

como de la implantación de políticas, metodologías,
procesos y procedimientos de riesgo.
• Conocer en detalle las exposiciones al riesgo con relación a
los perfiles de comportamiento y transaccionales.
Supervisión
• Informarse regularmente sobre la situación de gestión de
control interno y riesgo empresariales de la institución, sus
cambios y evolución en el tiempo.
• Evaluar la eficacia y efectividad del Plan de Gestión del
Riesgo.
• Coordinar la gestión del riesgo con la administración de

Coordinación
riesgos asociados.
55
• Aplicar las políticas, procedimientos y controles aprobados

Áreas para operatividad diaria.
Operativas/
Ejecución • Dar seguimiento, dentro de sus competencias, a las
Propietarios
del riesgo exposiciones de riesgo y a los resultados de las acciones
adoptadas para su tratamiento.
Auditoria • Examinar la aplicación y eficacia del marco adoptado para el

Ejecución
Interna monitoreo y revisión del riesgo.
Por actividad
Roles y Responsabilidades de la gestión de control interno y riesgos empresariales

por Actividad
Actividad Responsable
Establecimiento de objetivos Presidencia y Alta Gerencia.
Identificación de eventos Gerencia de Procesos y Control Interno.
Evaluación de Riesgos Gerencia de Procesos y Control Interno.
Respuesta al Riesgo Gerencia de Procesos y Control Interno.
Actividades de Control Áreas Operativas y de Negocio.
Alta Gerencia, Gerencia de Procesos y Control
Información y Comunicación
Interno.
Gerencia de Procesos y Control Interno, Áreas
Supervisión
Operativas y de Negocio.
4.4 Metodología para la implementación del proceso de gestión de control interno

en los procesos de ingresos y egresos
En consideración de la información que tiene almacenada la Institución dentro de los

sistemas de información y bases de datos de procesos, el diseño de la metodología de
gestión de control interno y riesgo empresariales, se orientará el desarrollo de un modelo
experto.
El presente trabajo de investigación contiene la descripción del modelamiento del proceso

de gestión de riegos en formato Excel, gráficas que serán presentadas en la descripción de
los factores de riesgo analizados, en las distintas etapas para la construcción del modelo.
4.4.1 Identificación de Riesgos
En primera instancia, la metodología de identificación de riesgos consiste en revisar fuentes

de información con eventos de riesgo de acuerdo con la naturaleza y características de los
56
factores de riesgos. Los riesgos se identifican con base en la lluvia de ideas, basada en la
experiencia de los líderes de proceso y la recogida en la gestión de procesos de
CORPORACION CABLE TV, con la cual se construye una base de datos de eventos de
riesgos, que posteriormente serán evaluados y calificados.
Para evaluar si los eventos de riesgos identificados constituyen riesgos reales o potenciales
que requieran ser gestionados, las áreas operativas y de negocio conjuntamente con el
responsable de la Gerencia de Procesos y Control Interno identificarán dichos eventos.
4.4.2 Valoración de Riesgos
Calificación de resultados. - Una vez identificados los eventos de riesgo, se debe

proceder con la valoración de riesgos, para lo cual se debe construir una Matriz de
Evaluación de Riesgos en donde se tomarán en cuenta los siguientes aspectos:
1. Megaproceso, Proceso, Subproceso:

2. Evento de Riesgo: identificación resumida o el título del riesgo o evento
que afecta la consecución de los objetivos de la entidad.
3. #: Número secuencial de factor riesgo.
4. Descripción del Riesgo: identificar y describir los eventos negativos (o no
deseados) que, en caso de ocurrir tengan un impacto adverso en el
desarrollo de las funciones de la entidad y afecten la consecución de sus
objetivos.
5. Factor de Riesgo: Señalar con una x el factor de riesgo que puede afectar
el cumplimiento de los objetivos institucionales, los cuales constituyen los
medios, circunstancias y agentes generadores de riesgo. Los agentes
generadores que se entienden como todos los sujetos u objetos que tienen
la capacidad de originar un riesgo. Para el efecto se utilizan los factores de
riesgo operativo: procesos, personas, tecnología de información y eventos
externos.
6. Probabilidad: Probabilidad es la posibilidad de ocurrencia del evento, que
puede ser medida con criterios de Frecuencia (por ejemplo, número de
veces en un tiempo determinado) o Factibilidad, teniendo en cuenta la
presencia de factores internos y externos que pueden propiciar el riesgo.
Para el efecto se utilizará una matriz con tres escalas de medición, con
criterios cualitativos, de acuerdo a lo siguiente:
Probabilidad
Valor Escala Concepto
57
Se espera que ocurra una vez al año y ya ha ocurrido con
3 Muy Probable
anterioridad varias veces
2 Probable Puede ocurrir alguna vez/ ha ocurrido solo una vez.
No ha ocurrido nunca pero podría ocurrir en los próximos años o
1 Improbable en circunstancia excepcionales
7. Impacto: Por impacto se entiende las consecuencias o la magnitud de sus efectos.
Para el efecto se utilizará una matriz con tres escalas de medición, con criterios
cualitativos, de acuerdo a los siguientes parámetros:
Impacto
Valor Escala Concepto
Las consecuencias amenazaran la supervivencia del programa, proyecto,
actividad, proceso de la entidad.
3 Alto Las consecuencias amenazaran la efectividad del programa o del
cumplimiento de objetivos de la entidad.
Las consecuencias no amenazarán el cumplimiento del programa,
proyecto, actividad, proceso, o de los objetivos, pero requerirán
2 Medio
cambios significativos o formas alternativas de operación.
Las consecuencias pueden solucionarse con algunos cambios o pueden
1 Bajo manejare mediante actividades de rutina.
Con la información obtenida, se procede a calificar los riesgos identificados con las escalas
de medición (bajo, moderado y alto), utilizando el juicio de experto y en base a la
información levantada, para obtener el riesgo inherente.
8. Riesgo Inherente: Es aquel al que se enfrenta una entidad en ausencia de acciones

de los directivos para modificar su probabilidad o impacto.
Calificados cada uno de los riesgos identificados en la matriz, se clasificarán en bajo,

moderado y alto, según la siguiente escala colorimétrica:
Riesgo inherente
Valor Escala Color
De 1.00 a 2.99 Bajo Verde
58
De 3.00 a 5.99 Moderado Naranja
De 6.00 a 9.00 Alto Rojo
4.4.3 Mapa de Riesgo
Antes de realizar el mapa de riesgo es necesario identificar los límites inferiores y

superiores del nivel del riesgo, para el efecto se ha diseñado el siguiente cuadro
explicativo:
Nivel de riesgo
Nivel de riesgo Límite inferior Límite superior Colorimetría
Riesgo Bajo 1.00 2.99

Riesgo Medio 3.00 5.99
Riesgo Alto 6.00 9.00
En dónde:
• El límite inferior del riesgo bajo es de 1.00 y el límite superior son de 2.99.
• El límite inferior del riesgo medio es de 3.00 y el límite superior son de 5.99.
• El límite inferior del riesgo alto es de 6.00 y el límite superior son de 9.00.
La metodología de matriz de riesgo, es el cruce de la probabilidad de la frecuencia del

riesgo (Muy probable, probable e improbable), con el impacto que este puede generar en la
Empresa y que puede ser bajo, medio o alto.
Mapa de riesgo
Alto 3 3,00 6,00 9,00

Probabilidad
Medio 2 2,00 4,00 6,00

Bajo 1 1,00 2,00 3,00
1 2 3
Bajo Medio Alto
Impacto
59
4.4.4 Control y Monitoreo
Riesgo Residual. - Luego de haber calificado el riesgo inherente, se identifica y describe

los procesos de control que la empresa utiliza para eliminar o mitigar los riesgos.
Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a
pesar de aplicar medidas de control el riesgo aún existe.
Los Controles que el presente modelo experto propone, para la mitigación de riesgos
identificados, contiene los siguientes criterios:
Tipos de Control
• Control manual: aquellos que son ejecutados por una o más personal del
área usuaria sin la utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más
personas y por un sistema de información, es decir es un trabajo conjunto
entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de
operación, de comunicación, de gestión de base de datos, programas de
aplicación, etc.; es decir no requiere intervención humana.
Su metodología de valoración será similar a la del Riesgo inherente como se muestra a

continuación:
• Probabilidad: se calificará nuevamente considerando y los parámetros

establecidos en la parte superior numeral 7.
• Impacto: se calificará nuevamente considerando y los parámetros
establecidos en la parte superior numeral 8
• Riesgo de Control: En el riesgo remanente luego que la entidad ha llevado
a cabo una acción para modificar la probabilidad o impacto de un riesgo. Es
el resultado de la multiplicación de la probabilidad e impacto. La
60
clasificación de alto, moderado o bajo se efectuará según los parámetros
establecidos en el mapa de riesgos.
4.5 Gestión del sistema de control interno, para los procesos de ingresos y
gastos en Corporación Cable TV Cía. Ltda.
4.5.1 Análisis de la Base de Datos Institucional
El alcance del presente trabajo se basa en el análisis de los procesos de Ingresos y Gastos
de CORPORACION CABLE TV Cía. Ltda. para el levantamiento de información e
identificación de riesgos se utilizará la metodología antes descrita.
La fuente de información constituye la base de datos de megaprocesos, procesos,

subprocesos, políticas y procedimientos de la empresa, que ha sido levantada por la
Gerencia de Procesos y Control Interno, en el período 2013, 2014 y 2015.
Con este antecedente, el megaproceso de egresos está compuesto por 3 procesos 12

subprocesos y 20 actividades, como se aprecia en el siguiente cuadro:
Megaprocesos, subprocesos y actividades - Egresos

Megaproceso Proceso Subprocesos Actividades
Registro de la requisición de compra en el

sistema SAP
Requisición de compras
Análisis y revisión para la aprobación o
rechazo de la requisición de compra
Análisis y comparación de ofertas a través
de cotizaciones, licitaciones o comité de
compras
Selección del proveedor Calificar proveedores capaces de
responder a las necesidades de compra de
la compañía en base a parámetros calidad
Egresos tiempos precios y pagos
Solicitud y aprobación formal de la orden
Compras de compra del bien o servicio requerido
por CORPORACION CABLE TV, por
Orden de compras y contratos medio del sistema SAP.
Elaboración de contratos que protegen los
intereses de las partes
Recepción / ingreso de bienes Registro de la hoja de entrada y

y servicios aceptación del bien o servicio
Creación o actualización de proveedores

Administración del maestro en el sistema
de proveedores Administración del maestro de
Proveedores
61
Validación de cambios de datos sensibles

de proveedores
Administración de aplicación Creación o actualización de perfiles de

de compras acceso al sistema de compras
Solicitud de servicios que por su

Compras de servicios
naturaleza son recurrentes y necesarios
excepcionados
para la operación
Anticipo a proveedores Solicitud de anticipo

Egresos
Revisión y registro de Recepción y validación de facturas con
facturas Documentos Habilitantes
Cuentas por Pagar Registro del pago en el sistema

Procesamiento de pagos
Desembolso y liquidación de anticipos
Cierre de cuentas por pagar Liquidación de cuentas por pagar
Solicitud de anticipo de empleados
Desembolsos con tarjeta corporativa

Otros Gastos Reembolsos de gastos
Liquidación del anticipo con documentos
habilitantes
En forma complementaria el megaproceso de ingresos, está compuesto por 5

procesos y 11 subprocesos y 42 actividades conforme el siguiente detalle:
Megaprocesos, subprocesos y actividades – Ingresos
Proponer precios y descuentos de

productos/servicios que
CORPORACION CABLE TV coloca en
Ingresos el mercado en función a costos y
márgenes de rentabilidad
Administración de Precios y
Descuentos Aprobación de precios y descuentos por
parte de Presidencia y Direcciones
Administración correspondientes
de Ventas
Ingresar lista de precios vigentes en ICC
Identificación y análisis de necesidad o

crecimiento de canales de venta
Gestión de Canales de Venta
Aprobación de apertura o expansión de
canales de venta
62
Elaboración y firma del contrato de

prestación de servicios y la autorización
de débito respectiva
Capacitación y entrenamiento sobre el
producto / servicio para su
comercialización
Creación de accesos al sistema E-Sales

para la captación de ventas
Monitoreo de la Gestión ejecutada por

cada Canal
Recopilar información del cliente en el
formato "Solicitud de Servicio"
Ingresar datos del cliente en sistema de
preventas E-Sales y procesar
Ingresos información para verificación crediticia,
así como de piratería o mora actual con
DTV
Aprobar o rechazar preventa según el
Captación de la preventa y resultado de análisis manual o
análisis de crédito automático según sea el caso
Firma de contrato de servicios y
autorización de débito
Crear contrato en el sistema para
aquellas preventas aprobadas ya sea
Gestión de automática o manualmente y derivarlas
Venta al proceso de instalaciones, caso
contrario registrar los motivos del
rechazo en el sistema
Si la forma de pago del cliente es tarjeta
de crédito, ingresar datos de tarjeta de
crédito en el sistema de preventas E-
Sales y realizar el cobro de forma
automática a través de POS Virtual.
Automáticamente el pago es asociado a
contrato en el sistema ICC.
Cobro de ventas a crédito Si la forma de pago del cliente es débito
automático, solicitar el depósito o
transferencia del valor de subscrición en
las cuentas bancarias de
CORPORACION CABLE TV.
Finalización de la venta y generación de
la orden de instalación
Revisión y actualización de las reglas de
negocio establecidas para la facturación
Facturación y
Prefacturación de productos y servicios, así como
Ajustes
también para la aplicación de descuentos
y promociones.
63
Análisis automático de toda la base de

suscriptores Previo Pago por medio del
Robot Prefacturador, buscando posibles
inconsistencias en las reglas de negocio
configuradas en el sistema con el fin de
notificar a los dueños de proceso para su
corrección en la base
Generación masiva de cargos y
descuentos en el sistema de facturación
de la compañía para la emisión de la base
general de clientes facturados y
segmentación de la base de clientes con
factura electrónica y factura Impresa.
Envío de Base a Imprenta para la

Facturación emisión de Facturas Impresas
Envío de la base de clientes con factura

electrónica al proveedor para emisión y
Ingresos envío de documentos electrónicos
Envío al courier de la base de clientes

para distribución de facturas impresas.
Los reclamos financieros de clientes son

receptados a través de cualquier canal de
comunicación con el cliente
Los reclamos financieros son analizados
inicialmente por ejecutivos de servicio al
cliente determinando si proceden o no.
En caso de no proceder son derivados a
Reclamos Financieros
segunda línea e verificación, pudiendo
llegar hasta una tercera línea.
Aprobación o rechazo de reclamos
financieros
Ejecución del ajuste financiero o
devolución al cliente y emisión de la
nota de crédito
Segmentación y formateo de la base de
clientes facturados por Institución
Financiera, de acuerdo al formato a lo
establecido por cada Banco.
Envío de las bases segmentadas y
Gestión de formateadas a cada institución Financiera
Recaudos y Recaudación masiva con débito para el cobro.
Cuentas por automático Aplicación en el sistema de los pagos
Cobrar confirmados por cada institución
financiera.
Preparación de la base para el envío a la
Institución Financiera con el fin de
realizar reintentos de cobro a clientes
impagos.
64
Cliente se acerca a los puntos

autorizados de recaudo y realiza el pago
en caso de realizar el pago en bancos
notifica o confirma el depósito para que
Recaudación en Ventanilla este sea aplicado
Aplicación del pago en el sistema
Eliminación de OSD (on screen display)
y/o reconexión de señal de ser el caso.
Definir objetivos y estrategias de
cobranza
Ingresos
Generar base de datos de clientes que
requieren gestión de cobranza
Envío automático de mensajes OSD (on
screen display) solicitando pago a todos
los clientes impagos.
Desconexión automática de señal a
clientes impagos a los 33 días de vencida
Gestión de Cobro la factura
Gestión de recuperación telefónica

Generación de orden de recupero de
equipos a los 62 días de vencida la
factura y envío a un tercero de la cartera
de clientes desconectados y con orden de
recupero de equipos para gestión de
recaudo
Registro de la provisión para incobrables
Administración
Administración de aplicación de Creación o Actualización de perfiles de
de aplicación de
ingresos acceso al Sistema de Ingresos
Ingresos
4.5.2 Análisis del ambiente interno

Para el efecto se tomará en cuenta las siguientes capacidades o factores claves de las
áreas que intervienen en los procesos de ingresos y egresos, conforme la estructura
organizacional de la empresa:
65
Análisis de Ambiente Interno
Capacidades Informe Análisis

CORPORACION CABLE TV posee un adecuado
direccionamiento estratégico, los objetivos estratégicos y los Las Direcciones y Gerencias de la compañía conocen la misión y visión de la
indicadores de gestión están orientados a la misión y visión de compañía, así como los objetivos e indicadores que apuntan a su cumplimiento, sin
la compañía. Estos objetivos e indicadores son reportados a embargo, no todos conocen los principales indicadores de otros procesos que no
Casa Matriz trimestralmente sin embargo localmente son les corresponde liderar pero que impactan o se ven impactados en los que están a
reportados mensualmente con el fin de ir tomando palanes de su cargo. Esto genera que no haya un conocimiento global de negocio en todos los
acción para el cumplimiento de los mismos. casos, y pueda limitar la toma adecuada de decisiones.
Los Procesos de Ingresos y Egresos aportan indiscutiblemente Adicionalmente se observó en relación a los Procesos de Ingresos que la Gerencia
al cumplimiento de los siguientes objetivos estratégicos: de Facturación y Cobranzas no mantiene un adecuado panel de control gerencial o
Direccionamiento - Generar Flujos de Caja positivos reportes en línea que le permitan conocer el estatus de sus principales indicadores
Estratégico - Ganar participación de mercado de gestión, si bien hasta el momento esto no ha afectado el cumplimiento de los
- Mantener un crecimiento por encima de 10% mismos, si representa un riesgo el hecho de no tener un adecuado monitoreo de
En cuanto a los indicadores y objetivos relacionados a los estos indicadores, lo cual puede impedir la toma de planes de acción oportunos
procesos de Ingresos y Egresos, tanto la Dirección Financiera, ante cualquier desvío.
Dirección de Operaciones, Gerencia de Facturación y Cobranza, En el caso de los Procesos de Egresos se pudo observar que dentro de los
Gerencia de Compras y Gerencia Financiera que son los objetivos que mantiene Gerencia de Compras no existen indicadores que permitan
principales involucrados en estos procesos, conocen sus medir el ahorro generado por la gestión de sus área, contar con la medición de este
objetivos principales e indicadores atados al cumplimiento de indicador como parte de los objetivos podría impactar en una mejora de los
los mismos, los cuales han sido desplegados de los objetivos resultados del objetivo estratégico Generar Flujos de Caja Positivos.
estratégicos.
66
Los procesos de Ingresos dentro del mapa de procesos de la

compañía se encuentran formando parte de los Procesos
Productivos, por la importancia que estos representan dentro de
la cadena de valor. Por este motivo, el negocio Post pago
Al revisar la estructura organizacional relacionada a los Procesos de Ingresos se
cuenta con una estructura organizacional fuerte en especial en
puede observar que se mantiene la cantidad necesaria de personal, y unos niveles o
las áreas relacionadas al Proceso de Ingresos donde existen
jerarquías que permiten tener una adecuada segregación de funciones en la
alrededor de 88 empleados.
Estructura ejecución de los procesos.
Los procesos de Egresos dentro del mapa de procesos de la
Organizacional En relación a los Procesos de Egresos se puede observar que la estructura
compañía se encuentran formando parte de los Procesos de
organizacional es demasiado ligera en especial en los niveles operativos lo que
Apoyo debido a su rol dentro de la cadena de valor. Sin
puede impactar en que no se realice una adecuada gestión y control en los Procesos
embargo, estos procesos son de suma importancia para la
de Compras y Pagos.
administración del negocio y el éxito de sus resultados. Cuenta
con una estructura organizacional liviana en las áreas
relacionadas a los Procesos de Egresos donde existen alrededor
de 30 empleados.
Para la administración del Talento Humano la compañía cuenta

Al analizar los manuales de funciones y perfiles se pudo detectar que tanto en
con manuales de funciones y perfiles para cada cargo, los
personal involucrado en los procesos de Ingresos como de Egresos si bien existen
mismos que se han ejecutado de acuerdo a la estructura
Talento Humano dichos manuales, estos en algunos casos se encuentran desactualizados y en otros
organizacional de la compañía, esto aplica para todas las áreas
los perfiles no van acorde con el nivel de funciones y responsabilidades que se
de la compañía incluyendo el personal involucrado en los
requiere, en especial a nivel de cargos de Analistas y Jefaturas.
Procesos de Ingresos y Egresos.
67
Las plataformas tecnológicas que soportan tanto los Procesos de Ingresos como de
La compañía cuenta con plataformas tecnológicas que soportan
Egresos son administradas en lo relacionado a la creación, actualización o
y generan eficiencia en el desarrollo de sus procesos.
eliminación de perfiles de accesos o permisos, por el área de Control Interno, lo
En el caso de los Procesos de Egresos la plataforma tecnológica
cual garantiza la existencia de una adecuada segregación de funciones en las
utilizada para la ejecución de los Procesos de Compras, Cuentas
operaciones. En aquellos casos donde por motivos de estructura organizacional no
x Pagar y todo movimiento contable y financiero es SAP.
ha sido posible restringir ciertos accesos, el área de control interno ha
En el caso de los Procesos de Ingresos existen dos sistemas:
implementado controles compensatorios con el fin de que los dueños de procesos
E- Sales: Sistema para la captación y gestión de la venta, esto
puedan monitorear continuamente el uso de estas transacciones conflictivas en el
incluye captación de preventas, análisis del cliente y revisión
sistema.
crediticia en primera línea, ventas a crédito (Monto por
Tecnología de la Por otro lado la administración del funcionamiento, desarrollos tecnológicos,
suscripción para suplir gastos administrativos relacionados con
Información y configuración, actualización y servicios prestados por las plataformas tecnológicas
el alta del cliente) con Tarjeta de Crédito, así como el impacto
Comunicación está a cargo de casa matriz a través de centros de competencia que trabajan para
de eventos para la generación del contrato y la orden de
todos los países de Latinoamérica. Se observa que esto no siempre ha resultado
instalación en el sistema ICC.
beneficioso puesto que las horas de desarrollo asignadas para cada país no son
ICC: Sistema para la administración e interacción con clientes
suficientes versus la demanda de necesidades que requiere cubrir el negocio y
esto incluye, generación de contratos, administración de WO
adicionalmente costosas, por tanto existen varias iniciativas de mejora presentadas
(Work Orders - Órdenes de trabajo por instalación o servicio
tanto para los Procesos de Ingresos y Egresos que no han sido implementadas a las
técnico), envío de comandos, activación de señal,
fecha.
administración de productos y campañas, facturación a clientes,
Es relevante citar que no se pudo evidenciar una adecuada gestión por parte del
ajustes financieros, registros de cobro, proceso de arreas o
área de Seguridad de la Información, por ejemplo al manejar información bancaria
cartera vencida.
de clientes sería importante trabajar en la certificación de la norma PCI.
68
La normativa vigente relacionada con la integridad y valores éticos de la

compañía, es conocida por todo el personal.
Existe evidencia de un entrenamiento anual a todo el personal para el caso del
La compañía en relación a los valores y ética mantiene la
Código de Ética así como de las Políticas locales de Anticorrupción y
siguiente normativa vigente:
Antisoborno, si éstas son actualizadas existen capacitaciones adicionales para dar a
- Código de Ética desarrollado por Casa Matriz
Integridad y conocer los cambios.
- Políticas locales de Anticorrupción y Antisoborno cuyos
Valores Éticos Una copia del Reglamento Interno es entregada a cada colaborador en el momento
lineamientos son enviados por Casa Matriz.
del ingreso a la compañía.
- Reglamento Interno de Trabajo aprobado por el ministerio de
Esta normativa impacta en todos los procesos, comportamientos y operaciones
Relaciones Laborales
ejecutadas en la compañía incluyendo Ingresos y Egresos que por su naturaleza
puede prestarse para casos donde la integridad y valores éticos son indispensables
en la ejecución de sus labores y relación con terceros.
69
En la compañía existen Políticas formales que determinan los

niveles de Autoridad y Responsabilidad.
1. Para el caso de Procesos de Egresos existen niveles de
autorización para la ejecución de Compras y Pagos de acuerdo a
montos tal como sigue:
0 a 5.000 USD - Gerencias de Área
5.001 a 25.000 USD - Direcciones de Área
25.001 a 100.000 USD - Direcciones de Área + Dirección Los niveles de autoridad y responsabilidad en los principales Procesos de Ingresos
Financiera y Egresos son adecuados, se puede observar que existen políticas bastante
100.001 o más USD - Direcciones de Área + Dirección conservadoras en relación a la magnitud de los montos que están asignados a cada
Financiera + Presidencia. uno de los niveles de autorización.
- Para el caso de Activos mayores a 25.000 USD es necesaria la Adicionalmente las matrices de autorización existentes garantizan la existencia de
aprobación de Casa Matriz aprobaciones cruzadas, lo cual minimiza el riesgo de errores, fraude o ineficiencias
Asignación de
- Para Gastos mayores a 300.000 USD es necesaria la en las operaciones.
niveles de
aprobación de Casa Matriz Por otro lado se observa además que para varios procesos estas aprobaciones son
autoridad y
- Para el Caso de convenios y contratos estos únicamente serán requeridas a través de flujos automáticos que son un proceso propio o
responsabilidad
aprobados por el Representante Legal o su delegado. complementario a las plataformas tecnológicas utilizadas en la ejecución de estos
2. Para caso de Procesos de Ingresos existen niveles de procesos.
autorización y responsabilidad a continuación un detalle de los El proceso relacionado con cuentas a pagar en especial aquellas que por su
procesos más importantes: naturaleza no pasan por el proceso normal de compras, no cuentan con un flujo
- Fijación de Precios: Director Comercial + Director Financiero automático de aprobaciones, lo cual implica la existencia de un riesgo de error o
+ Presidencia fraude.
- Apertura de Canales de Venta: Director Comercial + Director
Financiero + Director Legal + Director de Operaciones
- Ejecución de Ajustes Financieros por monto:
Hasta 35 USD Primera Línea (Ejecutivos de Servicio al cliente)
Hasta 200 USD Analistas de Ajustes Financieros
Hasta 1000 USD Gerente de Facturación y Cobranzas
Más de 1000 USD Director Financiero
70
A continuación se presenta un de detalle de las áreas que

intervienen en los Procesos de Ingresos y Egresos:
-Procesos de Ingresos: Ventas, Facturación, Crédito y Ajustes, Se pudo observar que en los Procesos tanto de Ingresos como de Egresos existe
Relación con otras Cobranzas, Contabilidad, Control Interno. una adecuada interacción entre las áreas de negocio, lo cual ayuda a que exista una
áreas de negocio. -Procesos de Egresos: Compras, Contabilidad, Legal, adecuada segregación de funciones, así como controles cruzados a lo largo de las
Logística, Tesorería, y todas la áreas de la compañía que operaciones.
requieran ejecutar gastos para la ejecución de sus operaciones
dentro de la compañía.
2.1.1 Análisis de los Objetivos del Negocio:
Análisis de Objetivos de Negocio

Los objetivos estratégicos de la compañía son establecidos por Casa Matriz,
previamente los indicadores atados al cumplimiento de estos objetivos son revisados
con el país y la versión final aprobada de los mismos es enviada a CORPORACION
CABLE TV durante el mes de enero de cada año, a continuación un detalle de los El cumplimiento de los objetivos estratégicos para el año
objetivos definidos para el 2014 y 2015: 2014 fue en promedio general de un 105% donde el
Objetivos
1. Proveer Experiencias WOW a los Clientes cumplimiento para cada uno de los 4 objetivos
Estratégicos
3. Crecer en las tres líneas del Negocio estratégicos fue como sigue:
3. Mantener eficiencia a lo largo de todas las operaciones.
4. Inspirar a los Colaboradores de CORPORACION CABLE TV
Cada uno de estos objetivos tienen atados cuya medición permitirá determinar el
cumplimiento de los mismos.
71
Adicional a los objetivos estratégicos existen cuantos objetivos relacionados los cuales
son establecidos por casa matriz, previamente los indicadores atados al cumplimiento
de estos objetivos son revisados con el país y versión final aprobada de los mismos es
El cumplimiento de los objetivos financieros para el año
enviada a CORPORACION CABLE TV durante el mes de enero de cada año, a
2014 fue en promedio general de un 101%, donde el
continuación un detalle de los objetivos definidos para el 2014 y 2015:
Objetivos cumplimiento para cada uno de los 4 objetivos financieros
1. Mantener los márgenes
Relacionados fue como sigue:
2. Generar Flujos de Caja positivos
3. Ganar participación de mercado
4. Mantener un crecimiento por encima de 10%
Cada uno de estos objetivos tiene atados indicadores cuya medición permitirá
determinar el cumplimiento de los mismos.
Los Procesos de Ingresos y Egresos impactan

directamente en los principales objetivos financieros de la
Los Procesos de Ingresos y Egresos apuntan al cumplimiento de los siguientes compañía, por este motivo la matriz de riesgos
Objetivos objetivos: desarrollada como parte de la metodología de gestión
Seleccionados - Generar Flujos de Caja positivos presentada en el presente trabajo, está enfocada a la
- Mantener un crecimiento por encima de 10% identificación de los principales riesgos de negocio
existentes en los Procesos de Ingresos y Egresos de la
compañía.
72
Con respecto a los Procesos de Ingresos los cambios en
algunas Políticas sin duda impactan en el resultado de
algunos indicadores de gestión que apuntan al
cumplimiento de los objetivos de la compañía.
Revisando los principales impactos del cambio en las
políticas de crédito para facilitar el ingreso de otro
A lo largo del tiempo la administración de la compañía se ha caracterizado por ser
segmento de clientes, por otro lado, la eliminación del
adversa al riesgo lo cual se evidencia en la aplicación de Políticas conservadoras de
cobro de Hook up como parte de una campaña comercial,
negocio para la línea de Post pago, dentro de las principales se pueden citar:
han afectado un indicador importante para la compañía
como es el Churn Involuntario, que nos es otra cosa que,
- Políticas de Crédito a clientes
el % de clientes de la base que han dejado de pagar su
- Políticas de Autorización y Responsabilidad
mensualidad y como consecuencia su señal ha sido
- Políticas de mercadeo y oferta de producto
Apetito al desconectada. Si bien la captación de nuevos clientes ha
Riesgo sido mayor con la aplicación de estas nuevas políticas, al
Sin embargo luego de haber mantenido un crecimiento sostenido desde el inicio de
netear la cantidad de clientes ingresados en el período
operación, factores externos como la saturación en captación de mercado de estrato A y
versus la cantidad de clientes desconectados en el
B, la introducción de nueva competencia en el mercado de televisión pagada así como
período, los impactos en el crecimiento esperado no son
competencia existente con estrategias de mercado agresivas en cuanto precio, han
los óptimos, y adicionalmente existen impactos en otros
cambiado esta posición conservadora a una posición en la que se vuelve indispensable
indicadores de negocio como en este caso podríamos citar
adoptar un mayor nivel de riesgo para cumplir con los objetivos en especial de
indicadores de morosidad y nivel de cartera. Por otro lado
crecimiento exigidos por Casa Matriz.
se incurre en costos administrativos con el fin de
gestionar el cobro a estos clientes, lo que afecta otros
indicadores importantes del negocio como por ejemplo el
SAC (Sales Average Cost) y Pay back que corresponde al
tiempo en el que retorna la inversión realizada en cada
cliente.
73
Si bien se han tomado políticas menos conservadoras este

La tolerancia al riesgo está basada en el cumplimiento global de los objetivos de la
último año, la tolerancia al riesgo sigue siendo baja pues
compañía, es decir el riesgo asumido deberá asegurar el cumplimiento global de al
la decisión de eliminar posiblemente la utilidad y de
Tolerancia al menos el 80% de los objetivos. La aplicación de políticas más riesgosas está
rentabilidad durante el período, viene acompañada de
Riesgo encaminada a llegar al cumplimiento de los objetivos de crecimiento y captación de
planes de acción que permitirán la capitalización de la
mercado, aun cuando esto implique que ciertos objetivos financieros puedan verse
captación de mercado que es en donde la compañía ha
afectados incluso rediciendo a 0 el nivel de utilidad para el período.
decidido poner foco.
74
4.6 Matriz de Evaluación del Riesgo
➢ Una vez levantada la información e identificados los eventos en el resumen de levantamiento

de información que se obtuvo a través de los líderes de procesos de las diferentes áreas de la
Empresa, se procede a desarrollar la matriz en base a la metodología descrita con anterioridad
en dónde;
✓ Riesgo: identificamos en forma resumida los riesgos o eventos que afecten la consecución
de objetivos de la entidad, lo enumeramos en forma secuencial y describimos los eventos
negativos y el impacto que pueden generar.
Identificación y descripción de eventos procesos de egresos
Megaproceso Proceso Subprocesos Actividades No. Riesgos Identificados
Ejecución de gastos no
Registro de la requisición de autorizados o no
1
compra en el sistema SAP clasificados
adecuadamente
Requisición de Compras no planificadas

compras 2 que afecten el presupuesto
Análisis y revisión para la de la compañía
aprobación o rechazo de la Fragmentación de
requisición de compra requisiciones de compra
3
para evadir niveles de
Egresos autorización
Operaciones con
4
proveedores ficticios
5 Colusión con proveedores
Análisis y comparación de
ofertas a través de Falta de procesos y
cotizaciones, licitaciones o políticas de licitación y
comité de compras cotización que no permitan
6
gestionar ahorros y
Compras Selección del eficiencias para la
proveedor compañía
Proveedores que
Calificar proveedores incumplan con fechas de
capaces de responder a las entrega y la calidad
necesidades de compra de la deseada en los bienes y
7
compañía en base a servicios contratados por la
parámetros calidad tiempos compañía, por
precios y pagos inconsistencia en proceso
de calificación.
Solicitud y aprobación Incumplimiento de
formal de la orden de políticas y procedimientos
8
compra del bien o servicio para aprobación de órdenes
requerido por de compra.
CORPORACION CABLE
Órdenes de Fragmentación de órdenes
TV, por medio del sistema 9
compras y de compra.
SAP.
contratos
Operaciones de compra
Elaboración de contratos
efectuadas sin contrato por
que protegen los intereses de 10
Egresos incumplimiento de
las partes
políticas y procedimientos.
75
Creación de órdenes de
11 compra ficticias y/o sin
contratos.
Falta de procedimientos de
contingencia en caso de
12
fallas en el sistema de
compras
Recepción de bienes y
13 servicios registrados en
períodos incorrectos
Recepción / Registro de la hoja de Recepción de materiales y
Ingreso de Bienes entrada y aceptación del servicios que no cumple
y Servicios bien o servicio especificaciones para el
14
proceso de producción y/o
estándares de calidad y
tiempo de la compañía.
Datos incorrectos podrían
ser registrados en el
maestro de proveedores en
Creación o actualización de especial números de
15
proveedores en el sistema cuentas bancarias lo que
puede ocasionar errores o
fraudes el pago a
proveedores
Administración Trabajar con proveedores
del maestro de no adecuados que pongan
Administración del maestro
Egresos proveedores 16 en riesgo el cumplimiento
de proveedores
con las necesidades de la
compañía
Cambios en los datos
sensibles del proveedor sin
Validación de Cambios de
argumento o evidencia que
Datos Sensibles de 17
originen fraudes o errores
Proveedores
en la ejecución de pagos a
proveedores
Personal no autorizado que
Administración de Creación o actualización de ejecute cambios o registros
aplicación de perfiles de acceso al sistema 18 en el sistema que
compras de compras conlleven a fraude o
errores
Solicitud de servicios que Falta de procedimientos y
Compras de
por su naturaleza son políticas para compras de
servicios 19
recurrentes y necesarios bienes o servicios fuera del
excepcionados
para la operación proceso estándar.
Anticipo a Generación de anticipos de
Solicitud de anticipo 20
proveedores proveedores no autorizados
Facturas no registradas
Revisión y Recepción y validación de 21
oportunamente
registro de facturas con documentos
Pagos errados por falta de
Cuentas facturas habilitantes 22
validación
por pagar
Pagos o desembolsos que
Registro del pago en el
23 no han sido aprobados
Procesamiento de sistema
adecuadamente
pagos
Desembolso y liquidación Errores en transferencia y
24
del anticipo acreditación de recursos de
76
desembolsos.
Fraude, desembolsos
25
ficticios son registrados
Pagos erróneos o
26 duplicados por errores en
sistemas de información.
Existencia de partidas
Cierre de cuentas Liquidación de cuentas por antiguas de anticipos y
27
por pagar pagar obligaciones con
proveedores.
Gastos ficticios o no
Solicitud de anticipo de relacionados al negocio
28
empleados desembolsados a
empleados
Desembolsos con tarjeta relacionados al negocio son
29
Otros Reembolsos de corporativa ejecutados con tarjeta de
gastos gastos crédito corporativa
Incumplimiento políticas
establecidas para la
Liquidación del anticipo con ejecución y reembolso de
30
documentos habilitantes gastos de viaje o
misceláneos por parte de
empleados
Identificación y descripción de eventos procesos de ingresos
Definir precios
Proponer precios y
demasiados altos que no
descuentos de
permitan acceder al
productos/servicios que
mercado o precio
CORPORACION CABLE 1
demasiado bajos que no
TV coloca en el mercado en
permitan obtener
función a costos y márgenes
Ingresos márgenes de rentabilidad
de rentabilidad
adecuados.
Administración de
Precios de venta al
precios y
público/descuentos no
descuentos Aprobación de precios y
aprobados por la alta
descuentos por parte de
2 gerencia que podría
Administr presidencia y direcciones
generar inconvenientes
ación de correspondientes
financieros no
ventas planificados
Precios o descuentos
Ingresar lista de precios
3 registrados en el sistema
vigentes en ICC
distintos a los autorizados
Identificación y análisis de Crear canales de ventas
necesidad o crecimiento de 4 que no sean eficientes ni
canales de venta rentables
Gestión de canales Incorporar canales de
de venta Aprobación de apertura o venta no aprobados por la
expansión de canales de 5 alta gerencia que podrían
venta generar inconvenientes
financieros no
77
planificados e incluso
litigios legales
Canales de venta que

Elaboración y firma del
comercialicen los
contrato de prestación de
6 productos y servicios de
servicios y la autorización
la compañía sin suscribir
de débito respectiva
un contrato
Canal de venta sin
Capacitación y conocimiento adecuado
entrenamiento sobre el que podría impactar en el
7
producto / servicio para su nivel de ventas, así como
comercialización en reclamos o deserción
de clientes
Ingresos Creación de accesos al Accesos inadecuados a los
sistema E-Sales para la 8 sistemas que conlleven a
captación de ventas fraude
Incumplimiento en las
metas de venta, cobranza
Monitoreo de la Gestión
9 y churn que impacten en
ejecutada por cada Canal
los resultados de la
compañía
Información sensible de
clientes expuesta en la
Recopilar información del
Solicitud de Servicios que
cliente en el formato 10
pasa por personal de
"Solicitud de Servicio"
distribuidores o interno
con fines fraudulentos
Parámetros de
verificación de crédito
que no hayan sido
analizados adecuadamente
Ingresar datos del cliente en 11 que ocasionen
sistema de preventas E- ineficiencias y otros
Sales y procesar efectos negativos en la
información para calidad de clientes que
Captación de la verificación crediticia, así ingresan a la compañía
Gestión
preventa y análisis como de piratería o mora
de Venta Listas negras
de crédito actual con DTV
desactualizadas lo cual
12 permita el ingreso de
clientes con historial de
fraude o morosidad
Aprobar el ingreso de
clientes que se encuentran
13 en listas negras por
Aprobar o rechazar
morosidad, piratería u
preventa según el resultado
otro tipo de fraude
de análisis manual o
Aprobar el ingreso de
automático según sea el
clientes que no cumplen
caso
14 con las políticas de
crédito establecidas por la
administración
78
Reclamos de clientes o
instituciones financieras
por ejecución de cobros
Firma de contrato de
no autorizados lo que
servicios y autorización de 15
puede ocasionar litigios
débito
legales y pérdida de la
relación con la institución
financiera
Crear contrato en el sistema
para aquellas preventas
Crear contratos de clientes
aprobadas ya sea
rechazados de acuerdo a
automática o manualmente
16 las políticas y requisitos
y derivarlas al proceso de
establecidos por la
instalaciones, caso contrario
compañía
registrar los motivos del
rechazo en el sistema
Si la forma de pago del
cliente es tarjeta de crédito, Fraude con tarjetas de
ingresar datos de tarjeta de 17 crédito de clientes (cobros
crédito en el sistema de no autorizados )
Ingresos preventas E- Sales y
realizar el cobro de forma
automática a través de POS
Virtual. Automáticamente 18 Cobros duplicados
el pago es asociado a
contrato en el sistema ICC.
Procesamiento de la venta
Cobro de hook up Si la forma de pago del
sin el respectivo cobro de
cliente es débito 19
HU (en el caso de
automático, solicitar el
Televentas)
depósito o transferencia del
Pérdida de nuevos clientes
valor de subscrición en las
al cortar el proceso de
cuentas bancarias de
20 venta y enviar a los
CORPORACION CABLE
clientes a realizar el
TV.
depósito bancario
Finalización de la venta y
Generación de órdenes de
generación de la orden de 21
instalación ficticias
instalación
Revisión y actualización de
las reglas de negocio Falta de análisis de las
establecidas para la reglas de negocio para la
facturación de productos y 22 facturación que impacten
servicios, así como también en el valor facturado a
para la aplicación de clientes
descuentos y promociones.
Análisis automático de toda
Facturació la base de suscriptores
Prefacturación Inconsistencias detectadas
n y ajustes Previo Pago por medio del
por el robot pre facturador
Robot Prefacturador,
que no han sido
buscando posibles
corregidas por los dueños
inconsistencias en las reglas 23
de procesos, que generen
de negocio configuradas en
fallas o errores en los
el sistema con el fin de
valores facturados a
notificar a los dueños de
clientes
proceso para su corrección
en la base
79
Generación masiva de
cargos y descuentos en el
sistema de facturación de la
Errores o fraude en el
compañía para la emisión
proceso de facturación
de la base general de
24 debido a manipulación en
clientes facturados y
la base de clientes
segmentación de la base de
facturados.
clientes con factura
electrónica y factura
Impresa.
Envío de Base a Imprenta
Facturación para la emisión de Facturas
Impresas
Base de datos de clientes
Envío de la base de clientes 25 que puede ser mal
con factura electrónica al utilizada por el proveedor.
proveedor para emisión y
envío de documentos
electrónicos
Reclamos de clientes por
Envío al Courier de la base no recepción de factura
de clientes para distribución 26 que puede generar
de facturas impresas. sanciones por parte del
ente regulador.
Ingresos
Alta rotación de
Los reclamos financieros de ejecutivos de servicio al
clientes son receptados a cliente y retenciones, que
27
través de cualquier canal de puede impactar en el
comunicación con el cliente incremento de ajustes
financieros.
Los reclamos financieros
son analizados inicialmente
por ejecutivos de servicio al Criterio erróneo en el
cliente determinando si análisis, lo que podría
proceden o no. En caso de generar un incremento en
28
no proceder son derivados a la cantidad y monto de
segunda línea e ajustes financieros de
Reclamos
verificación, pudiendo clientes.
Financieros
llegar hasta una tercera
línea.
Ajustes financieros no
Aprobación o rechazo de autorizados que originen
29
reclamos financieros pérdidas económicas a la
compañía.
Acceso para la ejecución
de transacciones
Ejecución del ajuste
financieras (ajustes) a
financiero o devolución al
30 demasiados usuarios y a
cliente y emisión de la nota
todo nivel jerárquico lo
de crédito
que podría incrementar el
riesgo de error o fraude.
Gestión Segmentación y formateo Manipulación en la base
de de la base de clientes de clientes facturados
Recaudación
Recaudos facturados por Institución previo al envío al cobro a
masiva con débito 31
y Cuentas Financiera, de acuerdo al las instituciones
automático
por formato a lo establecido por financieras que den lugar
Cobrar cada Banco. a error o fraude.
80
Uso indebido de
Envío de las bases
información de clientes
segmentadas y formateadas
32 por falta de seguridades
a cada institución
en el envío de la
Financiera para el cobro.
información.
Aplicación en el sistema de Error en la aplicación de
los pagos confirmados por 33 pagos o registro de pagos
cada institución financiera. indebidos.
Manipulación en la base
Preparación de la base para
de clientes facturados
el envío a la Institución
previo al envío al cobro a
Financiera con el fin de 34
las instituciones
realizar reintentos de cobro
financieras que den lugar
a clientes impagos.
a error o fraude.
Cliente se acerca a los
puntos autorizados de Cobros duplicados por
recaudo y realiza el pago en ejecución de débitos
caso de realizar el pago en 35 automáticos en clientes
bancos notifica o confirma que han realizado pago
el depósito para que este por ventanilla.
sea aplicado
Recaudación en Aplicación del pago en el Cobros no aplicados o
36
Ventanilla sistema mal aplicados
Ingresos Reclamos de clientes por
mantener mensajes de
Eliminación de OSD y/o mora en su pantalla o el
reconexión de señal de ser 37 servicio desconectado, lo
el caso. que pueden generar
pérdidas económicas por
sanciones del regulador .
Definir campañas y
estrategias que no
impacten positivamente
Definir objetivos y
38 en el cumplimiento de las
estrategias de cobranza
metas de cobro e incluso
afecten los márgenes de
rentabilidad esperados.
Bases de datos
Generar base de datos de
desactualizadas o erróneas
clientes que requieren 39
que generen ineficiencias
gestión de cobranza
en la gestión de cobro.
Fallas en el Aplicativo de
Gestión de Cobro Envío automático de arrears para el envío de
mensajes OSD solicitando mensajes OSD a clientes,
40
pago a todos los clientes lo que puede impactar en
impagos. la gestión de cobranza y el
nivel de churn .
Desconexión automática de arrears para la
señal a clientes impagos a desconexión del servicio a
los 33 días de vencida la clientes con deuda, lo que
41
factura (En este feriado ya puede impactar en la
se ha generado una nueva eficiencia de gestión de
facturación) cobranza y el nivel de
churn.
81
Índices elevados de no
contactabilidad, lo que
42 impide realizar una
adecuada gestión de
Gestión de Recuperación cobranza.
telefónica Mala gestión de cobranza
por parte de los ejecutivos
43 lo que puede impactar en
la eficiencia de cobro y
nivel de churn.
Ingresos Generación de Orden de
recupero de equipos a los
62 días de vencida la
Equipos no recuperados
factura y Envío a un tercero
44 que implican pérdidas
de la Cartera de clientes
para la compañía.
desconectados y con orden
de recupero de equipos
para gestión de recaudo
Error en el cálculo de la
Registro de la provisión
45 provisión para cuentas
para incobrables
incobrables.
Administr Personal no autorizado
ación de Administración de Creación o Actualización que ejecute cambios o
aplicación aplicación de de perfiles de acceso al 46 registros en el sistema
de ingresos Sistema de Ingresos que conlleven a fraude o
Ingresos errores.
Factores de Riesgo: Una vez identificados los riesgos, conforme esta metodología se debe
marcar con una x el factor de riesgo al que pertenece el evento de riesgo o riesgo identificado, que
puede afectar el cumplimiento de los objetivos institucionales. Los factores de riesgo pueden ser: 4
Procesos: Con el objeto de garantizar la optimización de los recursos y la estandarización de las

actividades, la institución debe contar con procesos definidos de conformidad con la estrategia y
las políticas adoptadas,
Personas: Las instituciones controladas deben administrar el capital humano de forma adecuada,
e identificar apropiadamente las fallas o insuficiencias asociadas al factor “personas”, tales como:
falta de personal adecuado, negligencia, error humano, nepotismo de conformidad con las
disposiciones lega les vigentes, inapropiadas relaciones interpersonales y ambiente laboral
desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre
otros.
Tecnología de la información: Las instituciones controladas deben contar con la tecnología de la

información que garantice la captura, procesamiento, almacenamiento y transmisión de la
información de manera oportuna y confiable; evitar interrupciones del negocio y lograr que la
información, inclusive aquella bajo la modalidad de servicios provistos por terceros, sea íntegra,
confidencial y esté disponible para una apropiada toma de decisiones.
Eventos externos: En la administración del riesgo operativo, las instituciones controladas deben
considerar la posibilidad de pérdidas derivadas de la ocurrencia de eventos ajenos a su control,
tales como: fallas en los servicios públicos, ocurrencia de desastres naturales, atentados y otros
4 Fuente de consulta: Art. 4 RESOLUCIÓN No. JB-2005-834 de 20 de octubre del 2005 .DE LA GESTIÓN DEL RIESGO OPERATIVO.
82
actos delictivos, los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto,
deben contar con planes de contingencia y de continuidad del negocio.
Factores de riesgo para los procesos de egresos
FACTORES DE RIESGO
TECNOLOGÍA DE EVENTOS
No. RIESGOS IDENTIFICADOS PERSONAS
INFORMACIÓN
PROCESOS
EXTERNOS
Ejecución de gastos no autorizados o no
1 X
clasificados adecuadamente
Compras no planificadas que afecten el
2 X
presupuesto de la compañía
Fragmentación de requisiciones de
3 compra para evadir niveles de X
autorización
4 Operaciones con proveedores ficticios X
5 Colusión con proveedores X
Falta de procesos y políticas de licitación

6 y cotización que no permitan gestionar X
ahorros y eficiencias para la compañía
Proveedores que incumplan con fechas de
entrega y la calidad deseada en los bienes
7 y servicios contratados por la compañía, X
por inconsistencia en proceso de
calificación.
Incumplimiento de políticas y
8 procedimientos para para aprobación de X
órdenes de compra.
9 Fragmentación de órdenes de compra. X
Operaciones de compra efectuadas sin

10 contrato por incumplimiento de políticas X
y procedimientos.
Creación de órdenes de compra ficticias
11 X
y/o sin contratos.
Falta de procedimientos de contingencia
12 X
en caso de fallas en el sistema de compras
Recepción de bienes y servicios
13 X
registrados en períodos incorrectos.
Recepción de materiales y servicios que
no cumple especificaciones para el
14 X
proceso de producción y/o estándares de
calidad y tiempo de la compañía.
Datos incorrectos podrían ser registrados
en el maestro de proveedores en especial
15 números de cuentas bancarias lo que X
puede ocasionar errores o fraudes el pago
a proveedores.
Trabajar con proveedores no adecuados
16 que pongan en riesgo el cumplimiento con X
las necesidades de la compañía.
Cambios en los datos sensibles del
proveedor sin argumento o evidencia que
17 X
originen fraudes o errores en la ejecución
de pagos a proveedores.
Personal no autorizado que ejecute
18 cambios o registros en el sistema que X
conlleven a fraude o errores.
83
FACTORES DE RIESGO
No. RIESGOS IDENTIFICADOS PERSONAS
INFORMACIÓN
PROCESOS
EXTERNOS
Falta de procedimientos y políticas para
19 compras de bienes o servicios fuera del X
proceso estándar.
Generación de anticipos de proveedores
20 X
no autorizados.
21 Facturas no registradas oportunamente X
22 Pagos errados por falta de validación. X
Pagos o desembolsos que no han sido

23 X
aprobados adecuadamente.
Errores en transferencia y acreditación de
24 X
recursos de desembolsos.
Fraude, desembolsos ficticios son
25 X
registrados.
Pagos erróneos o duplicados por errores
26 X
en sistemas de información.
Existencia de partidas antiguas de
27 X
anticipos y obligaciones con proveedores.
Gastos ficticios o no relacionados al
28 X
negocio desembolsados a empleados.
29 negocio son ejecutados con tarjeta de X
crédito Corporativa
Incumplimiento de políticas establecidas
para la ejecución y reembolso de gastos
30 X
de viaje o misceláneos por parte de
empleados.
Factores de riesgo para los procesos de ingresos
FACTORES DE RIESGO
No. RIESGOS IDENTIFICADOS PERSONAS PROCESOS
INFORMACIÓN EXTERNOS
Definir precios demasiados altos que no

permitan acceder al mercado o precio
1 demasiado bajos que no permitan X
obtener márgenes de rentabilidad
adecuados.
Precios de venta al público/descuentos
no aprobados por la alta gerencia que
2 X
podría generar inconvenientes
financieros no planificados.
Precios o descuentos registrados en el
3 X
sistema distintos a los autorizados
Crear canales de ventas que no sean
4 X
eficientes ni rentables.
84
FACTORES DE RIESGO
Incorporar canales de venta no

aprobados por la alta gerencia que
5 podrían generar inconvenientes X
financieros no planificados e incluso
litigios legales.
Canales de venta que comercialicen los
6 productos y servicios de la compañía X
sin suscribir un contrato.
Canal de venta sin conocimiento
adecuado que podría impactar en el
7 X
nivel de ventas, así como en reclamos o
deserción de clientes.
Accesos inadecuados a los sistemas que
8 X
conlleven a fraude
Incumplimiento en las metas de venta,
9 cobranza y churn que impacten en los X
resultados de la compañía.
Información sensible de clientes
expuesta en la Solicitud de Servicios
10 X
que pasa por personal de distribuidores
o interno con fines fraudulentos.
Parámetros de verificación de crédito
que no hayan sido analizados
adecuadamente que ocasionen
11 X
ineficiencias y otros efectos negativos
en la calidad de clientes que ingresan a
la compañía.
Listas negras desactualizadas lo cual
12 permita el ingreso de clientes con X
historial de fraude o morosidad.
Aprobar el ingreso de clientes que se
encuentran en listas negras por
13 X
morosidad, piratería u otro tipo de
fraude.
Aprobar el ingreso de clientes que no
14 cumplen con las políticas de crédito X
establecidas por la administración.
Reclamos de clientes o instituciones
financieras por ejecución de cobros no
15 autorizados lo que puede ocasionar X
litigios legales y pérdida de la relación
con la institución financiera.
Crear contratos de clientes rechazados
16 de acuerdo a las políticas y requisitos X
establecidos por la compañía.
Fraude con tarjetas de crédito de
17 X
clientes (cobros no autorizados).
18 Cobros duplicados. X
85
FACTORES DE RIESGO
Procesamiento de la venta sin el

19 respectivo cobro de HU (en el caso de X
Televentas).
Pérdida de nuevos clientes al cortar el
20 proceso de venta y enviar a los clientes X
a realizar el depósito bancario.
Generación de órdenes de instalación
21 X
ficticias.
Falta de análisis de las reglas de negocio
22 para la facturación que impacten en el X
valor facturado a clientes.
Inconsistencias detectadas por el robot
pre facturador que no han sido
23 corregidas por los dueños de procesos, X
que generen fallas o errores en los
valores facturados a clientes.
Errores o fraude en el proceso de
24 facturación debido a manipulación en la X
base de clientes facturados.
Base de datos de clientes que puede ser
25 X
mal utilizada por el proveedor.
Reclamos de clientes por no recepción

26 de factura que puede generar sanciones X
por parte del ente regulador.
Alta rotación de ejecutivos de servicio
al cliente y retenciones, que puede
27 X
impactar en el incremento de ajustes
financieros.
Criterio erróneo en el análisis, lo que
podría generar un incremento en la
28 X
cantidad y monto de ajustes financieros
de clientes
Ajustes financieros no autorizados que
29 originen pérdidas económicas a la X
compañía.
Acceso para la ejecución de
transacciones financieras (ajustes) a
30 demasiados usuarios y a todo nivel X
jerárquico lo que podría incrementar el
riesgo de error o fraude.
Manipulación en la base de clientes
facturados previo al envío al cobro a las
31 X
instituciones financieras que den lugar a
error o fraude.
Uso indebido de información de clientes
32 por falta de seguridades en el envío de X
la información.
Error en la aplicación de pagos o
33 X
registro de pagos indebidos.
86
FACTORES DE RIESGO
Manipulación en la base de clientes

facturados previo al envío al cobro a las
34 X
instituciones financieras que den lugar a
error o fraude.
Cobros duplicados por ejecución de
35 débitos automáticos en clientes que han X
realizado pago por ventanilla.
36 Cobros no aplicados o mal aplicados. X
Reclamos de clientes por mantener

mensajes de mora en su pantalla o el
37 servicio desconectado, lo que pueden X
generar pérdidas económicas por
sanciones del regulador.
Definir campañas y estrategias que no
impacten positivamente en el
38 cumplimiento de las metas de cobro e X
incluso afecten los márgenes de
Bases de datos desactualizadas o
39 erróneas que generen ineficiencias en la X
gestión de cobro
Fallas en el Aplicativo de arrears para el

envío de mensajes OSD a clientes, lo
40 X
que puede impactar en la gestión de
cobranza y el nivel de churn.
Fallas en el Aplicativo de arrears para la

desconexión del servicio a clientes con
41 deuda, lo que puede impactar en la X
eficiencia de gestión de cobranza y el
nivel de churn.
Índices elevados de no contactabilidad
42 lo que impide realizar una adecuada X
gestión de cobranza.
Mala gestión de cobranza por parte de
43 los ejecutivos lo que puede impactar en X
la eficiencia de cobro y nivel de churn.
Equipos no recuperados que implican

44 X
pérdidas para la compañía.
Error en el cálculo de la provisión para
45 X
cuentas incobrables.
46 cambios o registros en el sistema que X
87
• Riesgo Inherente. - Luego de haber identificado los factores de riesgo, procedemos a calificar
el riesgo inherente a través de la siguiente fórmula.
R.I. = Probabilidad x Impacto
Para para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices descritas
en los cuadros N° 3.1 y 3.2, en dónde:
• Impacto: se entiende las consecuencias o la magnitud de sus efectos y se

ponderaran utilizando el juicio experto puesto que se ha obtenido la suficiente
información a través de levantamiento de información y fuentes históricas
• Probabilidad: Probabilidad es la posibilidad de ocurrencia del riesgo y se
ponderaran utilizando el juicio experto del jefe de cada área (dueño del proceso)
en conjunto con la Gerencia de Procesos y Control Interno.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto utilizando
el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al mapa de riesgo.
Riesgo Inherente para los procesos de egresos

Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No.
Riesgos Identificados
Ejecución de gastos no autorizados o no

1 X 2 3 6
clasificados adecuadamente.
Compras no planificadas que afecten el
2 X 2 3 6
presupuesto de la compañía.
Fragmentación de compras para evadir niveles de
3 X 3 3 9
autorización.
4 Operaciones con proveedores ficticios X 1 3 3
5 Colusión con proveedores. X 1 3 3
Falta de procesos y políticas de licitación y

6 cotización que no permitan gestionar ahorros y X 3 3 9
eficiencias para la compañía.
Proveedores que incumplan con fechas de entrega
y la calidad deseada en los bienes y servicios
7 X 2 2 4
contratados por la compañía, por inconsistencia en
proceso de calificación.
88
Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No. Riesgos Identificados
Incumplimiento de políticas y procedimientos para

8 X 3 3 9
para aprobación de órdenes de compra.
9 Fragmentación de órdenes de compra. X 2 2 4
Operaciones de compra efectuadas sin contrato

10 X 3 3 9
por incumplimiento de políticas y procedimientos.
Creación de órdenes de compra ficticias y/o sin
11 X 2 2 4
contratos.
Falta de procedimientos de contingencia en caso
12 X 3 3 9
de fallas en el sistema de compras.
Recepción de bienes y servicios registrados en
13 X 2 2 4
períodos incorrectos.
Recepción de Materiales y servicios que no
cumple especificaciones para el proceso de
14 X 1 3 3
producción y/o estándares de calidad y tiempo de
la compañía.
Datos incorrectos podrían ser registrados en el
Maestro de Proveedores en especial números de
15 X 1 2 2
cuentas bancarias lo que puede ocasionar errores o
fraudes el pago a proveedores.
Trabajar con proveedores no adecuados que
16 pongan en riesgo el cumplimiento con las X 1 3 3
necesidades de la compañía.
Cambios en los datos sensibles del proveedor sin
17 argumento o evidencia que originen fraudes o X 2 2 4
errores en la ejecución de pagos a proveedores.
Personal no autorizado que ejecute cambios o
18 registros en el sistema que conlleven a fraude o X 1 2 2
errores.
Falta de procedimientos y políticas para compras
19 X 3 2 6
de bienes o servicios fuera del proceso estándar.
Generación de anticipos de proveedores no
20 X 2 3 6
autorizados.
21 Facturas no registradas oportunamente. X 2 2 4
22 Pagos errados por falta de validación. X 1 3 3
Pagos o desembolsos que no han sido aprobados

23 X 1 3 3
adecuadamente.
Errores en transferencia y acreditación de recursos

24 X 1 2 2
de desembolsos.
25 Fraude, desembolsos ficticios son registrados. X 1 3 3
Pagos erróneos o duplicados por errores en

26 X 1 3 3
sistemas de información.
Existencia de partidas antiguas de anticipos y
27 X 1 2 2
obligaciones con proveedores.
Gastos ficticios o no relacionados al negocio
28 X 1 2 2
desembolsados a empleados.
89
Tecnología de la
Probabilidad
Información
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
No. Riesgos Identificados
Gastos ficticios o no relacionados al negocio son

29 X 2
ejecutados con tarjeta de crédito Corporativa. 1 2
Incumplimiento políticas establecidas para la

30 ejecución y reembolso de gastos de viaje o X 3 2 6
misceláneos por parte de empleados.
Riesgo Inherente para los procesos de ingresos
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
N° Riesgos Identificados
Definir precios demasiados altos que no

permitan acceder al mercado o precio
1 X 2 3 6
demasiado bajos que no permitan obtener
márgenes de rentabilidad adecuados.
Precios de venta al público/descuentos no
aprobados por la alta gerencia que podría
2 X 2 3 6
generar inconvenientes financieros no
planificados.
Precios o descuentos registrados en el sistema
3 X 1 3 3
Crear canales de ventas que no sean eficientes
4 X 3 2 6
ni rentables.
Incorporar canales de venta no aprobados por
la alta gerencia que podrían generar
5 X 3 2 6
inconvenientes financieros no planificados e
incluso litigios legales.
Canales de venta que comercialicen los
6 productos y servicios de la compañía sin X 3 3 9
suscribir un contrato.
Canal de venta sin conocimiento adecuado que
7 podría impactar en el nivel de ventas, así como X 2 2 4
en reclamos o deserción de clientes
Accesos inadecuados a los sistemas que
8 X 3 2 6
conlleven a fraude
9 cobranza y churn que impacten en los X 1 2 2
90
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
Información sensible de clientes expuesta en la

10 Solicitud de Servicios que pasa por personal de X 3 3 9
distribuidores o interno con fines fraudulentos.
Parámetros de verificación de crédito que no
hayan sido analizados adecuadamente que
11 ocasionen ineficiencias y otros efectos X 2 2 4
negativos en la calidad de clientes que ingresan
a la compañía.
Listas negras desactualizadas lo cual permita el
12 ingreso de clientes con historial de fraude o X 2 2 4
morosidad
Aprobar el ingreso de clientes que se
13 encuentran en listas negras por morosidad, X 2 2 4
piratería u otro tipo de fraude.
Aprobar el ingreso de clientes que no cumplen
14 con las políticas de crédito establecidas por la X 2 2 4
administración.
Reclamos de clientes o instituciones financieras
por ejecución de cobros no autorizados lo que
15 X 3 3 9
puede ocasionar litigios legales y pérdida de la
la relación con la institución financiera.
Crear contratos de clientes rechazados de
16 acuerdo a las políticas y requisitos establecidos X 2 2 4
por la compañía.
Fraude con tarjetas de crédito de
17 X 2 3 6
clientes(cobros no autorizados )
18 Cobros duplicados x 2 2 4
Procesamiento de la venta sin el respectivo

19 X 2 2 4
cobro de HU (en el caso de Televentas).
Pérdida de nuevos clientes al cortar el proceso
20 de venta y enviar a los clientes a realizar el X 2 2 4
depósito bancario
21 Generación de órdenes de instalación ficticias. X 1 2 2
Falta de análisis de las reglas de negocio para

22 la facturación que impacten en el valor X 2 2 4
facturado a clientes.
Inconsistencias detectadas por el robot pre
facturador que no han sido corregidas por los
23 X 2 3 6
dueños de procesos, que generen fallas o
errores en los valores facturados a clientes.
Errores o fraude en el proceso de facturación
24 debido a manipulación en la base de clientes X 3 2 6
facturados.
Base de datos de clientes que puede ser mal

25 X 2 3 6
utilizada por el proveedor.
91
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
Reclamos de clientes por no recepción de

26 factura que puede generar sanciones por parte X 3 2 6
del ente regulador.
Alta rotación de ejecutivos de servicio al
27 cliente y retenciones, que puede impactar en el X 2 2 4
incremento de ajustes financieros.
Criterio erróneo en el análisis, lo que podría
28 generar un incremento en la cantidad y monto X 3 2 6
de ajustes financieros de clientes.
Ajustes financieros no autorizados que originen

29 X 2 2 4
pérdidas económicas a la compañía.
Acceso para la ejecución de transacciones
financieras (ajustes) a demasiados usuarios y a
30 X 3 2 6
todo nivel jerárquico lo que podría incrementar
el riesgo de error o fraude.
Manipulación en la base de clientes facturados
31 previo al envío al cobro a las instituciones X 3 3 9
financieras que den lugar a error o fraude.
Uso indebido de información de clientes por
32 falta de seguridades en el envío de la X 2 3 6
información.
Error en la aplicación de pagos o registro de
33 X 2 3 6
pagos indebidos.
Manipulación en la base de clientes facturados
34 previo al envío al cobro a las instituciones X 3 3 9
financieras que den lugar a error o fraude.
Cobros duplicados por ejecución de débitos
35 automáticos en clientes que han realizado pago X 2 2 4
por ventanilla.
36 Cobros no aplicados o mal aplicados X 2 2 4
Reclamos de clientes por mantener mensajes de

mora en su pantalla o el servicio desconectado,
37 X 2 2 4
lo que pueden generar pérdidas económicas por
impacten positivamente en el cumplimiento de
38 X 2 3 6
las metas de cobro e incluso afecten los
márgenes de rentabilidad esperados.
Bases de datos desactualizadas o erróneas que
39 X 2 2 4
generen ineficiencias en la gestión de cobro.
Fallas en el Aplicativo de arrears para el envío
de mensajes OSD a clientes, lo que puede
40 X 2 3 6
impactar en la gestión de cobranza y el nivel de
churn.
Fallas en el Aplicativo de arrears para la
desconexión del servicio a clientes con deuda,
41 X 2 3 6
lo que puede impactar en la eficiencia de
gestión de cobranza y el nivel de churn.
92
la Información
Tecnología de
Probabilidad
Inherente
Personas
Externos
Procesos
Impacto
Eventos
Riesgo
Índices elevados de no contactabilidad lo que

42 impide realizar una adecuada gestión de X 3 2 6
cobranza.
Mala gestión de cobranza por parte de los
43 ejecutivos lo que puede impactar en la X 2 2 4
eficiencia de cobro y nivel de churn.
Equipos no recuperados que implican pérdidas
44 X 2 2 4
para la compañía.
Error en el cálculo de la provisión para cuentas
45 X 1 2 2
incobrables.
Personal no autorizado que ejecute cambios o
46 registros en el sistema que conlleven a fraude X 3 3 9
o errores.
• Riesgo Residual. - Luego de haber calificado el riesgo inherente, se identifica y describe los
procesos de control que el negocio utiliza para eliminar o mitigar los riesgos.
Una vez aplicados dichos procesos se mide el riesgo residual existente, es decir que a pesar de
aplicar medidas de control el riesgo aún existe.
Los Controles que se proponen en para el presente modelo, se dividen en tres:
Tipos de control
• Control manual: aquellos que son ejecutados por una o más personal del área usuaria sin la
utilización de herramientas computacionales.
• Control Semiautomático: aquellos que son ejecutados por una o más personas y por un
sistema de información, es decir es un trabajo conjunto entre ambas partes.
• Control Automático: son generalmente los incorporados en el software, de operación, de
comunicación, de gestión de base de datos, programas de aplicación, etc.; es decir no
requiere intervención humana.
Una vez identificados el tipo de control a aplicar se utilizará la siguiente fórmula para identificar el
nivel del riesgo.
R.C. = Probabilidad x Impacto

93
Para ponderar la probabilidad e impacto de dichos riesgos se utilizarán las matrices descritas en
los cuadros N° 3.1 y 3.2, en dónde
• Impacto: se entiende las consecuencias o la magnitud de sus efectos y se ponderaran

utilizando el juicio experto puesto que se ha obtenido la suficiente información a través de
las encuestas y fuentes históricas
• Probabilidad: Probabilidad es la posibilidad de ocurrencia del riesgo y se ponderaran
utilizando el juicio experto.
Una vez aplicada la fórmula antes mencionada, y obtenido sus respectivos resultados se
procederá a identificar si dichos riesgos tienen un nivel de riesgo bajo, moderado o alto utilizando
el cuadro 3.4 que menciona el nivel de riesgo y el cuadro 3.5 que se refiere al mapa de riesgo.
Nivel de Riesgo
Alto 3 3,00 6,00 9,00

Impacto
Medio 2 2,00 4,00 6,00

Bajo 1 1,00 2,00 3,00
1 2 3
Bajo Medio Alto
Probabilidad
Es decir, se realiza el mismo procedimiento que se utilizó para calificar el riesgo inherente.
Riesgo Residual para los procesos de egresos

Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Niveles de aprobación automáticos

Ejecución de gastos no para casa matriz:
autorizados o no - Niveles de aprobación de gastos
1 Automático 1 1 1
clasificados superiores a US $ 300.000.
adecuadamente. - Niveles de aprobación de activos
superiores a US $ 25.000.
Niveles de autorización y montos:
Presidente ejecutivo más de US $
Compras no planificadas 100.000.
2 que afecten el presupuesto Automático Director financiero desde US $ 1 3 3
de la compañía. 50.000 a US $ 100.000.
Director de área hasta US $ 50.000.
Gerente de área hasta US $ 10.0000
Fragmentación de compras Niveles de autorización y montos:
3 Automático 3 3 9
para evadir niveles de Presidente ejecutivo más de US $
94
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
autorización. 100.000.
Director financiero desde US $
50.000 a US $ 100.000.
Gerente de área hasta US $ 10.0000
Operaciones con Reportes de la unidad de gestión de
4 Manual 1 1 1
proveedores ficticios. inventarios.
Políticas y procedimientos de
5 Colusión con proveedores. Manual 1 3 3
compras.
Falta de procesos y políticas
de licitación y cotización
Reporte de compras por montos de
6 que no permitan gestionar Manual 1 3 3
adquisición.
ahorros y eficiencias para la
compañía.
Proveedores que incumplan
con fechas de entrega y la
calidad deseada en los
bienes y servicios Certificado de calificación vigente
7 Manual 1 2 2
contratados por la como habilitante para el pago.
compañía, por
inconsistencia en proceso
de calificación.
Incumplimiento de políticas
y procedimientos para para Reporte de órdenes de compra y
8 Manual 2 3 6
aprobación de órdenes de contratos emitidos.
compra.
Niveles de autorización y montos:
Presidente ejecutivo más de US $
100.000.
Fragmentación de órdenes Director financiero desde US $
9 Automático 1 1 1
de compra. 50.000 a US $ 100.000.
Gerente de área hasta US $
10.0000.
efectuadas sin contrato por Proceso de regularización de
10 Manual 2 2 4
incumplimiento de políticas compras con procedimiento alterno.
y procedimientos.
Creación de órdenes de compra a
11 compra ficticias y/o sin Automático 2 2 4
través de sistema SAP.
contratos.
contingencia en caso de Procedimiento alterno de compras
12 Manual 3 3 9
fallas en el sistema de por fallas en sistema.
compras.
95
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Reporte de compras abiertas sin
13 servicios registrados en Automático 1 1 1
recepción.
Recepción de Materiales y
servicios que no cumple
especificaciones para el Verificación de condiciones de
14 Manual 1 3 3
proceso de producción y/o calidad del área solicitante.
estándares de calidad y
Datos incorrectos podrían
ser registrados en el
maestro de proveedores en
Validación de cambios de datos
especial números de
15 Manual sensibles de proveedores 1 1 1
cuentas bancarias lo que
(certificados bancarios).
puede ocasionar errores o
fraudes el pago a
proveedores.
Trabajar con proveedores
no adecuados que pongan
Depuración y bloqueo de
16 en riesgo el cumplimiento Semiautomático 1 3 3
proveedores en el sistema.
con las necesidades de la
compañía.
argumento o evidencia que Reporte de cambio de datos de
17 Automático 1 2 2
originen fraudes o errores proveedores.
en la ejecución de pagos a
proveedores.
ejecute cambios o registros Autorización de perfiles de accesos
18 Manual 1 2 2
en el sistema que conlleven de la Gerencia de Control Interno
a fraude o errores
Falta de procedimientos y
políticas para compras de
19 Manual Autorización de orden de pago 2 3 6
bienes o servicios fuera del
proceso estándar.
Generación de anticipos de
20 Manual Autorización de Anticipo 1 3 3
proveedores no autorizados
Facturas no registradas Reporte de hojas de entrada sin
21 Manual 1 2 2
oportunamente factura
Validación de documentos
22 Manual habilitantes (orden de compra, hoja 1 3 3
validación
de entrada y datos de factura)
Pagos o desembolsos que Niveles de autorización de
23 no han sido aprobados Manual generación de cuenta por pagar y 1 3 3
adecuadamente desembolso.
96
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Errores en transferencia y
24 acreditación de recursos de Manual Reporte de antigüedad de anticipos 1 2 2
desembolsos.
Fraude, desembolsos Niveles de aprobación para
25 Manual 1 3 3
ficticios son registrados desembolsos
Pagos erróneos o Validación de comprobantes de
26 duplicados por errores en Automático pago vs transacciones del Cash 1 2 2
sistemas de información. Management.
antiguas de anticipos y Reporte de antigüedad y
27 Manual 1 2 2
obligaciones con seguimiento de partidas antiguas
proveedores.
Solicitud de anticipos con niveles
28 relacionados al negocio Manual 1 2 2
de aprobación
desembolsados a empleados
relacionados al negocio son Cupos autorizados con tarjeta de
29 Manual 1 2 2
ejecutados con tarjeta de crédito corporativa
crédito corporativa
Incumplimiento políticas
establecidas para la
ejecución y reembolso de Revisión de documentos
30 Manual 2 2 4
gastos de viaje o habilitantes para reembolso
misceláneos por parte de
empleados
Riesgo Residual para los procesos de ingresos

Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Definir precios demasiados

altos que no permitan acceder
Procedimiento de análisis para la
al mercado o precio
1 Manual creación o actualización de precios y 1 3 3
demasiado bajos que no
descuentos
permitan obtener márgenes de
rentabilidad adecuados.
Precios de venta al
público/descuentos no
Aprobaciones a través de la "Solicitud
aprobados por la alta gerencia
2 Manual para la creación o actualización de 1 3 3
que podría generar
precios"
inconvenientes financieros no
planificados
97
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Política de fijación de precios que

Precios o descuentos
incluya lineamientos para la revisión
3 registrados en el sistema Manual 1 3 3
periódica de precios vigentes versus
precios aprobados
Procedimiento para la apertura y
Crear canales de ventas que
4 Manual crecimiento de canales de venta que 1 2 2
no sean eficientes ni rentables
incluya el respectivo análisis
Incorporar canales de venta
no aprobados por la alta
gerencia que podrían generar Política para la aprobación de apertura
5 Manual 1 2 2
inconvenientes financieros no o crecimiento de canales de venta
planificados e incluso litigios
legales
Canales de venta que Solicitud de apertura de accesos y
comercialicen los productos y códigos de venta deberá tener adjunto
6 Manual 1 3 3
servicios de la compañía sin el contrato legalizado con el canal de
suscribir un contrato ventas
Canal de venta sin Procedimiento para la apertura y
conocimiento adecuado que crecimiento de canales de venta que
7 podría impactar en el nivel de Manual incluya certificación de la 1 2 2
ventas, así como en reclamos capacitación previo a la creación del
o deserción de clientes código de ventas
Aplicación de matriz de perfiles y
Accesos inadecuados a los
accesos para el sistema E- Sales.
8 sistemas que conlleven a Manual 2 2 4
Segregación de funciones en la
fraude
solicitud, aprobación y creación de
Incumplimiento en las metas
de venta, cobranza y churn Seguimiento de reportes diarios del
9 Automático 1 2 2
que impacten en los nivel de ventas y churn por canal.
resultados de la compañía
Información sensible de
clientes expuesta en la Dispositivo para captación de datos de
Solicitud de Servicios que clientes que no guarde ningún historial
pasa por personal de visible sobre información sensible del
distribuidores o interno con cliente
fines fraudulentos
Parámetros de verificación de
crédito que no hayan sido
analizados adecuadamente Metodología para el análisis de la
11 que ocasionen ineficiencias y Manual adopción o actualización de políticas 1 3 3
otros efectos negativos en la de Crédito
calidad de clientes que
ingresan a la compañía
Listas negras desactualizadas
lo cual permita el ingreso de Procedimiento para la actualización de
12 Manual 1 2 2
clientes con historial de Listas Negras
fraude o morosidad
Aprobar el ingreso de clientes
Bloqueo automático para el ingreso de
que se encuentran en listas
13 Manual clientes que se encuentran en listas 1 2 2
negras por morosidad,
negras
piratería u otro tipo de fraude
98
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Política de Crédito que especifica los

parámetros bajo los cuales un cliente
puede ser aprobado manualmente por
que no cumplen con las
un Analista de Crédito.
14 políticas de crédito Manual 1 2 2
Verificación periódica de la evidencia
establecidas por la
relacionada a la información crediticia
administración
con la que un cliente fue dado de alta
por el Analista de Crédito
Verificación de documentación que
Reclamos de clientes o soporta la relación con el cliente:
instituciones financieras por -Contrato de Subscripción
ejecución de cobros no -Autorización de débito
15 autorizados lo que peude Manual -Documentos de identificación del 2 3 6
ocasionar litidios legales y cliente
pérdida de la la relación con No pago de comisiones por ventas sin
la institución financiera documentación soporte y sanciones
por incumplimientos
Crear contratos de clientes Política de Crédito que establece los
rechazados de acuerdo a las parámetros bajo los cuales una
16 Manual 1 2 2
políticas y requisitos persona natural o jurídica no puede
establecidos por la compañía ingresar como cliente
Verificar que el dueño de la tarjeta de
crédito sea quien firma la autorización
de débito
Fraude con tarjetas de crédito
La tarjeta de crédito pertenezca al
17 de clientes (cobros no Automático 1 3 3
propietario del contrato de servicio
autorizados )
caso contrario, la autorización de
débito debe estar firmada pr el titular
de dicha tarjeta.
Conciliación diaria entre el cierre del
18 Cobros duplicados Manual POS y las ventas registradas en el 1 2 2
sistema ICC
Procesamiento de la venta sin
Bloqueo de la venta mientras el
19 el respectivo cobro de HU (en Automático 1 2 2
sistema no confirme el cobro del HU
el caso de Televentas)
Pérdida de nuevos clientes al
cortar el proceso de venta y
20 Automático Cobro en línea del HU 1 2 2
enviar a los clientes a realizar
el depósito bancario
Generación de órdenes de Conciliación de transacciones
21 Manual 1 2 2
instalación ficticias financieras vs órdenes de instalación
Falta de análisis de las reglas Procedimiento para garantizar
de negocio para la facturación integridad en las pruebas de
22 Manual 1 2 2
que impacten en el valor facturación cada que se ejecuten
facturado a clientes nuevas ofertas, campañas o productos
Inconsistencias detectadas por
el robot pre facturador que no Correr reporte final de robot Pre
han sido corregidas por los facturador y revisar que no exista
23 Manual 1 3 3
dueños de procesos, que ninguna inconsistencia previo a la
generen fallas o errores en los ejecución del paso de facturación
valores facturados a clientes
99
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Errores o fraude en el proceso

Interface automática para envío de
de facturación debido a
24 Automático base de clientes para facturación 1 2 2
manipulación en la base de
electrónica o física
clientes facturados
Base de datos de clientes que Clausulas legales de confidencialidad
25 puede ser mal utilizada por el Manual en el contrato de prestación de 1 3 3
proveedor servicios
Reclamos de clientes por no
recepción de factura que Ejecutar auditorías de control al
26 Manual 2 2 4
puede generar sanciones por courrier.
parte del ente regulador.
Alta rotación de ejecutivos de
servicio al cliente y
Reporte de tendencias y desvíos en el
27 retenciones, que puede Automático 1 2 2
procesamiento de ajustes financieros
impactar en el incremento de
ajustes financieros.
Criterio erróneo en el análisis,
Aplicativo que valide
lo que podría generar un
automáticamente los parámetros y
28 incremento en la cantidad y Automático 1 2 2
permita o bloquee el procesamiento de
monto de ajustes financieros
los ajustes financieros.
de clientes.
Matriz automatizada de aprobación de
ajustes financieros por monto:
-0 a 35 USD Ejecutivos de atención
Ajustes financieros no al cliente.
autorizados que originen -35 a 200 USD Analistas de Reclamos
pérdidas económicas a la Financieros.
compañía. -200 a 1000 USD Gerente de
Facturación y Cobranzas.
-Mayor a 1000 USD Dirección
Financiera.
Acceso para la ejecución de Aplicativo para el análisis y
transacciones financieras procesamiento automático de ajustes
(ajustes) a demasiados financieros con impacto directo en las
30 usuarios y a todo nivel Automático transacciones financieras del sistema 1 2 2
jerárquico lo que podría ICC , con lo cual no es necesario
incrementar el riesgo de error otorgar al personal accesos para la
o fraude. ejecución de transacciones financieras.
Manipulación en la base de
clientes facturados previo al Interface automática para envío de la
31 envío al cobro a las Automático base de clientes a las Instituciones 1 2 2
instituciones financieras que financieras para el cobro.
den lugar a error o fraude.
Uso indebido de información
Transferencia de información
de clientes por falta de
32 Automático encriptada y por medio de un sitio 1 2 2
seguridades en el envío de la
seguro (https).
información.
Error en la aplicación de Aplicación de cobros en línea
33 pagos o registro de pagos Automático (Interface directa entre swicth 1 3 3
indebidos. transaccional y sistema ICC).
100
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Manipulación en la base de
clientes facturados previo al Interface automática para envío de la
34 envío al cobro a las Automático base de clientes a las Instituciones 1 2 2
instituciones financieras que financieras para el cobro.
den lugar a error o fraude.
Actualización diaria de la base de
Cobros duplicados por
clientes para ejecución de intentos de
ejecución de débitos
cobro.
35 automáticos en clientes que Automático 1 2 2
Conexión para aplicación de pagos en
han realizado pago por
línea con todas las instituciones
ventanilla.
financieras y de recaudo.
Conexión para aplicación de pagos en
Cobros no aplicados o mal
36 Automático línea con todas las instituciones 1 2 2
aplicados.
financieras y de recaudo.
mantener mensajes de mora
Reportes periódicos para revisar el
en su pantalla o el servicio
37 Automático funcionamiento adecuado del proceso 1 2 2
desconectado, lo que pueden
automático de arrears.
generar pérdidas económicas
por sanciones del regulador.
Definir campañas y
estrategias que no impacten
positivamente en el Procedimiento de análisis para la
38 cumplimiento de las metas de Manual creación o actualización de objetivos y 1 3 3
cobro e incluso afecten los campañas de cobranza.
esperados.
Bases de datos Proceso diario de actualización de
desactualizadas o erróneas bases de datos para cobranza
39 Manual 1 2 2
que generen ineficiencias en Automatización para la generación de
la gestión de cobro. bases de datos.
arrears para el envío de
Reportes de control periódicos para
mensajes OSD a clientes, lo
40 Automático asegurar el funcionamiento adecuado 1 3 3
que puede impactar en la
del OSD.
gestión de cobranza y el nivel
de churn.
arrears para la desconexión
Reportes de control periódicos para
del servicio a clientes con
41 Automático asegurar el funcionamiento adecuado 1 3 3
deuda, lo que puede impactar
de las desconexiones.
en la eficiencia de gestión de
contactabilidad lo que impide Campañas de actualización de bases
42 Manual 3 2 4
realizar una adecuada gestión de datos de clientes.
de cobranza.
Mala gestión de cobranza por Reporte de tendencias de cobro por
parte de los ejecutivos lo que asesor con el fin de generar
43 puede impactar en la Manual retroalimentación periódica y oportuna 1 2 2
eficiencia de cobro y nivel de sobre técnicas y calidad en la llamada
churn. de cobranza.
101
Identificados
Probabilidad
Controles
Residual
Impacto
Riesgos
Tipo de
Control
Riesgo
No.
Equipos no recuperados que

Proceso para cobranza de equipos no
44 implican pérdidas para la Manual 1 2 2
recuperados.
compañía.
Aprobación formal sobre el cálculo de
45 provisión para cuentas Manual 1 2 2
provisión para incobrables.
incobrables.
Personal no autorizado que Autorización de perfiles de acceso de
ejecute cambios o registros en la Gerencia de Control Interno
46 Manual 1 3 3
el sistema que conlleven a Auditoría de accesos al sistema de
fraude o errores. ingresos.
• Planes de acción.- La presente metodología propone que la supervisión (monitoreo), se

realce con la visión de gestión de riesgo operativo, que requiere una revisión continua de los
riesgos identificados así como de las acciones planteadas por los usuarios como parte del
tratamiento de los mismos, por lo que la Gerencia de Procesos y Control Interno desarrolló
una matriz de Planes de Acción, los mismos que serán monitoreados mensualmente con el fin
de asegurar su implementación dentro de los plazos pactados, teniendo a la fecha 20 planes
de acción establecidos para los procesos de egresos y 33 planes de acción establecidos para
los procesos de ingresos como parte del presente trabajo:
Planes de acción para los procesos de egresos
No. RIESGOS IDENTIFICADOS RIESGO RESIDUAL Plan de Acción
Implementar aprobaciones de Casa

Ejecución de gastos no autorizados o Matriz en el sistema SAP para el
1 1
no clasificados adecuadamente. procesamiento de requisición de
compra.
Implementar aprobaciones en el sistema
Compras no planificadas que afecten
2 3 SAP de la Gerencia de Planificación
el presupuesto de la compañía.
Financiera.
Fragmentación de requisiciones de Implementar aprobaciones en el sistema
3 compra para evadir niveles de 9 SAP de la Gerencia de Planificación
autorización. Financiera.
Creación de la Unidad de Gestión de
4 Operaciones con proveedores ficticios. 1 Inventarios bajo la dependencia de la
Gerencia de Logística.
Verificar el cumplimento de políticas
5 Colusión con proveedores. 3
(ex post).
Falta de procesos y políticas de
Diseño, Implementación y capacitación
licitación y cotización que no permitan
6 3 de Instructivos para ejecución de
gestionar ahorros y eficiencias para la
licitaciones.
compañía.
Proveedores que incumplan con
fechas de entrega y la calidad deseada Emisión de Certificado de calificación
7 en los bienes y servicios contratados 2 para el pago emitida por firma
por la compañía, por inconsistencia en calificadora.
proceso de calificación.
102
Incumplimiento de políticas y Capacitación al personal sobre procesos

8 procedimientos para para aprobación 6 de ejecución de órdenes de compra y
de órdenes de compra. contratos.
Reporte de compras mensuales para un
9 Fragmentación de órdenes de compra. 1
mismo item
Operaciones de compra efectuadas sin
Creación de procedimiento alterno con
10 contrato por incumplimiento de 4
niveles de autorización.
políticas y procedimientos.
Creación de órdenes de compra Ejecución de procesos de auditoría de
11 4
ficticias y/o sin contratos. pagos.
Falta de procedimientos de Creación de procedimiento alterno de
12 contingencia en caso de fallas en el 9 contingencia para compras por fallas en
sistema de compras el sistema.
Recepción de bienes y servicios
13 1 N/A
registrados en períodos incorrectos
Recepción de Materiales y servicios
que no cumple especificaciones para Generación de cláusulas contractuales
14 el proceso de producción y/o 3 por incumplimiento de estándares de
estándares de calidad y tiempo de la calidad.
compañía.
Datos incorrectos podrían ser
registrados en el Maestro de
Proveedores en especial números de
15 1 N/A
cuentas bancarias lo que puede
ocasionar errores o fraudes el pago a
proveedores.
Trabajar con proveedores no Calificación interna de proveedores al
adecuados que pongan en riesgo el finalizar prestación de servicio y
16 3
cumplimiento con las necesidades de creación de bases de datos de Lista
la compañía. Negra.
Cambios en los datos sensibles del
proveedor sin argumento o evidencia Validación de reporte de cambio de
17 2
que originen fraudes o errores en la datos sensibles de proveedores.
ejecución de pagos a proveedores.
Personal no autorizado que ejecute Automatización de perfiles para
18 cambios o registros en el sistema que 2 segregación de funciones en el sistema
conlleven a fraude o errores. SAP.
Falta de procedimientos y políticas Diseño, procesos, políticas y
19 para compras de bienes o servicios 6 procedimientos específicos para
fuera del proceso estándar. compras por excepción.
20 3 N/A
21 2 N/A
oportunamente.
22 Pagos errados por falta de validación. 3 N/A
Generación de funciones de revisión y
Pagos o desembolsos que no han sido
23 3 control de procesos previos al
aprobados adecuadamente.
desembolso.
Errores en transferencia y acreditación
24 2 N/A
de recursos de desembolsos.
Generación de funciones de revisión y
Fraude, desembolsos ficticios son
25 3 control de procesos previos al
registrados.
desembolso.
Pagos erróneos o duplicados por Desarrollo de aplicación para validación
26 2
errores en sistemas de información. de pagos.
103
Existencia de partidas antiguas de

27 anticipos y obligaciones con 2 N/A
proveedores.
28 2 N/A
negocio desembolsados a empleados
29 negocio son ejecutados con tarjeta de 2 N/A
crédito Corporativa.
Incumplimiento políticas establecidas
para la ejecución y reembolso de
30 4 N/A
gastos de viaje o misceláneos por
parte de empleados.
Planes de acción para los procesos de ingresos
No. Riesgos Identificados Riesgo Residual Plan de Acción
Definir precios demasiados altos que

no permitan acceder al mercado o Auditorías sobre el cumplimiento del
1 precio demasiado bajos que no 3 procedimiento de análisis de precios y
permitan obtener márgenes de descuentos.
rentabilidad adecuados.
Precios de venta al público/descuentos Política para la fijación de precios y
no aprobados por la alta gerencia que descuentos e implementar aprobaciones
2 3
podría generar inconvenientes automáticas para el cambio o creación de
financieros no planificados. nuevos precios y descuentos.
Reporte de precios vigentes en el sistema
Precios o descuentos registrados en el
3 3 vs solicitudes de creación o actualización
sistema distintos a los autorizados
de precios y descuentos.
Crear canales de ventas que no sean
4 2 N/A
eficientes ni rentables.
Incorporar canales de venta no
aprobados por la alta gerencia que Creación de un comité para la aprobación
5 podrían generar inconvenientes 2 de apertura y expansión de canales de
financieros no planificados e incluso venta.
litigios legales.
Procedimiento para la creación de accesos
Canales de venta que comercialicen
y códigos de venta que determine al
6 los productos y servicios de la 3
contrato legalizado como habilitante para
compañía sin suscribir un contrato
la creación en el sistema.
Canal de venta sin conocimiento
Adjuntar certificado de capacitación a la
adecuado que podría impactar en el
7 2 Solicitud de creación de accesos y
nivel de ventas, así como en reclamos
códigos de venta.
o discreción de clientes.
Asignar la función de solicitud de códigos
Accesos inadecuados a los sistemas y accesos al área de ventas, revisión de
8 4
que conlleven a fraude. requisitos y aprobación al área financiera
administrativa, ejecución al área de IT.
9 cobranza y churn que impacten en los 2 N/A
104

Desarrollo e implementación de un
expuesta en la Solicitud de Servicios
dispositivo móvil que permita el
10 que pasa por personal de 6
enmascaramiento de los datos sensibles
distribuidores o interno con fines
del cliente una vez hayan sido registrados.
fraudulentos.
Parámetros de verificación de crédito
que no hayan sido analizados
Formalizar metodología para ejecutar el
adecuadamente que ocasionen
11 3 análisis de parámetros y políticas
ineficiencias y otros efectos negativos
crediticias.
en la calidad de clientes que ingresan a
la compañía.
Listas negras desactualizadas lo cual
Implementación de un procedimiento para
12 permita el ingreso de clientes con 2
la actualización de listas negras.
historial de fraude o morosidad.
Aprobar el ingreso de clientes que se Implementar en el sistema E- Sales el
encuentran en listas negras por bloqueo automático para el ingreso de
13 2
morosidad, piratería u otro tipo de clientes que se encuentran registrados en
fraude. listas negras.
Aprobar el ingreso de clientes que no
14 cumplen con las políticas de crédito 2 Auditorías de cumplimiento de la política.
establecidas por la administración
Reclamos de clientes o instituciones
financieras por ejecución de cobros no Aplicar sanciones importantes debido al
15 autorizados lo que puede ocasionar 6 incumplimiento de las políticas y
litigios legales y pérdida de la relación procedimientos de ingreso de clientes.
con la institución financiera.
Crear contratos de clientes rechazados
16 de acuerdo a las políticas y requisitos 2 Auditorías de cumplimiento de la política.
establecidos por la compañía.
Implementar un desarrollo que al
identificar que el pago de la subscripción
Fraude con tarjetas de crédito de será realizado por un tercero, bloque el
17 3
clientes (cobros no autorizados). registro de la venta y el sistema derive la
revisión del caso a los analistas de crédito
de la compañía.
18 Cobros duplicados 2 N/A
Procesamiento de la venta sin el Automatizar la verificación de cobro de
19 respectivo cobro de HU (en el caso de 2 HU previo a la finalización de la venta y
Televentas). envió de la Orden de Trabajo.
Pérdida de nuevos clientes al cortar el
Implementación de POS virtual para
20 proceso de venta y enviar a los 2
débito bancario.
clientes a realizar el depósito bancario.
Generación de órdenes de instalación
21 2 N/A
ficticias.
Falta de análisis de las reglas de
Generar evidencia de las pruebas
negocio para la facturación que
22 2 ejecutadas en la creación de ofertas,
impacten en el valor facturado a
campañas y productos.
clientes.
Inconsistencias detectadas por el robot
pre facturador que no han sido
Implementar evidencia del reporte del
23 corregidas por los dueños de procesos, 3
robot pre facturador sin inconsistencias.
que generen fallas o errores en los
valores facturados a clientes.
105
Errores o fraude en el proceso de Desarrollar interface entre sistema de

24 facturación debido a manipulación en 2 facturación ICC y sistema de la compañía
la base de clientes facturados. encargada de la facturación electrónica.
Base de datos de clientes que puede
25 3 N/A
ser mal utilizada por el proveedor.
Reclamos de clientes por no recepción Implementar auditorías de control en el
26 de factura que puede generar 4 courier y atar su cumplimiento al pago
sanciones por parte del ente regulador. por el servicio.
Alta rotación de ejecutivos de servicio
Desarrollar un reporte de tendencias y
al cliente y retenciones, que puede
27 2 desvíos por usuario del procesamiento de
impactar en el incremento de ajustes
ajustes financieros.
financieros.
Implementar todos los casos de ajuste en
Criterio erróneo en el análisis, lo que
la herramienta de análisis y
podría generar un incremento en la
28 2 procesamiento de ajustes, con el fin de
cantidad y monto de ajustes
eliminar la posibilidad de que los asesores
financieros de clientes.
tomen criterios inadecuados.
Desarrollar todos los casos de ajustes
financieros en el aplicativo y adecuarlos a
Ajustes financieros no autorizados que la matriz de aprobación por monto
29 originen pérdidas económicas a la 2 Desarrollar un reporte de control para
compañía. asegurar que los ajustes ejecutados en el
período fueron ejecutados de acuerdo a la
matriz de aprobación.
transacciones financieras (ajustes) a
30 demasiados usuarios y a todo nivel 2 N/A
jerárquico lo que podría incrementar
el riesgo de error o fraude
Manipulación en la base de clientes Desarrollar interface entre sistema de
facturados previo al envío al cobro a facturación ICC y las Instituciones
31 2
las instituciones financieras que den Financieras, con l fin de aplicar los cobros
lugar a error o fraude automáticamente.
Uso indebido de información de
32 clientes por falta de seguridades en el 2 N/A
envío de la información.
Desarrollar interface entre sistema de
Error en la aplicación de pagos o
33 3 facturación ICC y las Instituciones
registro de pagos indebidos .
Financieras.
Manipulación en la base de clientes Desarrollar interface entre sistema de
facturados previo al envío al cobro a facturación ICC y las Instituciones
34 2
las instituciones financieras que den Financieras, con l fin de aplicar los cobros
lugar a error o fraude. automáticamente.
Desarrollo de conexiones a través de un
Cobros duplicados por ejecución de
switch transaccional con las instituciones
35 débitos automáticos en clientes que 2
financieras para aplicación de pagos en
han realizado pago por ventanilla.
línea en el sistema ICC.
Desarrollo de conexiones a través de un
switch transaccional con las instituciones
36 Cobros no aplicados o mal aplicados. 2
financieras para aplicación de pagos en
línea en el sistema ICC.
106
Reclamos de clientes por mantener

mensajes de mora en su pantalla o el
37 servicio desconectado, lo que pueden 2 N/A
impacten positivamente en el Auditorías sobre el cumplimiento del
38 cumplimiento de las metas de cobro e 3 procedimiento de análisis de objetivos y
incluso afecten los márgenes de campañas de cobranza.
Implementar procedimiento para la
39 erróneas que generen ineficiencias en 2
generación diaria de la base de datos.
la gestión de cobro.
Fallas en el Aplicativo de arrears para
el envío de mensajes OSD a clientes,
40 3 N/A
lo que puede impactar en la gestión de
Fallas en el Aplicativo de arrears para
la desconexión del servicio a clientes
41 con deuda, lo que puede impactar en la 3 N/A
eficiencia de gestión de cobranza y el
nivel de churn.
Índices elevados de no contactabilidad
Implementar campañas de actualización
42 lo que impide realizar una adecuada 4
de datos.
gestión de cobranza.
Mala gestión de cobranza por parte de
los ejecutivos lo que puede impactar
43 2 N/A
en la eficiencia de cobro y nivel de
churn.
Equipos no recuperados que implican Implementar procedimiento para cobranza
44 2
pérdidas para la compañía. de equipos no recuperados.
Error en el cálculo de la provisión para
45 2 N/A
cuentas incobrables.
46 cambios o registros en el sistema que 3 N/A
Establecimiento de Indicadores
Una vez establecidos los planes de acción la metodología propone el establecimiento de

indicadores para detectar señales tempranas sobre la exposición creciente de los riesgos a los
que están expuestas las diversas áreas de negocio, de manera que alerten sobre esta situación y
puedan adoptarse las medidas correctivas que resulten pertinentes, antes de que los efectos
negativos se hayan materializado sobre los objetivos.
Los indicadores clave de riesgo son variables que ofrecen una base razonable para estimar la
probabilidad e impacto de uno o más eventos de riesgo operacional, así también, es una
herramienta que permite la validación, cálculo y monitoreo de los indicadores clave de riesgo, para
los procesos de ingresos y egresos de la compañía.
107
La Gerencia de Procesos y Control Interno conforme a la estructura de gestión de control interno y
riesgo empresariales detallada en el presente modelo, será la encargada de consolidar la
información enviada por las áreas operativas (propietarias del riesgo) con el fin de identificar
fluctuaciones que alerten la existencia de una posible exposición ante un evento de riesgo
operacional y definir planes de acción correctivos.
En el presente modelo se proponen 53 indicadores, 20 indicadores para los procesos de egresos y

33 indicadores para los procesos de ingresos los cuales se presentan a continuación:
Tabla Indicadores Procesos de egresos
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Implementar aprobaciones de # Formularios de Compras

Ejecución de gastos no
Casa Matriz en el sistema Mitigar el aprobados / # Total de
1 autorizados o no clasificados 1 Compras Activos
SAP para el procesamiento riesgo.
adecuadamente. Ejecutadas.
de requisición de compra.
Implementar aprobaciones en # Total de Compras

Compras no planificadas que
el sistema SAP de la Mitigar el Aprobadas por Gerencia
2 afecten el presupuesto de la 3 Planificación Financiera / #
Gerencia de Planificación riesgo.
compañía. Compras Totales
Financiera.
Fragmentación de Implementar aprobaciones en

Número de compras
requisiciones de compra para el sistema SAP de la Mitigar el
3 9 mensuales efectuadas de un
evadir niveles de Gerencia de Planificación riesgo mismo ítem..
autorización. Financiera.
Creación de la Unidad de
Operaciones con proveedores Gestión de Inventarios bajo Mitigar el Conciliación mensual de
4 1 inventarios y activos fijos.
ficticios la dependencia de la riesgo
Gerencia de Logística.
Verificar el cumplimento de Mitigar el
5 Colusión con proveedores 3 Auditorías de Procesos.
políticas (ex post) riesgo
Falta de procesos y políticas
Diseño, Implementación y # de actas de licitaciones y
de licitación y cotización que
capacitación de Instructivos Mitigar el comités de compras/ #Total
6 no permitan gestionar ahorros 3 de compras que requieren
para ejecución de riesgo
y eficiencias para la licitación
licitaciones.
compañía
Proveedores que incumplan
con fechas de entrega y la Emisión de Certificado de
Reporte de pagos vs
calidad deseada en los bienes calificación para el pago Transferir
7 2 certificados de calificación a
y servicios contratados por la emitida por firma el riesgo proveedores.
compañía, por inconsistencia calificadora.
en proceso de calificación.
Incumplimiento de políticas y Capacitación al personal # Contratos de compra
procedimientos para para sobre procesos de ejecución Transferir legalizados / # de órdenes de
8 6
aprobación de órdenes de de órdenes de compra y el riesgo compra que requieren
compra. contratos. contrato
Reporte de compras Número de compras
Fragmentación de órdenes de Mitigar el
9 1 mensuales para un mismo mensuales efectuadas de un
compra. riesgo mismo ítem.
ítem
108
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
Creación de procedimiento
efectuadas sin contrato por Mitigar el
10 4 alterno con niveles de Auditorías de Procesos.
incumplimiento de políticas y riesgo
autorización.
procedimientos.
Ejecución de procesos de Mitigar el # de contratos y órdenes de
11 compra ficticias y/o sin 4 compra autorizados / Total
auditoría de pagos. riesgo de pagos.
contratos.
Creación de procedimiento
alterno de contingencia para Mitigar el Pruebas de funcionamiento
12 contingencia en caso de fallas 9 de planes de contingencia.
compras por fallas en el riesgo
en el sistema de compras.
sistema.
13 servicios registrados en 1 N/A N/A N/A
Recepción de Materiales y
servicios que no cumple Generación de cláusulas
especificaciones para el contractuales por Transferir Sanciones ejecutadas por
14 3 incumplimiento de contratos
proceso de producción y/o incumplimiento de el riesgo / total de contratos.
estándares de calidad y estándares de calidad.
Datos incorrectos podrían ser
registrados en el Maestro de
Proveedores en especial
15 números de cuentas bancarias 1 N/A N/A N/A
lo que puede ocasionar
errores o fraudes el pago a
proveedores
Trabajar con proveedores no Calificación interna de
adecuados que pongan en proveedores al finalizar
Mitigar el Reporte de calificación de
16 riesgo el cumplimiento con 3 prestación de servicio y proveedores y bases de datos
riesgo de lista negra.
las necesidades de la creación de bases de datos de
compañía Lista Negra.
Validación de reporte de
argumento o evidencia que Mitigar el Reporte de cambios de
17 2 cambio de datos sensibles de datos vs evidencia
originen fraudes o errores en riesgo documental de cambios.
proveedores.
la ejecución de pagos a
proveedores
Automatización de perfiles
ejecute cambios o registros en Mitigar el Matriz de quiebre de regla y
18 2 para segregación de controles compensatorios.
el sistema que conlleven a riesgo
funciones en el sistema SAP.
fraude o errores
Falta de procedimientos y
Diseño, procesos, políticas y
políticas para compras de Mitigar el Revisión de pagos que
19 6 procedimientos específicos ingresan por módulo FI
bienes o servicios fuera del riesgo (transacciones financieras).
para compras por excepción.
proceso estándar.
20 3 N/A N/A N/A
109
Plan de Acción
Establecimient
Identificados
indicadores
tratamiento
Opción de
Residual
Riesgos
Riesgo
o de
No.
21 2 N/A N/A N/A
oportunamente.

22 3 N/A N/A N/A
validación.
Generación de funciones de
Pagos o desembolsos que no
revisión y control de Mitigar el # de pagos no aprobados / #
23 han sido aprobados 3 Total de pagos.
procesos previos al riesgo
adecuadamente.
desembolso.
Errores en transferencia y
24 acreditación de recursos de 2 N/A N/A N/A
desembolsos.
Generación de funciones de
Fraude, desembolsos ficticios revisión y control de Mitigar el # Pagos no aprobados / #
25 3 Total de pagos.
son registrados. procesos previos al riesgo
desembolso.
Pagos erróneos o duplicados
Desarrollo de aplicación para Mitigar el # Pagos duplicados o errados
26 por errores en sistemas de 2 / # total de pagos.
validación de pagos. riesgo
información.
antiguas de anticipos y
27 2 N/A N/A N/A
obligaciones con
proveedores.
28 relacionados al negocio 2 N/A N/A N/A
desembolsados a empleados
relacionados al negocio son
29 2 N/A N/A N/A
ejecutados con tarjeta de
crédito Corporativa.
Incumplimiento de políticas
establecidas para la ejecución
30 y reembolso de gastos de 4 N/A N/A N/A
viaje o misceláneos por parte
de empleados.
Tabla Indicadores Procesos de ingresos

Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
110
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Definir precios demasiados altos

que no permitan acceder al Auditorías sobre el
mercado o precio demasiado cumplimiento del Mitigar
1 3 Auditorías de Procesos
bajos que no permitan obtener procedimiento de análisis de el riesgo
márgenes de rentabilidad precios y descuentos.
adecuados.
Reporte el sistema de
Política para la fijación de
Precios de venta al cambio de precios y
precios y descuentos e
público/descuentos no aprobados descuentos en el maestro
implementar aprobaciones Mitigar
2 por la alta gerencia que podría 3 de clientes vs Solicitudes
automáticas para el cambio o el riesgo
generar inconvenientes de Creación o
creación de nuevos precios y
financieros no planificados. actualización de precios
descuentos.
aprobadas.
# de cambios sin
solicitudes de Creación o
Reporte de precios vigentes
Precios o descuentos registrados actualización de precios
en el sistema vs solicitudes de Mitigar
3 en el sistema distintos a los 3 aprobadas / # Total de
creación o actualización de el riesgo
autorizados. cambio de precios y
precios y descuentos.
descuentos vigentes en el
sistema
Crear canales de ventas que no
4 2 N/A N/A N/A
sean eficientes ni rentables.
Incorporar canales de venta no #de canales de venta sin
aprobados por la alta gerencia Creación de un comité para la actas de aprobación del
que podrían generar aprobación de apertura y Mitigar comité de canales / #
5 2
inconvenientes financieros no expansión de canales de el riesgo Total de canales de venta
planificados e incluso litigios venta. reportados por el sistema
legales. en el período.
Procedimiento para la
Canales de venta que creación de accesos y códigos
comercialicen los productos y de venta que determine al Mitigar
6 3 Auditorías de Procesos.
servicios de la compañía sin contrato legalizado como el riesgo
suscribir un contrato. habilitante para la creación en
el sistema
Canal de venta sin conocimiento Adjuntar certificado de
adecuado que podría impactar en capacitación a la Solicitud de Mitigar
7 2 Auditorías de Procesos.
el nivel de ventas, así como en creación de accesos y códigos el riesgo
reclamos o deserción de clientes. de venta
Asignar la función de
# de códigos y accesos sin
solicitud de códigos y accesos
solitudes aprobadas/ #
al área de ventas, revisión de
Accesos inadecuados a los Mitigar Total de códigos y
8 4 requisitos y aprobación al
sistemas que conlleven a fraude. el riesgo accesos creados en el
área financiera
sistema E- sales en el
administrativa, ejecución al
período
área de IT.
Incumplimiento en las metas de
venta, cobranza y churn que Mitigar
9 2 N/A N/A
impacten en los resultados de la el riesgo
compañía.
111
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Desarrollo e implementación
de un dispositivo móvil que Eliminación de
expuesta en la Solicitud de
permita el enmascaramiento Mitigar autorizaciones físicas de
10 Servicios que pasa por personal 6
de los datos sensibles del el riesgo débito bancario o de
de distribuidores o interno con
cliente una vez hayan sido tarjetas de crédito.
fines fraudulentos.
registrados.
Parámetros de verificación de
crédito que no hayan sido
Formalizar metodología para Reporte de cambios en las
analizados adecuadamente que
ejecutar el análisis de Mitigar políticas de crédito vs
11 ocasionen ineficiencias y otros 3
parámetros y políticas el riesgo evidencia del análisis
efectos negativos en la calidad de
crediticias. ejecutado.
clientes que ingresan a la
compañía.
Listas negras desactualizadas lo
Implementación de un
cual permita el ingreso de Mitigar
12 2 procedimiento para la Auditoría de procesos.
clientes con historial de fraude o el riesgo
actualización de listas negras.
morosidad.
Implementar en el sistema E-
Sales el bloqueo automático
que se encuentran en listas Mitigar
13 2 para el ingreso de clientes Auditoría del sistema.
negras por morosidad, piratería u el riesgo
que se encuentran registrados
otro tipo de fraude.
en listas negras
# Total de clientes con
Aprobar el ingreso de clientes evidencia de estatus
que no cumplen con las políticas Auditorías de cumplimiento Mitigar crediticio en el momento
14 2
de crédito establecidas por la de la política. el riesgo del alta / # Total de
administración. clientes aprobados
manualmente
Reclamos de clientes o
instituciones financieras por Aplicar sanciones
ejecución de cobros no importantes debido al # Total de ventas no
Mitigar
15 autorizados lo que puede 6 incumplimiento de las regularizadas /# Total de
el riesgo
ocasionar litigios legales y políticas y procedimientos de ventas
pérdida de la relación con la ingreso de clientes.
institución financiera.
Crear contratos de clientes
rechazados de acuerdo a las Auditorías de cumplimiento Mitigar
16 2 Resultados de la Auditoría
políticas y requisitos establecidos de la política. el riesgo
por la compañía.
Implementar un desarrollo
que al identificar que el pago
de la subscripción será
realizado por un tercero, # de demandas o reclamos
Fraude con tarjetas de crédito de Mitigar
17 3 bloque el registro de la venta de clientes por cobros no
clientes (cobros no autorizados). el riesgo
y el sistema derive la autorizados.
revisión del caso a los
analistas de crédito de la
compañía.
18 Cobros duplicados. 2 N/A N/A N/A
112
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Automatizar la verificación
Procesamiento de la venta sin el
de cobro de HU previo a la Mitigar
19 respectivo cobro de HU (en el 2 # de ventas sin HU.
finalización de la venta y el riesgo
caso de Televentas).
envió de la Orden de Trabajo.
Pérdida de nuevos clientes al

cortar el proceso de venta y Implementación de POS Mitigar #de preventas canceladas
20 2
enviar a los clientes a realizar el virtual para débito bancario. el riesgo por falta de pago de HU.
depósito bancario.
Generación de órdenes de
21 2 N/A N/A N/A
instalación ficticias.
Falta de análisis de las reglas de Generar evidencia de las

negocio para la facturación que pruebas ejecutadas en la Mitigar Resultados de la auditoría
22 2
impacten en el valor facturado a creación de ofertas, campañas el riesgo de procesos.
clientes. y productos.
Inconsistencias detectadas por el

robot pre facturador que no han Implementar evidencia del # Total de errores en el
sido corregidas por los dueños de reporte del robot Mitigar proceso de facturación / #
23 3
procesos, que generen fallas o prefacturador sin el riesgo errores derivados del
errores en los valores facturados inconsistencias. proceso de prefacturación.
a clientes.
Desarrollar interface entre
Errores o fraude en el proceso de # Total de reclamos de
sistema de facturación ICC y
facturación debido a Mitigar clientes / # de reclamos de
24 2 sistema de la compañía
manipulación en la base de el riesgo clientes por errores en la
encargada de la facturación
clientes facturados factura.
electrónica
Base de datos de clientes que
25 puede ser mal utilizada por el 3 N/A N/A N/A
proveedor
Reclamos de clientes por no Implementar auditorías de

recepción de factura que puede control en el courier y atar su Mitigar % Tendencias y desvíos
26 4
generar sanciones por parte del cumplimiento al pago por el el riesgo injustificados
ente regulador servicio
Alta rotación de ejecutivos de Desarrollar un reporte de

servicio al cliente y retenciones, tendencias y desvíos por Mitigar % Tendencias y desvíos
27 2
que puede impactar en el usuario del procesamiento de el riesgo injustificados
incremento de ajustes financieros ajustes financieros
Implementar todos los casos
Criterio erróneo en el análisis, lo de ajuste en la herramienta de
# de ajustes financieros
que podría generar un análisis y procesamiento de
Mitigar ejecutados por usuario
28 incremento en la cantidad y 2 ajustes, con el fin de eliminar
el riesgo automático / # Total de
monto de ajustes financieros de la posibilidad de que los
ajustes financieros
clientes asesores tomen criterios
inadecuados
Ajustes financieros no Desarrollar todos los casos de # de ajustes financieros
autorizados que originen ajustes financieros en el Mitigar ejecutados por montos
29 2
pérdidas económicas a la aplicativo y adecuarlos a la el riesgo incorrectos / # Total de
compañía matriz de aprobación por ajustes financieros
113
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
monto
Desarrollar un reporte de
control para asegurar que los
ajustes ejecutados en el
período fueron ejecutados de
acuerdo a la matriz de
aprobación
transacciones financieras
(ajustes) a demasiados usuarios y
30 2 N/A N/A N/A
a todo nivel jerárquico lo que
podría incrementar el riesgo de
error o fraude
Manipulación en la base de Desarrollar interface entre # de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y por errores en el cobro por
Mitigar
31 envío al cobro a las instituciones 2 las Instituciones Financieras, envío de base errónea / #
el riesgo
financieras que den lugar a error con el fin de aplicar los Total de reclamos de
o fraude cobros automáticamente clientes.
Uso indebido de información de
32 clientes por falta de seguridades 2 N/A N/A N/A
en el envío de la información
# de reclamos de clientes
Desarrollar interface entre
Error en la aplicación de pagos o Mitigar por errores en el cobro / #
33 3 sistema de facturación ICC y
registro de pagos indebidos. el riesgo Total de reclamos de
las Instituciones Financieras.
clientes.
Manipulación en la base de Desarrollar interface entre
# de reclamos de clientes
clientes facturados previo al sistema de facturación ICC y
Mitigar por errores en el cobro / #
34 envío al cobro a las instituciones 2 las Instituciones Financieras,
el riesgo Total de reclamos de
financieras que den lugar a error con el fin de aplicar los
clientes.
o fraude. cobros automáticamente.
Desarrollo de conexiones a
Cobros duplicados por ejecución través de un switch
de débitos automáticos en transaccional con las Mitigar # Total de cobros en línea
35 2
clientes que han realizado pago instituciones financieras para el riesgo / # Total de cobros.
por ventanilla. aplicación de pagos en línea
en el sistema ICC.
Desarrollo de conexiones a
través de un switch # Reclamos por errores o
Cobros no aplicados o mal transaccional con las Mitigar duplicación en cobros/ #
36 2
aplicados. instituciones financieras para el riesgo Total de cobros
aplicación de pagos en línea efectuados en el período.
en el sistema ICC.
mantener mensajes de mora en su
pantalla o el servicio
37 2 N/A N/A N/A
desconectado, lo que pueden
114
Riesgo Residual
Establecimiento
Plan de Acción
de indicadores
Identificados
tratamiento
Opción de
Riesgos
No.
Definir campañas y estrategias

Auditorías sobre el
que no impacten positivamente
cumplimiento del
en el cumplimiento de las metas Mitigar
38 3 procedimiento de análisis de Auditorías de Procesos.
de cobro e incluso afecten los el riesgo
objetivos y campañas de
cobranza.
esperados.
Implementar procedimiento # Total de clientes
erróneas que generen Mitigar
39 2 para la generación diaria de la contactados / # Total de
ineficiencias en la gestión de el riesgo
base de datos. clientes cobrados.
cobro.
Fallas en el Aplicativo de arrears

para el envío de mensajes OSD a
40 clientes, lo que puede impactar 3 N/A N/A N/A
en la gestión de cobranza y el
nivel de churn.
Fallas en el Aplicativo de arrears

para la desconexión del servicio
a clientes con deuda, lo que
41 3 N/A N/A N/A
puede impactar en la eficiencia
de gestión de cobranza y el nivel
de churn.
# de clientes contactados /
contactabilidad lo que impide Implementar campañas de Mitigar
42 4 #de clientes de la base de
realizar una adecuada gestión de actualización de datos. el riesgo
cobro.
cobranza.
Mala gestión de cobranza por
parte de los ejecutivos lo que
43 2 N/A N/A N/A
puede impactar en la eficiencia
de cobro y nivel de churn.
Equipos no recuperados que Implementar procedimiento # Total de equipos
Mitigar
44 implican pérdidas para la 2 para cobranza de equipos no cobrados/ # Total de
el riesgo
compañía. recuperados. equipos por recuperar
45 provisión para cuentas 2 N/A N/A N/A
incobrables.
ejecute cambios o registros en el
46 3 N/A N/A N/A
sistema que conlleven a fraude o
errores.
A continuación se presenta la matriz de evaluación de riesgos completa para los procesos de

ingresos y egresos la cual está conformada por: Megaproceso, proceso, subproceso,
actividades, riesgos identificados, factores de riesgo (personas, tecnología de la información,
procesos, eventos externos), riesgo inherente, tipos de control, control, riesgo residual, planes
de acción, opción de tratamiento e Indicadores.
115
Riesgos de Nivel Alto
En la aplicación de la presente metodología se identificaron 7 riesgos de nivel alto, 3 para los

procesos de ingresos y 4 para los procesos de gastos. El modelo propone que para aquellos
indicadores con fluctuaciones importantes se definan planes de acción correctivos, los mismos
que han sido propuestos y/o diseñados por las unidades de negocio y apoyo; la responsabilidad
de la Gerencia de Procesos y Control Interno será hacer el seguimiento exhaustivo a la
definición de los planes de acción establecidos hasta la fecha de su implementación.
A continuación se presenta un detalle de los planes de acción de los riesgos calificados con un
nivel de riesgo alto los cuales requieren especial atención:
116
Matriz de evaluación del riesgo procesos de egresos planes de acción e indicadores
Establecimiento de
Riesgo Residual
Tipo de Control
Plan de Acción
Eventos Externos
Tecnología de
Megaproceso
Riesgo Inherente
Probabilidad
Probabilidad
Subprocesos
Información
indicadores
tratamiento
Opción de
Controles
Personas
Procesos
Impacto
Impacto
Proceso
Identificados
No.
Riesgos
Niveles de Autorización y
montos:
Presidente Ejecutivo más
de US $ 100.000 Implementar
Fragmentación de Número de
Director Financiero desde aprobaciones en el
Requisición compras para evadir Mitigar el compras mensuales
1 X 3 3 9 Automático US $ 50.000 a US $ 3 3 9 sistema SAP de la
de Compras niveles de riesgo efectuadas de un
100.000 Gerencia de
autorización mismo ítem.
Director de Área hasta US Planificación Financiera
$ 50.000
Gerente de Área hasta US
$ 10.0000
Incumplimiento de # Contratos de
Capacitación al
políticas y Reporte de órdenes de compra legalizados
personal sobre procesos Transferir
2 procedimientos para X 3 3 9 Manual compra y contratos 2 3 6 / # de órdenes de
Gastos Compras de ejecución de órdenes el riesgo
para aprobación de emitidos compra que
Orden de de compra y contratos
órdenes de compra. requieren contrato
Compras y
Falta de Creación de
Contratos Pruebas de
procedimientos de Procedimiento alterno de procedimiento alterno
Mitigar el funcionamiento de
3 contingencia en caso X 3 3 9 Manual compras por fallas en 3 3 9 de contingencia para
riesgo planes de
de fallas en el sistema sistema compras por fallas en el
contingencia
de compras sistema
# de pagos que
Falta de
Diseño, procesos, cumplen con la
Compras de procedimientos y
políticas y política/ # Total de
Servicios políticas para Autorización de Orden de Mitigar el
4 X 3 2 6 Manual 2 3 6 procedimientos pagos que ingresan
Excepcionad compras de bienes o Pago riesgo
específicos para por módulo FI
os servicios fuera del
compras por excepción (transacciones
proceso estándar.
financieras)
117
Matriz de evaluación del riesgo procesos de ingresos planes de acción e indicadores
Riesgo Inherente
Tecnología de la
Eventos Externos
Establecimiento
Tipo de Control
Plan de Acción
de indicadores
Riesgo Residual
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
tratamiento
Opción de
Personas
Procesos
Impacto
Impacto
Riesgos
Proceso
Control
No.
Información sensible
Desarrollo e
de clientes expuesta
Dispositivo para captación implementación de un
en la Solicitud de Eliminación de
de datos de clientes que no dispositivo móvil que
Servicios que pasa Mitigar autorizaciones físicas
10 X 3 3 9 Automático guarde ningún historial 2 3 6 permita el enmascaramiento
por personal de el riesgo de débito bancario o
visible sobre información de los datos sensibles del
distribuidores o de tarjetas de crédito
sensible del cliente cliente una vez hayan sido
interno con fines
registrados
fraudulentos
Captación de
Verificación de
Gestión de la preventa y Reclamos de clientes
Ingresos documentación que soporta
Venta análisis de o instituciones
la relación con el cliente:
crédito financieras por
-Contrato de Subscripción Aplicar sanciones
ejecución de cobros
-Autorización de débito importantes debido al # Total de ventas no
no autorizados lo que Mitigar
15 X 3 3 9 Manual -Documentos de 2 3 6 incumplimiento de las regularizadas / #
puede ocasionar el riesgo
identificación del cliente políticas y procedimientos Total de ventas
litigios legales y
No pago de comisiones por de ingreso de clientes
pérdida de la
ventas sin documentación
relación con la
soporte y sanciones por
institución financiera
incumplimientos
118
FACULTAD DE CIENCIAS ADMINISTRATIVAS Control Interno – Caso Aplicación Metodología COSO II
La aplicación de la metodología permitirá a la Gerencia de Procesos y Control Interno de

CORPORACION CABLE TV Cía. Ltda. gestionar el sistema de Control Interno a través de un
modelo basado en riesgo operativo para los procesos de ingresos y egresos, cumpliendo con los
siguientes objetivos:
• Contar con modelo conceptualmente sólido que sea aplicable de manera integral a todos
los procesos de CORPORACION CABLE TV Cía. Ltda.
• Establecer reportes periódicos sobre la exposición al riesgo operacional, que incluya la
identificación de posibles eventos de pérdida, dirigidos a las áreas operativas y de
negocio, direcciones y presidencia ejecutiva, la empresa debe establecer procedimientos
para tomar acciones apropiadas según la información incluida en dichos reportes que
permitirán a la compañía tomar decisiones oportunas.
• Contar con una base de datos de eventos de pérdida por riesgo operacional, que permita
la transición de un modelo cualitativo a un modelo cuantitativo.
• El presente modelo dota de la base conceptual y técnica para la implementación de un
software especializado que facilite la generación de reportes e incluya la base de datos
para una eficiente gestión de los riesgos empresariales.
La Metodología ha sido construida a través del análisis de la base de datos institucional de

procesos de Ingresos y Egresos, en este sentido, las variables que se incluyen en el modelo son
de tipo cualitativo y son propias para las Empresas del Sector, sin embargo, el presente caso
servirá de guía metodológica para la construcción de modelos de gestión de control interno y
riesgo empresariales para empresas de similares características.
Si bien se ha observado que CORPORACION CABLE TV Cía. Ltda.; cuenta con una buena
gestión del sistema de control interno debido al compromiso logrado por parte de la administración
y al trabajo realizado por la Gerencia de Procesos y Control Interno, la falta de un modelo
metodológico formal para la gestión de control interno y riesgo empresariales basada en riesgo
operativo tal como se propone en el presente trabajo, ha arrojado como resultado lo siguiente:
a) Luego de realizar el levantamiento, se observa que el factor de riesgo predominante

en los procesos de egresos son las personas, con lo cual las acciones de mitigación
irán más direccionadas a fortalecer el diseño de los controles dotados de un
constante seguimiento y evidencia adecuada, así como automatización de
pequeños procesos dentro de lo que fuere posible. Para el caso de los procesos de
ingresos se observa que el factor de riesgo predominante son los procesos, con lo
cual son las acciones de mitigación irán más direccionadas a la revisión, mejora y
119
automatización de ciertos procesos claves que actualmente se realizan de forma

manual, incrementándose así la exposición al riesgo.
b) Se han propuesto planes de acción e indicadores para el 67% y 71% de los riesgos
identificados en los procesos de egresos e ingresos respectivamente, los planes de
acción propuestos para los riesgos encontrados contribuirán sin duda a reducir el
grado de exposición a eventos de riesgo operativo que de momento no están
cubiertos adecuadamente.
c) A pesar de los planes de acción e indicadores propuestos, como resultado final del
modelo se ha obtenido que del 100% de riesgos operativos identificados en los
procesos de ingresos y egresos, existe un 13% y 4% de riesgos respectivamente
que se mantienen calificados como riesgos de nivel alto, para los cuales será
indispensable hacer el seguimiento exhaustivo de los planes de acción establecidos
hasta la fecha de su implementación para su posterior y constante monitoreo.
d) El 13% de riesgos de los procesos de egresos que se mantienen calificados con un

nivel de riesgo alto, corresponden específicamente al proceso de compras, donde
se proponen planes de acción e indicadores con el fin asegurar principalmente
mayor control en el cumplimiento de la “Política de compras de bienes y Servicios”
que si bien existe en la compañía, no ha sido implementada en su totalidad pues
siguen presentándose casos de incumplimientos y de falta de evidencia de los
controles internos diseñados. Por otro lado, se propone un procedimiento para las
compras por excepción, que son aquellas que por su naturaleza no pueden pasar
por el proceso normal, pero que requieren un tratamiento especial con el fin de
controlar que dichas excepciones sean justificadas.
e) El 4% de riesgos de los procesos de ingresos que se mantienen calificados con un

nivel de riesgo alto luego de aplicar el modelo, corresponden específicamente al
proceso de captación de preventas y análisis creditico. Principalmente se ha
identificado que las actividades de captación de preventas requieren de un mayor
nivel de automatización en el manejo de cobros de la subscripción inicial, así como
mayor rigidez en el cumplimiento y medición del “Procedimiento de Aprobación de
Preventas” en lo que se refiere a la regularización de toda la documentación
necesaria tanto para la subscripción como para el cobro recurrente.
120
ANEXO
Matriz de Evaluación de Riesgos para los Procesos de Egresos
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Niveles de
Aprobación
automáticos para
Casa Matriz: Implementar
Registro de - Niveles de # Formularios de
aprobaciones de
la Ejecución de gastos aprobación de gastos Compras
Casa Matriz en el
Requisición no autorizados o no superiores a US $ Mitigar aprobados / #
1 X 2 3 6 Automático 1 1 1 sistema SAP para
de Compra clasificados 300.000 el riesgo Total de
el procesamiento
en el adecuadamente - Niveles de Compras Activos
de requisición de
Sistema SAP aprobación de activos Ejecutadas.
compra.
superiores a US $
25.000
Niveles de
Autorización y
montos:
# Total de
Requisición Presidente Ejecutivo Implementar
Gastos Compras Compras no Compras
de Compras más de US $ 100.000 aprobaciones en
planificadas que Aprobadas por
Director Financiero el sistema SAP Mitigar
2 afecten el X 2 3 6 Automático 1 3 3 Gerencia
desde US $ 50.000 a de la Gerencia de el riesgo
presupuesto de la Planificación
Análisis y US $ 100.000 Planificación
compañía Financiera / #
Revisión Director de área hasta Financiera
Compras Totales
para la US $ 50.000
Aprobación Gerente de área hasta
o Rechazo US $ 10.0000
de la Niveles de
Requisición Autorización y
de Compra montos: Implementar
Fragmentación de Número de
Presidente Ejecutivo aprobaciones en
requisiciones de compras
más de US $ 100.000 el sistema SAP Mitigar
3 compra para evadir X 3 3 9 Automático 3 3 9 mensuales
Director Financiero de la Gerencia de el riesgo
niveles de efectuadas de un
desde US $ 50.000 a Planificación
autorización mismo ítem..
US $ 100.000 Financiera
Director de área hasta
US $ 50.000
121
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Gerente de área hasta
US $ 10.0000
Creación del área

de gestión de Conciliación
Reportes de la
Operaciones con Inventarios bajo Mitigar mensual de
4 X 1 3 3 Manual Unidad de Gestión de 1 1 1
proveedores ficticios la dependencia el riesgo inventarios y
Inventarios
de la gerencia de activos fijos.
Análisis y
Logística.
Comparació
Verificar el
n de Ofertas Políticas y
Colusión con cumplimento de Mitigar Auditorías de
a través de 5 X 1 3 3 Manual procedimientos de 1 3 3
proveedores políticas (ex el riesgo Procesos.
Cotización compras
post)
Licitaciones
# de actas de
o Comité de Falta de procesos y Diseño,
licitaciones y
Compras políticas de licitación Implementación
Reporte de Compras comités de
y cotización que no y capacitación de Mitigar
6 X 3 3 9 Manual por montos de 1 3 3 compras/ #Total
permitan gestionar Instructivos para el riesgo
adquisición de compras que
Selección ahorros y eficiencias ejecución de
requieren
del para la compañía licitaciones.
licitación
Proveedor
Calificar
proveedores
capaces de
Proveedores que
responder a
incumplan con fechas
las
de entrega y la Emisión de
necesidades
calidad deseada en Certificado de Certificado de Reporte de pagos
de compra Transfer
los bienes y servicios calificación vigente calificación para vs certificados de
de la 7 X 2 2 4 Manual 1 2 2 ir el
contratados por la como habilitante para el pago emitida calificación a
compañía en riesgo
compañía, por el pago. por firma proveedores.
base a
inconsistencia en calificadora
parámetros
proceso de
calidad
calificación.
tiempos
precios y
pagos
Solicitud y Incumplimiento de Capacitación al # Contratos de
Orden de Reporte de órdenes Transfer
aprobación políticas y personal sobre compra
Compras y 8 X 3 3 9 Manual de compra y contratos 2 3 6 ir el
formal de la procedimientos para procesos de legalizados / # de
Contratos emitidos riesgo
orden de para aprobación de ejecución de órdenes de
122
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
compra del órdenes de compra. órdenes de compra que
bien o compra y requieren
servicio contratos contrato
requerido Niveles de
por Autorización y
CORPORA montos:
CION Presidente Ejecutivo
Número de
CABLE TV, más de US $ 100.000 Reporte de
compras
por medio Fragmentación de Director Financiero compras Mitigar
9 X 2 2 4 Automático 1 1 1 mensuales
del sistema órdenes de compra. desde US $ 50.000 a mensuales para el riesgo
efectuadas de un
SAP. US $ 100.000 un mismo ítem
mismo ítem.
Director de área hasta
US $ 50.000
Gerente de área hasta
US $ 10.0000
Operaciones de
Proceso de Creación de
compra efectuadas
regularización de procedimiento
sin contrato por Mitigar Auditorías de
10 X 3 3 9 Manual compras con 2 2 4 alterno con
incumplimiento de el riesgo Procesos.
procedimiento niveles de
políticas y
alterno. autorización.
procedimientos.
# de contratos y
Elaboración Ejecución de
Creación de órdenes Creación de órdenes órdenes de
de Contratos procesos de Mitigar
11 de compra ficticias X 2 2 4 Automático de compra a través de 2 2 4 compra
que protegen auditoría de el riesgo
y/o sin contratos. sistema SAP autorizados /
los intereses pagos.
Total de pagos.
de las partes
Creación de
Falta de procedimiento
Pruebas de
procedimientos de Procedimiento alterno alterno de
Mitigar funcionamiento
12 contingencia en caso X 3 3 9 Manual de compras por fallas 3 3 9 contingencia para
el riesgo de planes de
de fallas en el sistema en sistema compras por
contingencia.
de compras fallas en el
sistema
Recepción / Registro de Recepción de bienes
Ingreso de la hoja de y servicios Reporte de compras Asumir
13 X 2 2 4 Automático 1 1 1 N/A
Bienes y entrada registrados en abiertas sin recepción el riesgo
Servicios aceptación períodos incorrectos
123
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
del bien o Recepción de
servicio Materiales y
servicios que no Generación de Sanciones
cumple Verificación de cláusulas ejecutadas por
Transfer
especificaciones para condiciones de contractuales por incumplimiento
14 X 1 3 3 Manual 1 3 3 ir el
el proceso de calidad del área incumplimiento de contratos /
riesgo
producción y/o solicitante de estándares de total de
estándares de calidad calidad. contratos.
y tiempo de la
compañía.
Datos incorrectos
podrían ser
Creación o registrados en el Validación de
Actualizació Maestro de cambios de datos
n de Proveedores en sensibles de
Proveedores
15
especial números de
X 1 2 2 Manual
proveedores
1 1 1 N/A N/A N/A
en el cuentas bancarias lo (certificados
Sistema que puede ocasionar bancarios)
errores o fraudes el
pago a proveedores
Calificación
Trabajar con interna de
Administraci proveedores no proveedores al Reporte de
Administraci Depuración y
ón del adecuados que finalizar calificación de
ón del Bloqueo de Mitigar
maestro de 16 pongan en riesgo el X 1 3 3 Semiautomático 1 3 3 prestación de proveedores y
Maestro de Proveedores en el el riesgo
proveedores cumplimiento con las servicio y bases de datos de
Proveedores Sistema
necesidades de la creación de bases lista negra.
compañía de datos de Lista
Negra.
sensibles del
Validación proveedor sin Validación de Reporte de
de Cambios argumento o reporte de cambios de datos
Reporte de cambio de Mitigar
de Datos 17 evidencia que X 2 2 4 Automático 1 2 2 cambio de datos vs evidencia
datos de proveedores el riesgo
Sensibles de originen fraudes o sensibles de documental de
Proveedores errores en la proveedores cambios.
ejecución de pagos a
proveedores
124
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Creación o Personal no
Automatización
AdministraciActualizació autorizado que Autorización de Matriz de
de perfiles para
ón de n de perfiles ejecute cambios o perfiles de accesos de Mitigar quiebre de regla
18 X 1 2 2 Manual 1 2 2 segregación de
aplicación de
de acceso al registros en el la Gerencia de el riesgo y controles
funciones en el
compras Sistema de sistema que conlleven Control Interno compensatorios.
sistema SAP.
Compras a fraude o errores
Solicitud de
Servicios
Falta de Diseño, procesos, Revisión de
que por su
Compras de procedimientos y políticas y pagos que
naturaleza
Servicios políticas para Autorización de procedimientos Mitigar ingresan por
son 19 X 3 2 6 Manual 2 3 6
Excepcionad compras de bienes o Orden de Pago específicos para el riesgo módulo FI
recurrentes y
os servicios fuera del compras por (transacciones
necesarios
proceso estándar. excepción financieras).
para la
operación
Generación de
Anticipo a Solicitud de anticipos de Autorización de
20 X 2 3 6 Manual 1 3 3 N/A N/A N/A
Proveedores Anticipo proveedores no Anticipo
autorizados
Facturas no
Reporte de Hojas de
21 registradas X 2 2 4 Manual 1 2 2 N/A N/A N/A
Recepción y Entrada sin Factura
oportunamente
Validación
Revisión y Validación de
de Facturas
registro de documentos
con
Facturas Pagos errados por habilitantes (orden de
Documentos 22 X 1 3 3 Manual 1 3 3 N/A N/A N/A
falta de validación compra, hoja de
Habilitantes
Cuentas entrada y datos de
por Pagar factura)
Generación de
Niveles de
Pagos o desembolsos funciones de
Registro del Autorización de # de pagos no
que no han sido revisión y control Mitigar
Pago en el 23 X 1 3 3 Manual generación de cuenta 1 3 3 aprobados / #
aprobados de procesos el riesgo
Sistema por pagar y Total de pagos.
adecuadamente previos al
Procesamien desembolso.
desembolso.
to de Pagos
Errores en
Desembolso
transferencia y Reporte de
y
24 acreditación de X 1 2 2 Manual Antigüedad de 1 2 2 N/A N/A N/A
Liquidación
recursos de Anticipos
del anticipo
desembolsos.
125
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Información
Tratamiento
Actividades
Indicadores
Opción de
Controles
Inherente
Subprocesos
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Riesgos
Proceso
Riesgo
Riesgo
o de
No.
Generación de
funciones de
Fraude, desembolsos Niveles de # Pagos no
revisión y control Mitigar
25 ficticios son X 1 3 3 Manual aprobación para 1 3 3 aprobados / #
de procesos el riesgo
registrados desembolsos Total de pagos.
previos al
desembolso.
Validación de
Pagos erróneos o Desarrollo de # Pagos
comprobantes de
duplicados por aplicación para Mitigar duplicados o
26 X 1 3 3 Automático pago vs transacciones 1 2 2
errores en sistemas de validación de el riesgo errados / # total
del Cash
información. pagos de pagos.
Management.
Existencia de partidas Reporte de
Cierre de Liquidación
antiguas de anticipos Antigüedad y
Cuentas por de cuentas 27 X 1 2 2 Manual 1 2 2 N/A N/A N/A
y obligaciones con seguimiento de
pagar por Pagar
proveedores. partidas antiguas
Solicitud de relacionados al Solicitud de anticipos
Anticipo de 28 negocio X 1 2 2 Manual con niveles de 1 2 2 N/A N/A N/A
Empleados desembolsados a aprobación
empleados
relacionados al
Desembolso Cupos autorizados
negocio son
s con Tarjeta 29 X 1 2 2 Manual con tarjeta de crédito 1 2 2 N/A N/A N/A
Otros Reembolsos ejecutados con tarjeta
Corporativa corporativa
Gastos de Gastos de crédito
Corporativa
Incumplimiento
Liquidación políticas establecidas
Revisión de
del Anticipo para la ejecución y
documentos
con 30 reembolso de gastos X 3 2 6 Manual 2 2 4 N/A N/A N/A
habilitantes para
Documentos de viaje o
reembolso
Habilitantes misceláneos por parte
de empleados
126
Anexo 1
Matriz de Evaluación de Riesgos para los Procesos de Ingresos
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Proponer precios
Definir precios
y descuentos de
demasiados altos Auditorías
productos/servici
que no permitan sobre el
os que
acceder al mercado Procedimiento de cumplimiento
CORPORACIO
o precio demasiado análisis para la creación del Mitigar Auditorías de
N CABLE TV 1 X 2 3 6 Manual 1 3 3
bajos que no o actualización de procedimiento el riesgo Procesos
coloca en el
permitan obtener precios y descuentos de análisis de
mercado en
márgenes de precios y
función a costos
rentabilidad descuentos
y márgenes de
adecuados.
rentabilidad
Reporte el
Política para
sistema de
la fijación de
Precios de venta al cambio de
Aprobación de precios y
público/descuentos precios y
Administraci precios y descuentos e
Administr no aprobados por la Aprobaciones a través descuentos en el
INGR ón de descuentos por implementar
ación de alta gerencia que de la "Solicitud para la Mitigar maestro de
ESOS Precios y parte de 2 X 2 3 6 Manual 1 3 3 aprobaciones
Ventas podría generar creación o actualización el riesgo clientes vs
Descuentos Presidencia y automáticas
inconvenientes de precios" Solicitudes de
Direcciones para el cambio
financieros no Creación o
correspondientes o creación de
planificados actualización de
nuevos precios
precios
y descuentos
aprobadas.
# de cambios sin
Reporte de
solicitudes de
precios
Política de fijación de Creación o
Precios o vigentes en el
precios que incluya actualización de
Ingresar lista de descuentos sistema vs
lineamientos para la Mitigar precios
precios vigentes 3 registrados en el X 1 3 3 Manual 1 3 3 solicitudes de
revisión periódica de el riesgo aprobadas / #
en ICC sistema distintos a creación o
precios vigentes versus Total de cambio
los autorizados actualización
precios aprobados de precios y
de precios y
descuentos
descuentos
vigentes en el
127
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
sistema
Identificación y Procedimiento para la

Crear canales de
análisis de apertura y crecimiento
ventas que no sean
necesidad o 4 X 3 2 6 de canales de venta que Manual 1 2 2 N/A N/A N/A
eficientes ni
crecimiento de incluya el respectivo
rentables
canales de venta análisis
Incorporar canales
#de canales de
de venta no
Creación de un venta sin actas de
aprobados por la
comité para la aprobación del
Aprobación de alta gerencia que Política para la
aprobación de comité de
apertura o podrían generar aprobación de apertura Mitigar
5 X 3 2 6 Manual 1 2 2 apertura y canales / # Total
expansión de inconvenientes o crecimiento de el riesgo
expansión de de canales de
canales de venta financieros no canales de venta
canales de venta reportados
planificados e
venta por el sistema en
incluso litigios
el período.
legales
Procedimiento
para la
Gestión de creación de
Canales de Elaboración y Canales de venta accesos y
Venta Solicitud de apertura de
firma del que comercialicen códigos de
accesos y códigos de
contrato de los productos y venta que
venta deberá tener Mitigar Auditorías de
prestación de 6 servicios de la X 3 3 9 Manual 1 3 3 determine al
adjunto el contrato el riesgo Procesos.
servicios y la compañía sin contrato
legalizado con el canal
autorización de suscribir un legalizado
de ventas
débito respectiva contrato como
habilitante para
la creación en
el sistema
Canal de venta sin
Adjuntar
conocimiento Procedimiento para la
certificado de
Capacitación y adecuado que apertura y crecimiento
capacitación a
entrenamiento podría impactar en de canales de venta que
la Solicitud de Mitigar Auditorías de
sobre el producto 7 el nivel de ventas, X 2 2 4 incluya certificación de Manual 1 2 2
creación de el riesgo Procesos.
/ servicio para su así como en la capacitación previo a
accesos y
comercialización reclamos o la creación del código
códigos de
deserción de de ventas
venta
clientes
128
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Asignar la
función de
solicitud de # de códigos y
Aplicación de matriz de códigos y accesos sin
Creación de perfiles y accesos para accesos al área solitudes
Accesos
accesos al el sistema E- Sales. de ventas, aprobadas/ #
inadecuados a los Mitigar
sistema E-Sales 8 X 3 2 6 Segregación de Manual 2 2 4 revisión de Total de códigos
sistemas que el riesgo
para la captación funciones en la requisitos y y accesos
conlleven a fraude
de ventas solicitud, aprobación y aprobación al creados en el
creación de área financiera sistema E- sales
administrativa, en el período
ejecución al
área de IT.
Incumplimiento en
Monitoreo de la las metas de venta, Seguimiento de reportes
Gestión cobranza y churn diarios del nivel de
9 X 1 2 2 Automático 1 2 2 N/A N/A N/A
ejecutada por que impacten en los ventas y churn por
cada Canal resultados de la canal.
compañía
Desarrollo e
implementació
Información
n de un
sensible de clientes
Recopilar Dispositivo para dispositivo Eliminación de
expuesta en la
información del captación de datos de móvil que autorizaciones
Solicitud de
cliente en el clientes que no guarde permita el Mitigar físicas de débito
10 Servicios que pasa X 3 3 9 Automático 2 3 6
formato ningún historial visible enmascaramie el riesgo bancario o de
por personal de
"Solicitud de sobre información nto de los tarjetas de
distribuidores o
Servicio" sensible del cliente datos sensibles crédito.
Captación de interno con fines
del cliente una
Gestión de la preventa y fraudulentos
vez hayan sido
Venta análisis de
registrados
crédito
Ingresar datos Parámetros de
del cliente en verificación de Formalizar Reporte de
sistema de crédito que no metodología cambios en las
Metodología para el
preventas E- hayan sido para ejecutar el políticas de
análisis de la adopción Mitigar
Sales y procesar 11 analizados X 2 2 4 Manual 1 3 3 análisis de crédito vs
o actualización de el riesgo
información para adecuadamente que parámetros y evidencia del
políticas de Crédito
verificación ocasionen políticas análisis
crediticia, así ineficiencias y crediticias ejecutado.
como de piratería otros efectos
129
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
o mora actual negativos en la
con DTV calidad de clientes
que ingresan a la
compañía
Listas negras Implementació
desactualizadas lo n de un
Procedimiento para la
cual permita el procedimiento Mitigar Auditoría de
12 X 2 2 4 actualización de Listas Manual 1 2 2
ingreso de clientes para la el riesgo procesos.
Negras
con historial de actualización
fraude o morosidad de listas negras
Implementar
en el sistema
Aprobar el ingreso
E- Sales el
de clientes que se Bloqueo automático
bloqueo
encuentran en listas para el ingreso de
automático Mitigar Auditoría del
13 negras por X 2 2 4 clientes que se Manual 1 2 2
para el ingreso el riesgo sistema.
morosidad, encuentran en listas
de clientes que
piratería u otro tipo negras
se encuentran
de fraude
registrados en
Aprobar o
listas negras
rechazar preventa
Política de Crédito que
según el
especifica los
resultado de
parámetros bajo los
análisis manual o # Total de
cuales un cliente puede
automático según clientes con
Aprobar el ingreso ser aprobado
sea el caso evidencia de
de clientes que no manualmente por un
Auditorías de estatus crediticio
cumplen con las Analista de Crédito. Mitigar
14 X 2 2 4 Manual 1 2 2 cumplimiento en el momento
políticas de crédito Verificación periódica el riesgo
de la política del alta / # Total
establecidas por la de la evidencia
de clientes
administración relacionada a la
aprobados
información crediticia
manualmente
con la que un cliente
fue dado de alta por el
Analista de Crédito
130
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Verificación de
documentación que
Reclamos de
soporta la relación con
clientes o Aplicar
el cliente:
instituciones sanciones
-Contrato de
financieras por importantes
Firma de Subscripción
ejecución de cobros debido al # Total de ventas
contrato de -Autorización de débito
no autorizados lo incumplimient Mitigar no regularizadas
servicios y 15 X 3 3 9 -Documentos de Manual 2 3 6
que puede o de las el riesgo /# Total de
autorización de identificación del
ocasionar litigios políticas y ventas
débito cliente
legales y pérdida de procedimientos
No pago de comisiones
la relación con la de ingreso de
por ventas sin
institución clientes
documentación soporte
financiera
y sanciones por
incumplimientos
Crear contrato en
el sistema para
aquellas
preventas
aprobadas ya sea Crear contratos de Política de Crédito que
automática o clientes rechazados establece los
manualmente y de acuerdo a las parámetros bajo los Auditorías de
Mitigar Resultados de la
derivarlas al 16 políticas y X 2 2 4 cuales una persona Manual 1 2 2 cumplimiento
el riesgo Auditoría
proceso de requisitos natural o jurídica no de la política
instalaciones, establecidos por la puede ingresar como
caso contrario compañía cliente
registrar los
motivos del
rechazo en el
sistema
Si la forma de Verificar que el dueño Implementar
pago del cliente de la tarjeta de crédito un desarrollo
es tarjeta de sea quien firma la que al
# de demandas o
crédito, ingresar Fraude con tarjetas autorización de débito identificar que
reclamos de
Cobro de datos de tarjeta de crédito de La tarjeta de crédito el pago de la Mitigar
17 X 2 3 6 Automático 1 3 3 clientes por
Hook Up de crédito en el clientes (cobros no pertenezca al subscripción el riesgo
cobros no
sistema de autorizados ) propietario del contrato será realizado
autorizados.
preventas E- de servicio caso por un tercero,
Sales y realizar el contrario, la bloque el
cobro de forma autorización de débito registro de la
131
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
automática a debe estar firmada por venta y el
través de POS el titular de dicha sistema derive
Virtual. tarjeta. la revisión del
Automáticament caso a los
e el pago es analistas de
asociado a crédito de la
contrato en el compañía.
sistema ICC. Conciliación diaria
entre el cierre del POS
18 Cobros duplicados x 2 2 4 Manual 1 2 2 N/A N/A N/A
y las ventas registradas
en el sistema ICC
Automatizar la
Si la forma de verificación de
pago del cliente Procesamiento de cobro de HU
Bloqueo de la venta
es débito la venta sin el previo a la
mientras el sistema no Mitigar # de ventas sin
automático, 19 respectivo cobro de X 2 2 4 Automático 1 2 2 finalización de
confirme el cobro del el riesgo HU.
solicitar el HU (en el caso de la venta y
HU
depósito o Televentas) envió de la
transferencia del Orden de
valor de Trabajo
subscrición en Pérdida de nuevos
las cuentas clientes al cortar el Implementació #de preventas
bancarias de proceso de venta y n de POS Mitigar canceladas por
20 X 2 2 4 Cobro en línea del HU Automático 1 2 2
CORPORACIO enviar a los virtual para el riesgo falta de pago de
N CABLE TV. clientes a realizar el débito bancario HU.
depósito bancario
Finalización de
Conciliación de
la venta y Generación de
transacciones
generación de la 21 órdenes de X 1 2 2 Manual 1 2 2 N/A N/A N/A
financieras vs órdenes
orden de instalación ficticias
de instalación
instalación
Revisión y Generar
Falta de análisis de
actualización de Procedimiento para evidencia de
las reglas de
las reglas de garantizar integridad en las pruebas
Facturació negocio para la Resultados de la
Prefacturaci negocio las pruebas de ejecutadas en Mitigar
ny 22 facturación que X 2 2 4 Manual 1 2 2 auditoría de
ón establecidas para facturación cada que se la creación de el riesgo
Ajustes impacten en el procesos.
la facturación de ejecuten nuevas ofertas, ofertas,
valor facturado a
productos y campañas o productos campañas y
clientes
servicios, así productos.
132
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
como también
para la aplicación
de descuentos y
promociones.
Análisis
automático de
toda la base de
suscriptores
Previo Pago por Inconsistencias
medio del Robot detectadas por el
Prefacturador, robot pre Implementar
Correr reporte final de # Total de errores
buscando facturador que no evidencia del
robot Pre facturador y en el proceso de
posibles han sido corregidas reporte del
revisar que no exista Mitigar facturación / #
inconsistencias 23 por los dueños de X 2 3 6 Manual 1 3 3 robot
ninguna inconsistencia el riesgo errores derivados
en las reglas de procesos, que prefacturador
previo a la ejecución del proceso de
negocio generen fallas o sin
del paso de facturación prefacturación.
configuradas en errores en los inconsistencias
el sistema con el valores facturados
fin de notificar a a clientes
los dueños de
proceso para su
corrección en la
base
Generación
masiva de cargos
y descuentos en
el sistema de
Desarrollar
facturación de la
interface entre # Total de
compañía para la Errores o fraude en
Interface automática sistema de reclamos de
emisión de la el proceso de
para envío de base de facturación clientes / # de
base general de facturación debido Mitigar
Facturación 24 X 3 2 6 clientes para Automático 1 2 2 ICC y sistema reclamos de
clientes a manipulación en el riesgo
facturación electrónica de la compañía clientes por
facturados y la base de clientes
o física encargada de errores en la
segmentación de facturados
la facturación factura.
la base de
electrónica
clientes con
factura
electrónica y
factura Impresa.
133
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Envío de Base a
Imprenta para la
emisión de
Facturas
Impresas
Base de datos de Cláusulas legales de
Envío de la base
clientes que puede confidencialidad en el
de clientes con 25 X 2 3 6 Manual 1 3 3 N/A N/A N/A
ser mal utilizada contrato de prestación
factura
por el proveedor de servicios
electrónica al
proveedor para
emisión y envío
de documentos
electrónicos
Implementar
Reclamos de
Envío al courier auditorías de
clientes por no
de la base de control en el
recepción de % Tendencias y
clientes para Ejecutar auditorías de courrier y atar Mitigar
26 factura que puede X 3 2 6 Manual 2 2 4 desvíos
distribución de control al courrier su el riesgo
generar sanciones injustificados
facturas cumplimiento
por parte del ente
impresas. al pago por el
regulador
servicio
Los reclamos Desarrollar un

Alta rotación de
financieros de reporte de
ejecutivos de
clientes son Reporte de tendencias y tendencias y
servicio al cliente y % Tendencias y
Reclamos receptados a desvíos en el desvíos por Mitigar
27 retenciones, que X 2 2 4 Automático 1 2 2 desvíos
Financieros través de procesamiento de usuario del el riesgo
puede impactar en injustificados
cualquier canal ajustes financieros procesamiento
el incremento de
de comunicación de ajustes
ajustes financieros
con el cliente financieros
134
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Los reclamos
financieros son Implementar
analizados todos los casos
inicialmente por de ajuste en la
ejecutivos de Criterio erróneo en herramienta de
# de ajustes
servicio al cliente el análisis, lo que Aplicativo que valide análisis y
financieros
determinando si podría generar un automáticamente los procesamiento
ejecutados por
proceden o no. incremento en la parámetros y permita o de ajustes, con Mitigar
28 X 3 2 6 Automático 1 2 2 usuario
En caso de no cantidad y monto bloquee el el fin de el riesgo
automático / #
proceder son de ajustes procesamiento de los eliminar la
Total de ajustes
derivados a financieros de ajustes financieros posibilidad de
financieros
segunda línea e clientes que los
verificación, asesores tomen
pudiendo llegar criterios
hasta una tercera inadecuados
línea.
Desarrollar
todos los casos
de ajustes
financieros en
Matriz automatizada de
el aplicativo y
aprobación de ajustes
adecuarlos a la
financieros por monto:
matriz de
-0 a 35 USD
aprobación por # de ajustes
Ejecutivos de atención
Ajustes financieros monto financieros
Aprobación o al cliente
no autorizados que Desarrollar un ejecutados por
rechazo de -35 a 200 USD Mitigar
29 originen pérdidas X 2 2 4 Automático 1 2 2 reporte de montos
reclamos Analistas de Reclamos el riesgo
económicas a la control para incorrectos / #
financieros Financieros
compañía asegurar que Total de ajustes
-200 a 1000 USD
los ajustes financieros
Gerente de Facturación
ejecutados en
y Cobranzas
el período
-Mayor a 1000 USD
fueron
Dirección Financiera
ejecutados de
acuerdo a la
matriz de
aprobación
135
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Aplicativo para el
Acceso para la análisis y
ejecución de procesamiento
transacciones automático de ajustes
Ejecución del financieras financieros con impacto
ajuste financiero (ajustes) a directo en las
o devolución al demasiados transacciones
cliente y emisión usuarios y a todo financieras del sistema
de la nota de nivel jerárquico lo ICC , con lo cual no es
crédito que podría necesario otorgar al
incrementar el personal accesos para la
riesgo de error o ejecución de
fraude transacciones
financieras
Desarrollar
Segmentación y interface entre
formateo de la Manipulación en la sistema de # de reclamos de
base de clientes base de clientes facturación clientes por
Interface automática
facturados por facturados previo al ICC y las errores en el
para envío de la base
Institución envío al cobro a las Instituciones Mitigar cobro por envío
31 X 3 3 9 de clientes a las Automático 1 2 2
Financiera , de instituciones Financieras, el riesgo de base errónea /
Instituciones financieras
acuerdo al financieras que den con l fin de # Total de
para el cobro
formato a lo lugar a error o aplicar los reclamos de
establecido por fraude cobros clientes.
cada Banco. automáticamen
Gestión de Recaudación te
Recaudos masiva con Envío de las
Uso indebido de
y Cuentas débito bases
información de Transferencia de
por Cobrar automático segmentadas y
clientes por falta de información encriptada
formateadas a 32 X 2 3 6 Automático 1 2 2 N/A N/A N/A
seguridades en el y por medio de un sitio
cada institución
envío de la seguro (https)
Financiera para
información
el cobro.
Desarrollar
Aplicación en el # de reclamos de
Aplicación de cobros en interface entre
sistema de los Error en la clientes por
línea (Interface directa sistema de
pagos aplicación de pagos Mitigar errores en el
33 X 2 3 6 entre swicth Automático 1 3 3 facturación
confirmados por o registro de pagos el riesgo cobro / # Total
transaccional y sistema ICC y las
cada institución indebidos de reclamos de
ICC) Instituciones
financiera. clientes.
Financieras
136
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Desarrollar
interface entre
Preparación de la
Manipulación en la sistema de
base para el
base de clientes facturación # de reclamos de
envío a la Interface automática
facturados previo al ICC y las clientes por
Institución para envío de la base
envío al cobro a las Instituciones Mitigar errores en el
Financiera con el 33 X 3 3 9 de clientes a las Automático 1 2 2
instituciones Financieras, el riesgo cobro / # Total
fin de realizar Instituciones financieras
financieras que den con l fin de de reclamos de
reintentos de para el cobro
lugar a error o aplicar los clientes.
cobro a clientes
fraude cobros
impagos.
automáticamen
te
Desarrollo de
Cliente se acerca
Actualización diaria de conexiones a
a los puntos
la base de clientes para través de un
autorizados de
Cobros duplicados ejecución de intentos de switch
recaudo y realiza
por ejecución de cobro. transaccional
el pago en caso # Total de cobros
débitos automáticos con las Mitigar
de realizar el 34 X 2 2 4 Automático 1 2 2 en línea / # Total
en clientes que han Conexión para instituciones el riesgo
pago en bancos de cobros.
realizado pago por aplicación de pagos en financieras
notifica o
ventanilla línea con todas las para aplicación
confirma el
instituciones financieras de pagos en
depósito para que
y de recaudo línea en el
Recaudación este sea aplicado
sistema ICC
en
Desarrollo de
Ventanilla
conexiones a
través de un
# Reclamos por
switch
Conexión para errores o
transaccional
Aplicación del Cobros no aplicación de pagos en duplicación en
con las Mitigar
pago en el 35 aplicados o mal X 2 2 4 línea con todas las Automático 1 2 2 cobros/ # Total
instituciones el riesgo
sistema aplicados instituciones financieras de cobros
financieras
y de recaudo efectuados en el
para aplicación
período.
de pagos en
línea en el
sistema ICC
137
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Reclamos de
clientes por
mantener mensajes
de mora en su
Eliminación de Reportes periódicos
pantalla o el
OSD y/o para revisar el
servicio
reconexión de 36 X 2 2 4 funcionamiento Automático 1 2 2 N/A N/A N/A
desconectado, lo
señal de ser el adecuado del proceso
que pueden generar
caso. automático de arrears
pérdidas
económicas por
sanciones del
regulador
Definir campañas y
Auditorías
estrategias que no
sobre el
impacten
Procedimiento de cumplimiento
positivamente en el
Definir objetivos análisis para la creación del
cumplimiento de Mitigar Auditorías de
y estrategias de 37 X 2 3 6 o actualización de Manual 1 3 3 procedimiento
las metas de cobro el riesgo Procesos.
cobranza objetivos y campañas de análisis de
e incluso afecten
de cobranza objetivos y
los márgenes de
campañas de
rentabilidad
cobranza
esperados.
Proceso diario de
Bases de datos Implementar
Generar base de actualización de bases # Total de
desactualizadas o procedimiento
Gestión de datos de clientes de datos para cobranza clientes
erróneas que para la Mitigar
Cobro que requieren 38 X 2 2 4 Manual 1 2 2 contactados / #
generen generación el riesgo
gestión de Automatización para la Total de clientes
ineficiencias en la diaria de la
cobranza generación de bases e cobrados.
gestión de cobro base de datos
datos
Fallas en el
Aplicativo de
Envío automático arrears para el Reportes de control
de mensajes envío de mensajes periódicos para
OSD solicitando 39 OSD a clientes, lo X 2 3 6 asegurar el Automático 1 3 3 N/A N/A N/A
pago a todos los que puede impactar funcionamiento
clientes impagos. en la gestión de adecuado del OSD
cobranza y el nivel
de churn
138
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Desconexión Fallas en el
automática de Aplicativo de
señal a clientes arrears para la Reportes de control
impagos a los 33 desconexión del periódicos para
días de vencida servicio a clientes asegurar el
la factura (En con deuda, lo que funcionamiento
este feriado ya se puede impactar en adecuado de las
ha generado una la eficiencia de desconexiones
nueva gestión de cobranza
facturación) y el nivel de churn
Índices elevados de
no contactabilidad Implementar # de clientes
Campañas de
lo que impide campañas de Mitigar contactados / #de
41 X 3 2 4 actualización de bases Manual 3 2 6
realizar una actualización el riesgo clientes de la
de datos de clientes
adecuada gestión de datos base de cobro.
de cobranza
Gestión de
Reporte de tendencias
Recuperación Mala gestión de
de cobro por asesor con
telefónica cobranza por parte
el fin de generar
de los ejecutivos lo
retroalimentación
42 que puede impactar X 2 2 4 Manual 1 2 2 N/A N/A N/A
periódica y oportuna
en la eficiencia de
sobre técnicas y calidad
cobro y nivel de
en la llamada de
churn
cobranza
Generación de
Orden de
recupero de
equipos a los 62
días de vencida
la factura y
Implementar # Total de
Envío a un Equipos no
Proceso para cobranza procedimiento equipos
tercero de la recuperados que Mitigar
43 X 2 2 4 de equipos no Manual 1 2 2 para cobranza cobrados/ # Total
Cartera de implican pérdidas el riesgo
recuperados de equipos no de equipos por
clientes para la compañía
recuperados recuperar
desconectados y
con orden de
recupero de
equipos para
gestión de
recaudo
139
Tipo de Control
Plan de Acción
Establecimient
Tecnología de
Megaproceso
Identificados
Probabilidad
Probabilidad
Subprocesos
Información
Actividades
indicadores
tratamiento
Opción de
Controles
Inherente
Personas
Externos
Procesos
Residual
Impacto
Impacto
Eventos
Proceso
Riesgos
Riesgo
Riesgo
o de
No.
Aprobación formal
Registro de la Error en el cálculo
sobre el cálculo de
provisión para 45 de la provisión para X 1 2 2 Manual 1 2 2 N/A N/A N/A
provisión para
incobrables cuentas incobrables
incobrables
Personal no
Autorización de perfiles
Administr Creación o autorizado que
Administraci de acceso de la
ación de Actualización de ejecute cambios o
ón de Gerencia de Control
aplicación perfiles de 47 registros en el X 3 3 9 Manual 1 3 3 N/A N/A N/A
aplicación de Interno
de acceso al Sistema sistema que
ingresos Auditoría de accesos al
Ingresos de Ingresos conlleven a fraude
sistema de ingresos
o errores
140

Ca4-Unidad Didactica-Control Interno

Cargado por

Copyright:

Formatos disponibles

Ca4-Unidad Didactica-Control Interno

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ca4-Unidad Didactica-Control Interno

Cargado por

Copyright:

Formatos disponibles

UNIVERSIDAD CENTRAL DEL ECUADOR

FACULTAD DE CIENCIAS ADMINISTRATIVAS

SEMESTRE: 2021 - 2022

La alta competitividad del mercado ha impulsado a varias compañías a incursionar en la

La constante implementación y mejora tecnológica, sistemas y procesos así como las

Tomando en consideración la necesidad que ha surgido a lo largo de estos años de crear

El Control Interno contribuye a la seguridad del sistema contable que se utiliza en la

Desde tiempos remotos, el ser humano ha tenido la necesidad de controlar sus

Se dice que el control interno es una herramienta surgida de la imperiosa necesidad de

- Con la contabilidad financiera

- Con la administración financiera

1. Resolución No. JB-2005-834 de 20 de octubre del 2005 De la Gestión del Riesgo

✓ Conoce el marco conceptual y objetivos del control interno

✓ Explicar los conceptos generales y la metodología utilizada para

✓ Dotar de un marco teórico para el desarrollo del Caso de aplicación

UNIDAD No. UNO

1. CONCEPTUALIZACIÓN Y OBJETIVOS DEL CONTROL

1.1 Definición de Control Interno

1.2 Principios de Control Interno

b) Fijación de responsabilidad: Garantizar que los procedimientos inherentes al control de

La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o análisis en

• Separación de funciones de operación, custodia y registro.

1.3 Objetivos de Control Interno

El primer numeral se enfoca a los objetivos de la entidad inclusive a las metas de

Procedimientos de control: Son emitidos por la dirección y consisten en políticas y

Supervisión: Mediante un monitoreo continúo efectuado por la administración se evalúa si

Sistemas de información y comunicación: Se utilizan para identificar, procesar y

✓ Conoce los modelos de control interno (COSO, COCO, MISIL, etc.)

✓ Dotar de un marco teórico para el desarrollo del Caso de aplicación

UNIDAD No. DOS

2. MODELOS DE CONTROL INTERNO

2. Modelos de Control Interno

2.2 Modelo COSO

Se iniciará el recorrido ubicando al lector en el denominado informe COSO (Committee of

A nivel organizacional, se realza la necesidad de que la alta dirección y el resto de la

A nivel normativo, pretende plantear y normas rígidas, compuesto por mecanismos

2.2.1 Primer componente: Ambiente de Control

Ambiente de control de una empresa, es la actitud general de sus administradores y

De acuerdo a Whittington, y Pany (2005: 214), el ambiente de control “crea el tono de la

En el ambiente de control se distinguen siete factores a considerar: (1) Integridad y valores

• Integridad y valores éticos: son el resultado de las normas éticas y de conducta de

2.2.2 Segundo componente: Evaluación de los Riesgos

Todas las empresas, independientemente de su tamaño, estructura, naturaleza o clase de

2.2.3 Tercer Componente: Actividades de Control

• Revisiones de alto nivel, incluye la comparación del desempeño contra presupuestos,

1. Contabilidad separada de la custodia de los activos financieros;

2.2.4 Cuarto componente: Información y comunicación

La información y la comunicación son elementos esenciales en una estructura de control

En relación a este componente, Mantilla (2005: 71) comenta que: “… El sistema de

2.2.5 Quinto componente: Monitoreo

Las actividades de monitoreo se refieren a la evaluación continua o periódica de calidad del

El Sistema de control interno puede supervisarse mediante acciones continuas de los

2.3 Modelo COCO

El siguiente modelo a considerar es el denominado “Modelo COCO (Criteria of Control)” de

El cambio importante que plantea el Modelo Canadiense consiste en que, en lugar de

2.3.1 Primer Grupo: Propósito:

• Los objetivos deben ser comunicados.

2.3.2 Segundo grupo: Compromiso

Tercer grupo: Aptitud