FUNDAMENTOS DE CONTROL INTERNO

SEMANA 4
Tipo de controles y
análisis de riesgos al
interior de las
organizaciones

Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni 1
ESTE
utilizarDOCUMENTO
los contenidos paraCONTIENE LAdeSEMANA
fines comerciales 4
ninguna clase.
 2
ESTE DOCUMENTO CONTIENE LA SEMANA 4
ÍNDICE

TIPO DE CONTROLES Y ANÁLISIS DE RIESGOS AL INTERIOR DE LAS ORGANIZACIONES ..................... 4

OBJETIVOS ESPECÍFICOS ...................................................................................................................... 4
INTRODUCCIÓN ................................................................................................................................... 4
1. CONTEXTO GENERAL DE LA ORGANIZACIÓN .......................................................................... 4
1.1. CONTROL INTERNO EN EL ÁREA DE CAJA Y BANCOS .......................................................... 8
1.2. CONTROL INTERNO EN EL ÁREA DE EXISTENCIAS ............................................................. 12
1.3. CONTROL INTERNO DEL INMOVILIZADO MATERIAL E INMATERIAL ................................. 14
1.4. CONTROL INTERNO EN EL ÁREA PROVEEDORES Y OTRAS CUENTAS POR PAGAR ............ 16
1.5. CONTROL INTERNO DE INGRESOS/VENTAS ...................................................................... 19
1.6. CONTROL INTERNO DE COMPRAS .................................................................................... 24
1.7. CONTROL DE SISTEMAS INFORMÁTICOS .......................................................................... 28
2. ANÁLISIS DE RIESGOS EN LOS PROCESOS DE LA ORGANIZACIÓN ............................................. 31
2.1. DEFINICIÓN DE RIESGOS ................................................................................................... 31
2.2. IDENTIFICACIÓN DE RIESGOS ............................................................................................ 32
2.3. MEDICIÓN Y EVALUACIÓN DE RIESGOS ............................................................................ 33
2.3.1. MATRIZ DE RIESGOS .................................................................................................. 34
2.3.2. FORMAS DE MITIGAR LOS RIESGOS .......................................................................... 35
COMENTARIO FINAL.......................................................................................................................... 36
REFERENCIAS ..................................................................................................................................... 37

3
ESTE DOCUMENTO CONTIENE LA SEMANA 4
TIPO DE CONTROLES Y ANÁLISIS DE RIESGOS AL INTERIOR
DE LAS ORGANIZACIONES

OBJETIVOS ESPECÍFICOS
 Distinguir características y funcionamiento de los tipos de control específicos dentro de la
empresa u organización.

 Realizar análisis de riesgos en los procesos de la organización, considerando la identificación,

la medición y la evaluación de estos.

INTRODUCCIÓN
Si bien la contabilidad es una disciplina absolutamente estructurada, cuyos procesos están
sometidos al escrutinio de las prácticas generalmente aceptadas, y que los controles internos
tanto administrativos y contables tienen los mismos principios generales entre sí, no es posible
realizar una estandarización completa a estos últimos, ya que las estructuras organizacionales
suelen tener bastantes diferencias entre una empresa y otra.

Es por ese motivo que gran parte del contenido de la semana está orientado a presentar los ciclos
de información contable más comunes, generalizando respecto a los tipos de controles internos
necesarios para la ejecución exitosa de cada uno de los procesos administrativo-contables
involucrados

Por otra parte, se completa la visión entregada hasta el momento acerca del control interno,
proporcionando una visión acerca del tratamiento del riesgo, factor que en la práctica constituye
una de las razones de la existencia de los controles.

Los dos puntos anteriores son los temas que se abordan en esta unidad.

1. CONTEXTO GENERAL DE LA ORGANIZACIÓN

Se desea conocer cómo se aplican los controles internos en el contexto general de la organización.
Gran parte de los distintos elementos ya han sido revisados, por lo que ahora solamente
corresponde integrarlos.

4
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Al interior de la organización se desarrollan procesos que utilizan capital, recursos humanos,
materiales y financieros junto con tecnología, para alcanzar uno o varios objetivos relacionados
con su actividad principal, sea un proceso productivo o la generación de servicios.

Para desarrollar esos procesos de manera eficiente, la empresa se entrega alguna forma de
organización basada en el principio de la división del trabajo, que indica que es más productivo
dividir una tarea compleja en varias actividades menores, desarrolladas por grupos diferentes de
personas.

El organigrama es la mejor forma de representar gráficamente la organización del ente, ya que

permite identificar las relaciones entre procesos y las unidades funcionales que desarrollan el
proceso, además de mostrar la estructura jerárquica o líneas de mando (o supervisión) existentes.

Por su parte, el control interno corresponde a un grupo de procesos impulsados por la

administración superior, que pretenden aportar un nivel razonable de seguridad en la gestión
empresarial al prevenir errores y fraudes, proteger los activos de la entidad y dar lugar a una
mayor confiabilidad de los registros contables e información económico-financiera, a la vez que
comprobar que se están cumpliendo las normas, reglamentos y procedimientos establecidos.

Para que el control interno pueda operar correctamente requiere la existencia de una estructura
organizacional bien definida. A partir de esa estructura se elaboran los procedimientos
administrativos que permiten la captura de datos en su fuente de origen, y las etapas de
preparación, autorización, registro, archivo y seguimiento de toda la documentación (física o
electrónica) asociada a una transacción económico-financiera. Estos procedimientos se
desarrollan en todas las áreas donde se realice alguna transacción y se reflejan a través de los
respectivos ciclos de información. En la figura 1 se puede ver una representación esquemática de
estas ideas.

Cada organización tiene características propias, pero este marco general del control interno es
aplicable en cualquier empresa. Los objetivos generales se pueden abrir en objetivos un poco más
específicos, y asociarles procedimientos y controles administrativo-contables como se muestra en
la tabla 1.

Las variaciones que se pueden experimentar entre diferentes empresas corresponde a las
variaciones en sus estructuras organizacionales y procedurales, pero dado que la contabilidad se
guía por las reglas “generalmente aceptadas”, y éstas constituyen en último término un protocolo,
los procedimientos contables y sus controles no tendrán mucha variación.

Finalmente se debe indicar que la mejor forma de representar los procedimientos administrativo-
contables se encuentra en los ciclos o circuitos de información, que permiten mostrar
gráficamente las secuencias de actividades o procesos involucrados. Existe un conjunto de ciclos
de información contable que son comunes a la mayoría de las organizaciones y que aplican en
mayor o menor medida, los mismos controles específicos contables. En los siguientes puntos se
revisarán varios de esos ciclos.

5
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 1: Esquema general del control interno.

6
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 OBJETIVOS CONTROLES GENERALES
A. B. C. D. E. F. G.
Autorización Adecuado Verificación Obtención de Adecuada Salvaguardia y Operatorias
de las registro, del correcto una segregación custodia física de acuerdo a
O
transacciones clasificación e reflejo de las información de funciones de activos. políticas
B imputación transacciones exacta y fiable entre el establecidas
J del período reales a la para los personal que de la
E contable real información estados ejecuta tareas empresa.
OT generada por financieros- incompatibles
BI el sistema contables
JV 1. 1.
O
ES Adecuado Apropiada
T registro de los custodia y
I activos salvaguardia
V de los
OC registros
SO 2. 2.
N Autorización Adecuado
T
de todos los registro de los
R
C gastos pasivos,
O
OL incurridos en incluyendo
NE el período. provisiones y
TS pérdidas
O previstas.
LC 3.
EO Inclusión en
SN los registros
T
A contables de
B todos los
CL ingresos.
OE 4.
NS Elaboración
T estados
A financieros e
B informes,
L acorde con
E registros
S supervisados
y revisados.
5.
Detección
irregularidade
s, debilidades
y errores
durante el
proceso

Figura 2: Matriz de procedimientos y controles administrativo-contables más comunes. Basado en

Aguirre (1998).

7
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.1. CONTROL INTERNO EN EL ÁREA DE CAJA Y BANCOS
El área de caja y bancos es una de las más volátiles del área empresarial, debido a que se encarga
de las entradas y salidas de efectivo. El término efectivo o caja se refiere a todo el dinero, ya sea
en caja o en cuentas bancarias que posee la Organización, que genera o recibe durante un período
determinado, que se distingue por no producir ningún rendimiento y posibilita la utilización de
forma inmediata del dinero en las operaciones de la empresa. Por otra parte, cuando se incorpora
la gestión de fondos menos líquidos, como inversiones de largo plazo en el mercado financiero,
acciones emitidas, pago de dividendos, etc., se habla del área de Tesorería, por su sentido más
amplio.

Debido a sus distintas características operacionales, caja y banco se consideran por separado en
términos del control interno. La caja puede considerarse además como el denominador común al
cual se reducen el resto de los activos líquidos como son las cuentas por cobrar y los inventarios.
Las empresas poseen diferentes motivos para mantener existencias de efectivo tales como:

 Transaccional: Posibilita que la empresa realice sus operaciones ordinarias.

 Precautorio: Prevé los flujos de entrada y salida que se van a tener en la empresa en un
período dado.

En general, las entradas se producen como ingresos por ventas o cobros de operaciones ya
efectuadas, mientras que las salidas corresponden al pago de compromisos de corto plazo
(proveedores, adelanto de remuneraciones, otros). En la figura 3 se representa un ciclo genérico
de información del área tesorería, que incluye a caja y bancos.

8
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 ACTUALIZACIÓN
INGRESO
COBROS REGISTROS DE REGISTROS
BANCOS COBROS CUENTAS X
COBRAR

AUTORIZACIÓN AUTORIZACIÓN
PAGOS / REEMBOLSO
INVERSIONES CAJA

ACTUALIZACIÓN
CAJA
REGISTROS

PAGOS
CORRIENTES

ACTUALIZACIÓN
REGISTROS

Figura 3: Representación genérica del área tesorería. Reproducido de Aguirre (1998).

9
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Debido a las características enunciadas para el área caja y bancos, se requiere incorporar una
batería de controles internos. Como se indicó anteriormente, el conjunto específico de los
controles dependerá de cada organización, pero tendrán con toda seguridad los siguientes
objetivos generales de los controles del área caja y bancos:

1. Custodia y salvaguardia de los fondos depositados y recibidos (evitar robos, fraudes o

malversación de fondos).
2. Exactitud de los registros, es decir que todos los movimientos de cuentas caja y bancos
estén correctamente registrados en cuanto a valoración, naturaleza y período.
3. Segregación adecuada de funciones.
4. Operatoria conforme a las políticas y criterios establecidos.

Sin pretender entregar una lista exhaustiva de procedimientos y controles específicos, que el
alumno puede buscar en el libro guía del curso o en fuentes abiertas de la red, en la figura 4 se
indican los siguientes en relación a cada objetivo general:

10
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 4: Algunos controles específicos para el área caja y bancos. Basado en Aguirre (1998).

11
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.2. CONTROL INTERNO EN EL ÁREA DE EXISTENCIAS
Las existencias o stocks son bienes cuya característica principal es servir de regulador para otro
proceso. Están directamente asociados con el ciclo de bodega e inventarios. Puede tratarse de
materias primas, productos en proceso, productos terminados o subproductos y residuos, pero en
cualquier caso su tratamiento contable deberá pasar en algún momento por una verificación física
mediante inventario.

El tipo de control interno que se le apliquen dependerá principalmente de las características de la

empresa. Sin embargo, se puede plantear los objetivos de los controles generales más
característicos del área y enunciar alguno de los controles contables específicos que suelen ser
implementados para ayudar a alcanzar esos objetivos.

Objetivos generales de los controles del área existencias.

1. Las existencias se controlarán mediante un registro de existencias de materiales,

producción en curso y productos terminados, que a su vez se ceñirán a procedimientos
que aseguren un adecuado control contable.
2. Definición de procedimientos que confirmen la existencia física de las existencias
(verificación física mediante inventarios), así como su correspondiente contabilización en
los registros contables.
3. Las existencias estarán valorizadas de una manera adecuada, incorporando todos los
costos que corresponda y empleando políticas contables correctas.
4. El ciclo de bodega (entrada-stock-salida) funciona y actúa según los procedimientos
definidos por la organización.
5. Todas las existencias se encontrarán identificadas, protegidas y custodiadas.
6. Segregación apropiada de funciones para el cumplimiento de los objetivos del control.
7. Operatoria de acuerdo con las políticas y criterios definidos por la organización.

En la figura 5 se indican algunos de los procedimientos y controles específicos que suelen ser
utilizados para ayudar a alcanzar los objetivos generales antes enunciados.

Se debe destacar que en esta área más que en ninguna, los controles internos aplicados
dependerán del tipo de empresa y volumen de operaciones. Es por ese motivo que no se han
asociado controles específicos en relación al objetivo 7 “Operatoria de acuerdo con políticas
definidas”. Solamente como guía orientadora se puede comentar que aquí se debe incluir la
confección de manuales de operación que incluyan las normas, políticas, criterios y
procedimientos a utilizar en la gestión del área, en particular en lo referente a la toma de
inventarios, contabilización de movimientos, criterios de valorización de existencias, etc.

12
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 5: Algunos controles específicos para el área existencias. Basado en Aguirre (1998).

13
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.3. CONTROL INTERNO DEL INMOVILIZADO MATERIAL E INMATERIAL
Se utilizará indistintamente la nomenclatura de activo fijo e intangible para referirse al
inmovilizado material e inmaterial respectivamente. Para este tipo de activos se deben considerar
como objetivos generales de control interno, los siguientes:

1.- Todas las adquisiciones de activos fijos, así como las bajas, traspasos y depreciaciones estarán
debidamente autorizadas, correctamente valorizadas y registradas e imputadas en el período y
cuentas correspondientes.

2.- Los elementos del activo fijo serán especificados en un auxiliar denominado habitualmente
registro del activo fijo, donde se reflejará el costo original, la depreciación acumulada, el valor
libro actual, entre otros datos.

3.- Existencia de un control físico y una actualización de los activos fijos.

4.- Salvaguardia y custodia de los bienes y equipos capitalizados.

5.- Segregación apropiada de funciones que eviten o disminuyan la posibilidad de errores o

irregularidades.

6.- Operatoria de acuerdo con las políticas y criterios definidos por la organización.

Para ayudar a alcanzar estos objetivos, cada empresa implementará los procedimientos y
controles específicos que considere más adecuados para su situación. Algunos de ellos, los más
comunes, se muestran en la figura 6.

Siempre resulta interesante ver el desarrollo de un

mismo tema bajo distintos puntos de vista. Para el
análisis del área activo inmovilizado, se recomienda
consultar el siguiente link:

http://www.5campus.com/leccion/auditInmov/INICIO.
HTML

14
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 6: Algunos controles específicos para el área inmovilizado. Basado en Aguirre (1998).

15
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.4. CONTROL INTERNO EN EL ÁREA PROVEEDORES Y OTRAS CUENTAS
POR PAGAR
Esta área contable se refiere a los pagos que debe hacer la organización por las compras
efectuadas a sus proveedores habituales, además de las obligaciones contraídas a favor de
terceros por conceptos diferentes al abastecimiento habitual, como cuentas corrientes
comerciales, servicios contratados, órdenes de compra especiales, costos y gastos por pagar, etc.
El ciclo contable principal con el que se relaciona es el de compras y adquisisiones, que debido a su
importancia se analiza en forma independiente.

Una de las prácticas habituales en esta área es operar con proveedores establecidos y establecer
una relación de continuidad con ellos. Con este propósito se crea el registro de proveedores
donde se obtiene la información en detalle del tipo de productos que ofrece cada uno, su
capacidad técnica, su solvencia financiera, sus datos de contacto, etc. Por otra parte, dependiendo
del nivel y volumen de operaciones de la organización, podrá contar con una unidad
administrativa que centralice el proceso de compras y contrataciones con el objetivo de obtener y
negociar las mejores condiciones económicas.

Lo que se desea destacar con estas observaciones es que el tipo de control interno específico para
esta área contable depende mucho de las características de la organización. Sin embargo, al igual
que en los casos anteriores, se puede indicar algunos objetivos generales deseados para el área
proveedores y otras cuentas por pagar:

1.- Registro, clasificación y valoración oportuna y correcta de las cuentas por pagar, verificando
además que se trata de transacciones autorizadas y reales.

2.- Imputación en las cuentas apropiadas y en el período que corresponda, de todos las cuentas
por pagar a proveedores y acreedores en general.

3.- Saldos de cuentas a pagar sujetas a control de identificación, fechas de vencimientos y saldos
por pagar.

4.- Pagos efectuados a proveedores con soporte de pasivo contabilizado, reconocido y justificado.

5.- Salvaguardia y custodia de cuentas por pagar.

6.- Segregación apropiada de responsabilidades para la ejecución de procedimientos y controles

definidos.

7.- Operatoria de acuerdo con las políticas y criterios definidos por la organización.

16
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Se debe notar que al separar esta área del ciclo de compras/adquisiciones, existen una serie de
procedimientos y controles que en la práctica se deben implantar junto con el proceso de
compras, pero se colocan aquí para efectos explicatorios. En la figura 7 se presenta un esquema de
los procesos y controles que deben operar antes del registro contable de una cuenta por pagar
relacionada con proveedores o acreedores.

Figura 7: Flujo para el registro contable de una cuenta por pagar. Reproducido de Aguirre (1998).

17
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 8: Algunos controles específicos para el área proveedores y otras cuentas por pagar. Basado en
Aguirre (1998).

18
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.5. CONTROL INTERNO DE INGRESOS/VENTAS
En este ciclo se incorporan todas las funciones relacionadas con las ventas de los bienes o servicios
que constituyan el giro del negocio, recibiendo indistintamente el nombre de Ciclo de Ingresos y
Comercialización. Asimismo, se consideran las cuentas por cobrar de clientes. Al igual que en
todos los casos vistos antes, no es posible plantear un esquema de control interno específico que
sea estándar para todas las empresas, ya que finalmente todo depende de la estructura
organizacional, el tipo de negocio y su escala de operación. Se plantea entonces un esquema
genérico.

Se debe tener en cuenta que este ciclo es quizás el más importante en la empresa. Si vende poco y
no genera ingresos suficientes, la empresa irá a la quiebra. Si vende mucho y genera mucho
ingreso, conteniendo los costos, será una empresa exitosa que posiblemente buscará crecer y
diversificarse, adoptando esquemas de operación más complejos, aumentando por lo tanto su
necesidad de control interno. La cantidad de actividades comerciales y la cantidad de controles en
una empresa mediana ya es bastante grande y necesariamente el alumno interesado en el tema
deberá documentarse de otras fuentes. Aquí se entregará solamente una visión general.

La figura 9 muestra varios conceptos generales. Dependiendo del tamaño de la empresa y de su

volumen de operación, desarrollará algunas o todas las tareas de comercialización que ahí se
indican. Esas tareas terminan en actividades específicas, tales como “Emisión de Pedidos”, que
corresponde a la etapa en que se revisa un pedido u orden de compra de un cliente y se analiza si
es factible operar con él, o sea que es un cliente confiable. Si el departamento de ventas procesa y
autoriza la operación, procede a emitir el pedido (que puede ser la misma orden de compra
emitida por el cliente). Si el volumen de operaciones es alto, posiblemente se alimentará algún
“registro de pedidos pendientes a suministrar” que permitirá hacer el control correspondiente.
Ocurre lo mismo en las cuatro actividades mostradas en el diagrama, donde se muestra la
actividad y el registro asociado, que permite hacer algun control. Es importante tener en cuenta
que, tal como ocurre en varios casos, existen controles que pertenecen a otros ciclos, pero deben
estar operando efectivamente para no afectar algún control que se desarrolla en el ciclo bajo
análisis.

El diagrama muestra además los ciclos con los cuales se interrelaciona el ciclo de ingresos y ventas.
Se puede apreciar que si se trata de una empresa de “mediana” a “grande”, el ciclo de ingresos y
comercialización deberá asegurarse de que los respectivos controles funcionen bien.

Los objetivos generales más importantes del ciclo de ingresos / ventas son los siguientes:

1.- Asignación de responsabilidades y de autoridad a personas apropiadas, de acuerdo con las

políticas establecidas por la organización.
2.- Segregación de funciones en las diferentes actividades de registro de pedidos y créditos.

19
ESTE DOCUMENTO CONTIENE LA SEMANA 4
3.- Formalización y preparación de pedidos de clientes, solamente cuando exista la oportuna
aprobación de los mismos.
4.- Prestación de servicios o suministros de mercancías de manera correcta y siempre con las
autorizaciones que correspondan.
5.- Facturación de todas las entregas efectuadas, previa comprobación y aprobación de la
documentación de las mismas.
6.- Transferencias de las transacciones de ventas a los registros contables, con la adecuada
clasificación y valorización en el período.
7.- Seguimiento, control y verificación de las cuentas a cobrar.
8.- Salvaguardia y custodia de los registros de ventas.

A esos objetivos generales se le asocian diversos procedimientos y controles específicos. En las

figuras 10-a y 10-b se muestra solamente algunos de ellos, ya que debido a su gran cantidad es
imposible detallarlos todos. Queda bajo la responsabilidad de cada alumno leer el detalle en el
libro guía de la asignatura o en cualquier otra fuente disponible.

20
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 9: Actividades, registros y otros ciclos contables interrelacionados con el ciclo de
ingresos/ventas. Adaptado de Aguirre (1998)

21
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 10-a: Algunos controles específicos asociados a los objetivos generales del ciclo de
ingresos/ventas. Adaptado de Aguirre (1998)

22
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 10-b: Algunos controles específicos asociados a los objetivos generales del ciclo de
ingresos/ventas. Adaptado de Aguirre (1998

23
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.6. CONTROL INTERNO DE COMPRAS
Este ciclo abarca todo lo referente a compras de mercaderías, bienes y/o servicios requeridos por
las actividades que constituyan el giro del negocio, recibiendo indistintamente el nombre de “Ciclo
de Adquisición/Aprovisionamiento”. Además se anexan a este ciclo todos los pasivos y cuentas
por pagar que se derivan de esas adquisiciones.

El desarrollo genérico de este ciclo supone la existencia de algunas funciones o actividades que
son típicas del área de compras, así como de algunos registros también de uso común en el área.
Por otra parte, este ciclo tiene interacciones con otros ciclos. Todo lo recién expresado se muestra
esquemáticamente en la figura 11.

Finalmente en la figura 12 se muestra un resumen de objetivos generales de control interno en el

ciclo de compras, junto con los controles específicos más comunes.

Ahora que ya se ha visto someramente algunos de los

ciclos contables principales, quedan cordialmente
invitados a bajar un documento de la red, donde
podrán encontrar mayores detalles del tema.

http://fcasua.contad.unam.mx/apuntes/interiores/docs/98
/5/control_interno.pdf

(Visto el 20/03/2017)

24
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 11: Actividades, registros y ciclos contables interrelacionados con el ciclo de comrpas.
Adaptado de Aguirre (1998)

25
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 12-a: Algunos controles específicos asociados a los objetivos generales del ciclo de
compras. Adaptado de Aguirre (1998)

26
ESTE DOCUMENTO CONTIENE LA SEMANA 4
Figura 12-b: Algunos controles específicos asociados a los objetivos generales del ciclo de
compras. Adaptado de Aguirre (1998)

27
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 1.7. CONTROL DE SISTEMAS INFORMÁTICOS

La rápida evolución que han experimentado las Tecnologías de Información y Comunicación (TIC)
ha producido un impacto muy grande en las organizaciones. No es necesario ser un especialista
para comprender que el manejo de información sustentado en las TIC se ha convertido en un
campo altamente complejo. En términos de gestión resulta paradójico comprobar que uno de los
activos más valiosos de cualquier empresa, como es la información, se obtenga de manera mucho
más fácil y rápida en la actualidad, pero que al mismo tiempo los sistemas de información se
conviertan en verdaderas “cajas negras”, cuyos desarrollos y modificaciones deban ser realizados
por especialistas, muchas veces externos a la organización.

Bajo el punto de vista de control interno, es claro que los principios fundamentales de control no
varían frente al mayor desarrollo tecnológico, pero también es claro que se deben emplear otras
herramientas para ejercerlo. Para los efectos de estos apuntes se tomará en consideración una
empresa genérica, con un alto nivel de empleo de TIC, en la cual se reconocerán y describirán sus
sistemas de control informático, entendiendo que esos controles corresponden a ese nivel
superlativo y por lo tanto se deben ajustar a la realidad de otra empresa con menor desarrollo
informático.

En la práctica, una empresa con alto nivel de desarrollo informático debiera tener una gerencia de
informática totalmente consolidada, situada en un nivel organizacional tal que no lo haga
depender jerárquicamente de alguna unidad usuaria. Asimismo, la tendencia muestra que una
empresa de este tipo ya debiera haber llegado al punto de incorporar el control interno
informático y la auditoría informática en sus procesos de control. Dicho control interno es
habitualmente ejercido por alguna unidad especializada de la propia gerencia de informática.

Las funciones del control interno informático, de acuerdo a Piattini (2001, p. 28) son las
siguientes:

1. Controlar que todas las actividades se realizan cumpliendo los procedimientos y normas
fijados, evaluar su bondad y asegurarse del cumplimiento de las normas legales.
2. Asesorar sobre el cumplimiento de las normas.
3. Colaborar y apoyar el trabajo de auditoría informática, así como de las auditorías externas
al grupo.
4. Definir, implantar y ejecutar mecanismos y controles para comprobar el logro de los
grados adecuados del servicio informático. En términos concretos esto se traduce en los
siguientes controles:

28
ESTE DOCUMENTO CONTIENE LA SEMANA 4
  El cumplimiento de procedimientos, normas y controles dictados, destacando
la vigilancia sobre el control de cambios y versiones del software.
 Controles sobre producción diaria.
 Controles sobre la calidad y eficiencia del desarrollo y mantenimiento del
software y del servicio informático.
 Controles en las redes de comunicación
 Controles sobre el software de base
 Controles en los sistemas microinformáticos
 La seguridad informática
 Licencias y relaciones contractuales con terceros
 Asesorar y transmitir cultura sobre el riesgo informático.

La implantación de un sistema de controles internos informáticos se realiza a distintos niveles, ya

que las TIC se componen de distintos elementos interdependientes (entorno de red, configuración
del computador base, entorno de aplicaciones, productos y herramientas tales como software
para desarrollar programas, seguridad del computador base).

En la figura 13 se presenta un resumen genérico de los principales controles informáticos

existentes. Obviamente, la lista es muy extensa y está en continuo desarrollo, por lo que se
recomienda considerarlos solamente como una referencia. Dichos controles se muestran
agrupados por secciones funcionales.

En la red es posible encontrar distintos documentos que se

refieren a la elaboración de planes de contingencia para las
instalaciones informáticas. En particular, resulta muy interesante
revisar el documento que se indica, que destaca por el nivel de
minuciosidad en su elaboración.

http://www.conida.gob.pe/transparencia/PDF/INFO_
GEN/pc.pdf

29
ESTE DOCUMENTO CONTIENE LA SEMANA 4
1: Controles Generales 2: Controles de desarrollo, 3: Controles de explotación de
Organizativos adquisición y mantenimiento de Sistemas de Información.
sistemas de información.

- Políticas que servirán como base
para la planificación, control y
evaluación de Informática.
- Planes (Estratégico de
Información; Informático; General
de Seguridad física y lógica;
Emergencia ante Desastres).
- Estándares que regulen la
adquisición de recursos; diseño,
desarrollo, modificación y
explotación de Sistemas.
- Procedimientos que expliquen la
relación entre Informática y
unidades usuarias.
- Descripción de las funciones y
responsabilidades dentro del
Departamento con una clara
separación de las mismas.
Uso de la metodología del ciclo de
vida del desarrollo de sistemas,
que implica incorporar los
siguientes controles:
- Alta Dirección comunique
normativa para el uso de la
metodología, con revisión
periódica.
- Especificaciones del nuevo
sistema deben ser definidas por los
usuarios y quedar escritas y
aprobadas antes que comience el
proceso de desarrollo.
- Procedimientos para la definición
y documentación de
especificaciones de diseño, de
entrada, de salida, de archivos, de
procesos, etc.
- Plan Director del Proyecto,
incluyendo metodología de control
de costos.
- Planificación y Gestión de
Recursos (Presupuesto operativo
del Depto., Plan de Adquisición de
equipos y gestión de la capacidad
de los equipos).
- Controles para el uso efectivo de
recursos (calendario de carga de
trabajo; programación de personal;
mantenimiento preventivo del
material; sistema de gestión de la
biblioteca de soportes).
- Seguridad física y lógica:
* Administración y gestión
del software de seguridad.
* Control físico de acceso a
las instalaciones.
* Instalación medidas de
protección contra el fuego.
* Acceso restringido a
computadores vía password
personal.

4: Controles en aplicaciones 5: Controles específicos de ciertas

tecnologías.

- Aplicaciones deben llevar - Controles en Sistemas de Gestión

controles incorporados para
garantizar la entrada, actualización,
validez y mantenimiento completo
y exacto de los datos.
* Control de entrada de
datos: Procedimientos de
conversión y de entrada, validación
y corrección de datos.
* Control de tratamiento de
datos, para evitar el alta,
modificación o borrado de datos
que no corresponda.
* Control de salida de datos,
para el cuadre y conciliación de
salidas, gestión de errores.
de Bases de Datos.
* Instalación y Mantención
de tal manera de asegurar la
integridad del software.
* Procedimientos para la
descripción y cambio de datos así
como para el mantenimiento del
diccionario de datos.
* Controles para asegurar la
integridad de los datos, es decir
programas utilitarios que permitan
comprobar los enlaces físicos
(punteros) asociados a los datos.
- Controles en Informática
distribuida y redes.
- Controles sobre computadores
personales y redes de área local.

Figura 13: Algunos controles informáticos específicos agrupados por secciones funcionales.
Adaptado de (Piattini, 2001).
Adaptado de Piattini (2001).

30
ESTE DOCUMENTO CONTIENE LA SEMANA 4
2. ANÁLISIS DE RIESGOS EN LOS PROCESOS DE LA ORGANIZACIÓN
2.1. DEFINICIÓN DE RIESGOS
El riesgo, el peligro y la ocurrencia de incidentes son condiciones que están presentes en cualquier
actividad humana, por lo tanto, tampoco pueden faltar al interior de la organización.

La tendencia actual del control interno se está orientando a aplicar la disciplina denominada
“administración de riesgos” (o “gerencia de riesgos”), que es:
(…..) una función de muy alto nivel dentro de la organización para definir un
conjunto de estrategias que a partir de los recursos (físicos, humanos y
financieros) busca, en el corto plazo mantener la estabilidad financiera de la
empresa, protegiendo los activos e ingresos y, en el largo plazo, minimizar las
pérdidas ocasionadas por la ocurrencia de dichos riesgos (Documento Técnico
N° 70 v.2, 2016).

Esta visión está incorporada en las últimas definiciones normativas de un marco conceptual para el
control interno, donde se define además al riesgo como la posibilidad de ocurrencia de un evento
que pueda entorpecer el normal desarrollo de las funciones de la entidad y afectar el logro de sus
objetivos.

El enfoque de administración de riesgos en control

interno utiliza varios elementos provenientes de la
prevención de riesgos en el ámbito laboral, por lo que
resulta interesante comparar ambas definiciones de
riesgo.

http://prevencionar.com/2013/07/28/prevencion-
basica-diferencia-entre-incidente-peligro-y-riesgo/

31
ESTE DOCUMENTO CONTIENE LA SEMANA 4
2.2. IDENTIFICACIÓN DE RIESGOS
Corresponde al proceso de búsqueda, reconocimiento y descripción de riesgos. Comprende
identificar los riesgos que podrían impedir, degradar o demorar el cumplimiento de los objetivos
estratégicos y operativos de la organización, así como las oportunidades que puedan contribuir al
logro de los referidos objetivos. También se deben identificar señales de alerta de delitos
asociadas a los riesgos, cuando corresponda.

El proceso de identificación de riesgos no es un ejercicio trivial. Por el contrario, requiere mucha

experiencia, conocimiento del negocio y conocimiento del mercado. Generalmente se desarrolla
como una actividad colectiva en los distintos niveles de la organización. No resulta extraño que a
veces los principales aportes provengan de los trabajadores de primera línea, que son quienes
experimentan los problemas de primera mano.

Como orientación general, se debe indicar que los riesgos pueden surgir en cualquier nivel de la
organización, debido tanto a factores internos como a factores externos. Una vez identificados
estos factores se puede considerar su relevancia e importancia y, si es posible, relacionarlos con
riesgos y actividades específicas. En la figura siguiente se identifican algunos factores genéricos de
cada grupo.
Factores de riesgos internos Factores de riesgos externos

Son el conjunto de fuentes sobre las cuales la
organización tiene el control directo.
 Estrategia: segmentación de clientes
y mercados; diversificación
actividades; etc.
 Organización: renovación de
plantillas; cambios organizativos;
fusiones y adquisiciones; gobierno
corporativo; responsabilidad social
corporativa.
 Operativos: producción y
distribución; investigación, desarrollo
e innovación; capital intelectual;
sistemas de información; gestión de
residuos.
 Capital humano: cumplimiento legal,
responsabilidad de directivos,
seguridad laboral, lealtad de
empleados, productividad; retención
del talento.
Son las variables exógenas a la organización.
 Riesgos económicos: ciclos económicos en la
economía nacional y externa.
 Ambiente natural: catástrofes naturales que
puedan generar cambios en las operaciones,
reducción en la disponibilidad de materia
prima, pérdida de sistemas de información,
etc.
 Factores regulatorios: nuevos estándares,
regulaciones y leyes que impliquen cambios
en las políticas y estrategias operativas y de
reporte de la entidad.
 Operaciones extranjeras: cambios en el
gobierno o leyes de países extranjeros que
afecten a la entidad.
 Factores sociales: cambios en las necesidades
y expectativas de los clientes que puedan
afectar el desarrollo de los productos,
procesos de producción, servicio al cliente,
precios o garantías.
 Factores tecnológicos: desarrollos que
pueden afectar la disponibilidad y uso de la
información, costos de infraestructura y la
demanda de los servicios basados en la
tecnología.

32
ESTE DOCUMENTO CONTIENE LA SEMANA 4
La identificación de riesgos se debe realizar de manera metódica y sistemática, por lo tanto, uno
de sus requerimientos es la necesidad de construir formularios adecuados para recoger la
información. El diseño dependerá de las características de cada organización, pero debiera
contener al menos los campos que se muestran en el siguiente ejemplo ficticio:

PROCESO: SEGURIDAD INDUSTRIAL

OBJETIVO DEL CAUSAS RIESGO DESCRIPCIÓN EFECTOS
PROCESO (Factores (CONSECUENCIAS)
internos y
externos, agente
generador)
Entregar Cierre perimetral Robos y Sector aledaño a - Podrían entrar
seguridad a las defectuoso en sabotajes cerro no tiene extraños que
instalaciones bodega central instaladas rejas roben repuestos
industriales metálicas de críticos.
protección. En la - Podría ocurrir un
noche el sector sabotaje tal como
tiene poca incendio o
visibilidad. explosión.

2.3. MEDICIÓN Y EVALUACIÓN DE RIESGOS

Como resultado de la identificación de riesgos, debiera generarse una lista de todos los factores de
riesgos detectados, una descripción clara y comprensiva de ellos y de los efectos esperados si
llegase a ocurrir el evento, los cuales deben ser analizados y evaluados.

El análisis del riesgo busca establecer la probabilidad de ocurrencia de los riesgos y el impacto de
sus consecuencias, calificándolos con el fin de obtener información para establecer el nivel de
riesgo y las acciones que se van a implementar. El análisis del riesgo dependerá de la información
obtenida en la identificación de riesgos y la disponibilidad de datos históricos y aportes de los
empleados de la entidad.

En general, existen dos aspectos que se deben tener en cuenta en la medición y evaluación de los
riesgos identificados:

 Probabilidad: Es la posibilidad de ocurrencia del evento, expresada en alguna unidad

de medida coherente. La historia podría servir para saber si el evento ha ocurrido
anteriormente; la experiencia podrá indicar qué tan posible es que se repita la
ocurrencia. Lo más común es que finalmente se estime la probabilidad de ocurrencia
entre alta, mediana o baja y que a estos atributos se les asigne un valor coherente
para establecer un ordenamiento.

33
ESTE DOCUMENTO CONTIENE LA SEMANA 4
  Impacto: Corresponde a las consecuencias que podría ocasionar a la organización la
ocurrencia del riesgo. Se deben reflejar en una estimación de magnitud, tal como leve,
moderado o catastrófico. De esta manera se hace posible distinguir entre los riesgos
aceptables, tolerables, moderados, importantes o inaceptables y fijar las prioridades
de las acciones requeridas para su tratamiento.

La evaluación del riesgo permite comparar los resultados de la calificación, con los criterios
definidos para establecer el grado de exposición de la entidad al riesgo (es decir qué tan riesgosas
son las situaciones que se han detectado) y sobre cuáles situaciones se debe actuar en primer
lugar.

2.3.1. MATRIZ DE RIESGOS

La matriz de riesgos es la herramenta natural para representar ordenadamente la evaluación de

riesgos, ya sea de una operación, un proceso, una planta completa o una organización.

En la figura siguiente se representa una estructura de trabajo habitual para esta matriz.

Figura 14: Matriz de riesgos - Reproducido desde DAFP (Colombia, 2013).

34
ESTE DOCUMENTO CONTIENE LA SEMANA 4
En la sección vertical se representa la probabilidad. Al atributo “alta” posibilidad, es decir que
tiene una alta probabilidad de ocurrencia, se le asigna el valor “3”, el más alto de una escala
discreta de 3 valores (1, 2, 3). Se procede de manera análoga con los atributos “media” y “baja”
asignándole los valores en forma descendente.

En la sección horizontal se representa el tipo de impacto esperable si es que se llegase a concretar

la situación de riesgo. Aquí se utiliza otra escala discreta con tres valores posibles 5, 10, 20, que se
le asignan a los impactos de tipo leve, moderado y catastrófico respectivamente, en ese mismo
orden.

Por definición,la medida del riesgo corresponde al producto de la probabilidad por el valor del
impacto. Esos valores son los que se presentan en las celdas de la matriz y son los que representan
el grado de exposición al riesgo de la organización. Evidentemente, la celda que tiene un valor de
riesgo 60 requiere acción inmediata. En cambio, la celda que tiene el valor 5 representa una
situación de riesgo aceptable.

El uso de esta matriz es universal, pero la administración superior de cada organización decidirá
acerca de cuál es su zona de riesgo aceptable, importante o crítica.

Cada uno de los factores de riesgos identificados previamente deben ser pasados por esta matriz y
obtener su evaluación. La gerencia de administración de riesgos definirá sus políticas y estrategias
con base en estos análisis y resultados.

2.3.2. FORMAS DE MITIGAR LOS RIESGOS

Las formas concretas de mitigar un riesgo dependerán del tipo de organización, de las condiciones
particulares de la situación de riesgos.

En el ejemplo indicado anteriormente, la gerencia podría optar por asignar los fondos necesarios
para completar el cierre perimetral en la zona afectada, o podría decidir que hay que trasladar la
bodega a un lugar más seguro. También podría optar por cualquier solución intermedia. Lo
importante es que tiene identificada una situación de riesgo potencial sobre la que debe actuar.

Mirando desde una perspectiva general, se puede señalar que hay tres mecanismos a través de los
cuales se puede mitigar el riesgo:

1.- Bajando la probabilidad de ocurrencia del evento.

2.- Bajando el nivel de impacto en el caso de que el evento ocurriese

3.- Disminuyendo ambos factores a la vez.

Obviamente esto es consecuencia de que el riesgo corresponde al producto de la probabilidad por

el nivel de impacto.

35
ESTE DOCUMENTO CONTIENE LA SEMANA 4
COMENTARIO FINAL
Como conclusión de lo visto en esta unidad se desprende que si bien el control interno puede
adoptar múltiples formas, siempre tiene algunos principios rectores que permiten comprender su
base de funcionamiento.

Por otra parte, se ha dado un breve vistazo al tema del riesgo en los procesos administrativos y
operacionales en general. Pese a que el tema tiene muchos matices que no pueden ser explicados
en un espacio breve, debe haber quedado claro que existe una metodología para abordar ese
análisis. También debiera permanecer en la memoria que la matriz de riesgos representa una
excelente herramienta, utilizable en muchas áreas de la administración.

36
ESTE DOCUMENTO CONTIENE LA SEMANA 4
REFERENCIAS
Aguirre, J. (1998) “Control interno, áreas específicas de implantación, procedimiento y

control”. Madrid, España: Cultural de Ediciones S.A.

Departamento Administrativo de la Función Pública (DAFP). (2006) “Guía de Administración

del Riesgo”. Bogotá, Colombia

Ministerio Secretaría General de la Presidencia. (2016). Documento técnico N° 70 Versión 0.2.

Implantación, mantención y actualización del proceso de gestión de riesgos en el sector

público. Gobierno de Chile

Piattini, M. (2001). “Auditoría informática. Un enfoque práctico”. 2ª edición ampliada y

revisada. México D. F.: AlfaOmega Grupo Editor.

Schuster, J. (1992). “Control Interno”. Buenos Aires, Argentina: Ediciones Macchi.

PARA REFERENCIAR ESTE DOCUMENTO, CONSIDERE:

IACC (2017). Tipos de controles y análisis de riesgos al interior de las organizaciones. Fundamentos

de Control Interno. Semana 4.

37
ESTE DOCUMENTO CONTIENE LA SEMANA 4
 38
ESTE DOCUMENTO CONTIENE LA SEMANA 4