Nelva

m
HERRAMIENTA PARA EL MONITOREO DE LA IMPLEMENTACIÓN

DEL SISTEMA DE CONTROL INTERNO (SCI)
EN EMPRESAS DE LA CORPORACIÓN FONAFE
MENÚ PRINCIPAL
Introducción
Marco de aplicación
Equivalencias entre COSO I y COSO II
Entendimiento de los componentes

y Sub Componentes del SCI
Monitoreo de la Implementación del SCI
Ingreso de Datos Generales
Componente 1 : Ambiente de control
Componente 2 : Evaluación del riesgo
Componente 3 : Actividades de control Gerencial
Componente 4 : Información y Comunicación
Componente 5 : Supervisión
Resultados
Detalle de puntajes
Representación gráfica
HERRAMIENTA DE MONITOREO DE LA IMPLEMENTACIÓN DEL SCI EN LAS
EMPRESAS DE LA CORPORACIÓN FONAFE
Objetivos Generales
• Establecer y uniformizar criterios para un efectivo monitoreo y diagnóstico del
nivel de implementación del SCI en las Empresas de la Corporación FONAFE,
proporcionando al Evaluador una herramienta práctica para dicho fin.
• Asistir, de manera efectiva, a las organizaciones mediante el monitoreo y

diagnóstico del nivel de implementación del SCI. El Marco COSO hace hincapié
en el hecho de que las Empresas que cuenten con sistemas de control interno
supervisan su efectividad en el tiempo -de la misma manera que una empresa
manufacturera supervisa la efectividad continua de sus procedimientos de
producción.
• Ofrecer una orientación práctica que ilustre el nivel de la Empresa con
respecto a la implementación del SCI.
• En un sistema efectivo de control interno los cinco componentes de COSO

trabajan en conjunto ofreciendo a la Dirección y a la Gerencia una garantía
razonable con respecto a la consecución de los objetivos de la organización. El
monitoreo realizado por FONAFE a las empresas que se encuentran en su
alcance, ayuda asegurar que el SCI esté funcionando de forma efectiva.
Presentación de la herramienta
Esta herramienta facilita el monitoreo de la implementación del SCI, cuya

metodología se encuentra documentada en el documento "Metodología para el
monitoreo de la implementación del SCI en las empresas de la Corporación FONAFE".
La presente herramienta, identifica el estado de desarrollo en que se encuentran
cada uno de sus componentes del SCI, los cuales son: ambiente de control,
evaluación de riesgos, actividades de control gerencial, información y comunicación
y supervisión, los cuales interactúan entre sí para promover el logro de los objetivos
de las distintas Empresas que conforman FONAFE. Para tales efectos, se establecen
cinco posibles estados de madurez que en su orden evolutivo son: inicial, en proceso
de implementación, establecido/implementado, avanzado y optimizado.
La presente herramienta contiene las siguientes secciones:
i) Marco de aplicación
l Descripción de la información básica respecto del alcance y aplicabilidad de la
herramienta de monitoreo.
l
Objetivo.
l Alcance.
l
Estructur
a.
ii) Equivalencias
Relación entre el marco COSO I (SCI) y COSO II (Gestión Integral de
Riesgos).
iii) Marco de referencia: Sub componentes del SCI

Descripción de cada uno de los sub componentes del SCI, así como la
manera de su implementación. Se describe a su vez, las implicancias
en caso no se implemente los distintos sub componentes.
iv) Monitoreo de la implementación del SCI

Relación de las evidencias de cumplimiento de cada uno de los sub
componentes del SCI. Al lado derecho de cada evidencia, se
encuentran 5 casillas en blanco, el Evaluador deberá marcar una de
ellas con un aspa ("X") de acuerdo a los criterios de cumplimiento
señalados en la parte superior de cada una de las hojas, para de esta
forma, indicar el grado de implementación de cada sub componente.
v) Resultados
Puntaje: Resumen y detalle del puntaje obtenido respecto de cada
componente del SCI, basado en un promedio ponderado de los sub
componentes que los integran.
El peso que tiene cada uno de los componentes se ha determinado de
acuerdo a la siguiente tabla:
Informació
Evaluació Actividad de
Ambiente de ny
n de control Supervisión
control comunicaci
riesgos gerencial
ón
15% 30% 30% 15% 10%
Gráfico: Representación gráfica de los resultados obtenidos.
Menú principal
MONITOREO DE LA IMPLEMENTACIÓN DEL SCI EN LAS EMPRESAS DE
LA CORPORACIÓN FONAFE
MARCO DE APLICACIÓN
Objetivo:
Establecer y uniformizar criterios para un efectivo monitoreo y diagnóstico de
la implementación del SCI en las Empresas de la Corporación FONAFE,
proporcionando al Evaluador, la presente herramienta para dicho fin.
Alcance:
La presente metodología, permite conocer el grado de avance o
madurez de la Implementación del SCI en concordancia con el Código
Marco del Control Interno emitido por FONAFE, en el ámbito de las
empresas que se encuentran bajo el ámbito de FONAFE.
Estructura:
La presente herramienta de monitoreo de la implementación del SCI
comprende un listado de todos los sub componentes del SCI, la
evidencia de cumplimiento de cada uno de ellos y una escala del 1 al
5 que muestra la madurez en que se pueden encontrar dichas
evidencias de cumplimiento, así como cada componente COSO.
Nivel Referencia
No se ha podido comprobar la existencia de las evidencias de

0 cumplimiento del Sub Componente del SCI.
Las evidencias de cumplimiento del Sub Componente del SCI se

1 encuentran documentadas pero no aprobadas.
Las evidencias de cumplimiento del Sub Componenente del SCI se

2 encuentran documentadas y aprobadas; sin embargo, no se ha podido
comprobar su adecuada difusión.
Las evidencias de cumplimiento del Sub Componente del SCI se
encuentran documentadas, aprobadas y adecuadamente difundidas. Se
3 ha podido comprobar el conocimiento de los empleados en relación de
esta evidencia; sin embargo, no se cuenta con procesos de mejora
continua para esta evidencia.
En adición a las caracteristicas del nivel 3, se ha podido comprobar la
4 aplicación efectiva de las evidencias de cumplimiento del Sub
Componente del SCI, las mismas que han pasado por un proceso de
mejora continua.
En adición a las caracteristicas del nivel 4, se cuentan con evidencias
documentarias de instancias evaluadoras, internas y externas, de la
5 efectividad del Sub Componente del SCI. Así mismo, funciona a manera
de referente de otras Empresas de la industria.
Con la información obtenida de la evaluación de las evidencias de cada sub
componente, la presente herramienta realiza, de forma automática, un
resumen consolidado a nivel de sub componente, componente y a nivel del
SCI de la entidad asignando el nivel de implementación correspondiente de
acuerdo a los criterios descritos a continuación:
Nivel de
Referencia
Implementación
No existe evidencia suficiente de que la Empresa haya
0 Inexistente emprendido esfuerzos para la implementación del SCI.
Existe un esfuerzo aislado o inicial con respecto a la

implementación del SCI en la Empresa; se ha podido
1 Inicial evidenciar documentación de algunas evidencias de
control, sin embargo aún no han sido debidamente
aprobadas por la autoridad respectiva.
En proceso El SCI se encuentra en proceso de implementación en
de la Empresa; Algunos elementos de control interno han
2
implementaci sido formalizados; sin embargo, falta la difusión de los
ón esfuerzos de control interno realizados a las instancias
apropiadas.
El SCI ha sido implementado en la Empresa; los
Establecido / elementos de control interno se encuentran
3 Implementad documentados y han sido formalizados y difundidos a
o las instancias apropiadas de la Empresa. El SCI
funciona conforme a las necesidades de la Empresa y
el marco
El regulador.
SCI cuenta con un proceso de mejora continua; los
elementos de control interno se encuentran
documentados, formalizados y difundidos en todos los
4 Avanzado
procesos y áreas de la Empresa. Asimismo, se han
establecido procesos de mejora continua para el
oportuno ajuste y fortalecimiento permanente del SCI.
El SCI de la Empresa constituye una práctica líder en la
5 Optimizado industria, y se ha integrado de manera natural con las
operaciones de la Empresa, formando parte importante
de su cultura organizacional.
Menú principal
Relación entre el Sistema de Control Interno y la Gestión Integral de Riesgos
COSO I: SISTEMA DE COSO II: GESTIÓN INTEGRAL DE

CONTROL INTERNO RIESGOS
Ambiente de Control
Ambiente de Control
Establecimiento de Objetivos
Identificación de Riesgos
Evaluación de Riesgos Evaluación de Riesgos
Respuesta al Riesgo
Actividad de Control Actividad de Control
Información y Comunicación Información y Comunicación
Supervisión Supervisión
Menú principal
Marco de Referencia: Entendimiento de Sub Componentes del SCI
Componente 1: Ambiente de control

Sub Componente Definición Metodología de la implementación Implicancias de no implementar
l Filosofía de la Dirección l Es la actitud ejemplar que l Programando, ejecutando o l No se asume el proceso de
deben mantener el titular y los promoviendo la participación de implementación del control

funcionarios de la Empresas, todo el personal, incluido el titular, interno como una función
fomentando el respeto y en eventos de sensibilización y propia de la gestión y se
apoyo al control, actuando capacitación en temas de control confunde el concepto
siempre con transparencia y interno. tratándolo como una función
buscando el logro de los de auditoría o de control
objetivos institucionales. posterior exclusiva del
Órgano de Control
l Suscribiendo un Acta de Institucional - OCI.
Compromiso (ver Anexo Nº1:
Modelo de acta) para la l La gestión de la Empresa
implementación del Control Interno,
puede orientarse según los
por el titular y todos los
intereses políticos o
funcionarios de la Empresa.
económicos del titular de
Conformando un Comité de Control
turno.
Interno (ver Anexo Nº2: Formato de
designación de comité) liderado por
la Gerencia de la Empresa e l Los funcionarios y
integrado por los principales trabajadores no se sienten

funcionarios, así como por equipos parte del proceso de
de trabajo en todos los niveles de la implementación del control
Empresa. interno. No se fomenta el
trabajo en equipo, se genera
una estructura piramidal y se
ejecuta lo que dispone la
autoridad en función a sus
prioridades.

l Integridad y Valores Éticos l La gestión de la Empresa debe l Aprobando y divulgando un Código l Los funcionarios no tienen
distinguirse por el de Ética de la Empresa de conocimiento de los valores
cumplimiento de principios y obligatorio cumplimiento por parte institucionales y hacen suyos
valores éticos, así como la de todo el personal, incluido el los valores y principios de la
sanción oportuna de faltas y titular de la Empresa, que precise gestión de turno. Cada
delitos cometidos contra la los principios, valores éticos, funcionario o trabajador
Empresa. (Ver como referente obligaciones y prohibiciones que orienta sus acciones en base
para la elaboración del Código regulan el comportamiento de los a sus propios códigos de
de Ética, Anexo Nº3: funcionarios y servidores. conducta o prioridades
Normativa que regula la personales. Los funcionarios
actuación ética dentro de la de la Empresas hacen
función pública). referencia a la existencia de
l Suscribiendo un documento que
un Código de Ética de la
acredite el conocimiento y el función pública, pero no
compromiso de cumplimiento del conocen sus alcances ni su
Código de Ética de la Empresa, contenido (Anexo Nº4,
Reglamento Interno de Trabajo y contiene normativa que
normativa de la Empresa, regula la actuación ética
documento que debe ser adjuntado dentro de la función pública).
al legajo personal.
l
l Realizando seguimiento a los Se genera una sensación de
procesos judiciales por delitos impunidad frente a la
cometidos contra la Empresa (a comisión de delitos o faltas
cargo del Procurador Público de la administrativas en perjuicio
Empresa o Abogado responsable de de la Empresa.
los procesos judiciales).
l Cumpliendo plazos establecidos
para ejecutar sanciones que
correspondan (a cargo de las
Comisiones Especial y Permanente
de Procesos Adm. Disciplinarios de
la Empresa).
l Centralizando oportunamente las
sanciones impuestas en el área de
recursos humanos y actualizando la
información de los legajos del
personal.
Centralizando oportunamente las
Marco de Referencia: sanciones
Entendimiento impuestas
de Sub en el área de del
Componentes SCI
recursos humanos y actualizando la
información de los legajos del
personal.

l Administración Estratégica l Se refiere al hecho que la lFomentando la participación en los l No se logran objetivos de
gestión de la Empresa debe procesos de planificación mediano y largo plazo, se
orientarse en función a estratégica, en los que se haya reproduce la cultura
objetivos determinados en un realizado un análisis FODA (Ver tradicional del corto plazo y la
Plan Estratégico, el mismo que como referente el Anexo Nº4: solución de problemas del día
debe ejecutarse a través de Lineamientos para la elaboración a día. No es posible diseñar
planes operativos y del del análisis FODA), a los propios indicadores de gestión que
presupuesto anual. servidores, directivos y autoridades permitan medir resultados,
de la Empresa. Las consultorías que efectos o impactos.
sean requeridas pueden cumplir la
función de facilitación y soporte
técnico, evitando la sustitución de l La ausencia de una
roles o la elaboración de administración estratégica

instrumentos de planificación en conduce a un gobierno de
gabinete y sin contacto con la contingencias y coyunturas.
realidad.
l
Se produce ineficiencias en
l Comunicando y difundiendo entre las acciones y en la
todo el personal y de manera visible asignación presupuestaria al
a través de afiches o recordatorios, no haber propósitos definidos
la visión, misión y objetivos de mayor alcance.
estratégicos de la Empresa.
l Promoviendo la elaboración del

Plan de Desarrollo Institucional
como instrumento de planificación
estratégica de la Empresa. Este
instrumento debe nacer articulado
con el Plan de Desarrollo
Concertado y formularse para un
período de cuatro años como base.

l Estructura Organizacional l La estructura organizacional lAnalizando y actualizando de forma l La organización de la
de la Empresa y los periódica el Reglamento de Empresa y los instrumentos
documentos normativos de Organización y Funciones (ROF), la normativos de gestión no
gestión derivados de ella, estructura orgánica (Organigrama), pueden responder con
deben mantener coherencia el Cuadro Analítico de Personal efectividad a los desafíos de
respecto a la realidad y la (CAP), el Manual de Organización y la misión y propósitos
misión institucional; deben Funciones (MOF), los Manuales de institucionales.
poderse adaptar a los cambios Procedimientos (MAPRO), entre
y a los arreglos que otros documentos normativos de
contribuyan al logro de los gestión; de tal forma que reflejen l Se limita la capacidad de
objetivos institucionales. las actividades que realmente se adaptación de la Empresa

ejecutan y las que serán necesarias ante los nuevos problemas
realizar en función a la misión que surgen y ante contextos
institucional. El rediseño cambiantes. La
organizacional deberá observar la desactualización de estos
real carga de trabajo de cada área y instrumentos genera
llevar a cabo una adecuada comúnmente rutinas e inercia
segregación de funciones. en los funcionarios y
servidores de la Empresa.
l Identificando de manera progresiva

los procesos que requieren especial
atención en la Empresa, el inicio y
fin de cada proceso, sus objetivos,
sus actividades secuenciales y sus
responsables.

l Administración de Recursos l Considerando que las lNo centrando la gestión de los l El personal se encuentra
Humanos personas son el recurso más recursos humanos únicamente con desmotivado y poco
importante de las Empresas, temas de asistencia, puntualidad y comprometido con los
la gestión debe adoptar permanencia del personal; se debe propósitos institucionales.
acciones para asegurar su incorporar procedimientos
desarrollo profesional y la diferenciados para la selección,
vocación de servicio a la inducción, capacitación y otros l Las capacidades
comunidad. temas que aseguren el desarrollo profesionales se estancan o
del personal de la Empresa. se reducen en perjuicio de la
Empresa y de la calidad de
los servicios públicos que se
presta.
l Asignando, de ser el caso, un
presupuesto orientado al desarrollo l El desempeño institucional se
de las capacidades del personal o ve limitado y afectado por la
promoviendo alianzas con desactualización de los
instituciones privadas de servidores públicos o el
cooperación, universidades u desconocimiento de temas
organismos sin fines de lucro, que importantes para la gestión
permitan acceder a programas de de la Empresa.
capacitación y asistencia técnica a
bajos costos.

l Competencia Profesional l La gestión de la Empresa debe lElaborando o actualizando el diseño l Se contrata personal con un
establecer los perfiles de del Perfil de Competencias de cada perfil que no se ajusta a las
competencias profesionales de cargo de la Empresa, según el MOF; necesidades de la Empresa.
cada cargo o puesto en la estableciendo los requerimientos Esta situación desmotiva al
Empresa, considerando la técnicos necesarios y exigiendo su personal de carrera, quienes
formación profesional cumplimiento al momento de finalmente, terminan por un
necesaria, la experiencia y la contratar o designar personal. cumplimiento formal de sus
capacidad para tomar funciones.
decisiones, entre otros Se generan condiciones para
factores. actos irregulares o ilegales
debido al desconocimiento o
falta de competencias de los
funcionarios y servidores.
l Las brechas entre el perfil de

competencias y el perfil real
del funcionario que ocupa un
cargo, constituyen fuentes de
riesgos para una buena
gestión institucional y el logro
de objetivos.

l Asignación de Autoridad y l Se debe establecer lComunicando por escrito a los l Se generan actos o se toman
Responsabilidad claramente el nivel y límites nuevos funcionarios y servidores, su decisiones irregulares que
de autoridad y responsabilidad nivel de autoridad, sus funciones y afectan la legalidad de la
que le corresponde a cada responsabilidades, así como el nivel administración de la Empresa.
funcionario o servidor de la inmediato superior de quien
Empresa. dependen.
l Poca competencia para
l Definiendo claramente los niveles resolver procedimientos
de autorización de algunos procesos administrativos, así como
claves para la Empresa. indefinición en las
responsabilidades de los
funcionarios y servidores. No
se puede determinar con
l Estableciendo claramente los
claridad las responsabilidades
niveles de autorización que se tiene
de los funcionarios y
sobre determinados procesos claves
servidores ante la evidencia
(ejemplo: autorización para los
de alguna deficiencia o acto
procesos de adquisiciones, para la
ilegal. Se podría abusar de la
emisión de licencias de
autoridad asignada.
funcionamiento, para las
comisiones de servicio, para el uso
de vehículos de la Empresa, entre
otros).

l Órgano de Control Institucio l Es el Órgano encargado de lLas Empresas sujetas al Sistema l La omisión o incumplimiento
realizar el control deben contar con un OCI, cuya de la implantación e

gubernamental en la Empresa, responsabilidad de implantación e implementación del OCI
de conformidad con la Ley implementación recae en el Titular constituye infracción sujeta a
Orgánica del Sistema Nacional de la Empresa. la potestad sancionadora de
de Control y de la Contraloría la Contraloría General,
General de la República, sus conforme a lo previsto en el
normas reglamentarias, artículo 42° literal b) de la
modificatorias y Ley.
complementarias. Se ubica en
el mayor nivel jerárquico
organizacional. Depende
administrativa y
funcionalmente de la
Contraloría General de la
República.
Componente 2: Evaluación de Riesgos

l Planeamiento de la l Es la necesidad de elaborar un lDesignando un equipo de trabajo l No se conocen los riesgos
Administración de Riesgos plan para conocer los riesgos (Comité de Riesgos) integrado por potenciales, su probabilidad
que podrán afectar la gestión, funcionarios clave, capacitándolo en de ocurrencia, y el grado de
valorarlos adecuadamente y administración de riesgos y sus efectos negativos en la
adoptar acciones preventivas encargándole la elaboración de un gestión de la Empresa.
para minimizar sus posibles Plan de Administración de Riesgos,
efectos. en el cual se consignen las
La opción más apropiada en el acciones, cronograma, recursos
l No se puede planificar la
manejo de riesgos incluye necesarios y responsabilidades.
evitarlos, reducirlos, prevención y mitigación de
compartirlos y aceptarlos. estos factores.

l Identificación de Riesgos l Es el proceso por el cual se lSe debe realizar un inventario de l La Empresa queda a
toma conciencia de todos los los riesgos más significativos que expensas de los riesgos y con
eventos negativos que ha enfrentado, enfreta y pueda alta incertidumbre respecto al
enfrenta la Empresa y que enfrentar la Empresa. (Ver Anexo Nº logro de sus objetivos.
complican el cumplimiento de 5 - Principios básicos para la
objetivos. identificación de riesgos).

l Valoración de Riesgos l La valoración se define como lValorando los riesgos identificados l No se puede priorizar las
el análisis de los riesgos (estratégicos, operativos, acciones de control, al no

identificados y que son financieros, de cumplimiento y de tener una idea clara de la
relevantes para alcanzar los tecnología) en función a su magnitud de los diferentes
objetivos, y sirve como base posibilidad de ocurrencia y el nivel riesgos.
para determinar cómo se de impacto de cada uno. l Se fortalece la práctica
deben gestionar estos riesgos.
tradicional de atender las
contingencias y problemas
según vayan surgiendo.

l Respuesta al riesgo l Los medios a traves del cual la l Se debe utilizar el criterio l El cumplimiento de objetivos
organización decide gestionar profesional y medir el costo- se vuelve vulnerable por la

riesgos individuales. Las beneficio para dar una respuesta presencia de riesgos
principales respuestas son: apropiada a cada riesgo. identificados pero ante los
tolerar el riesgo; tratar el cuáles no se ha tomado
mismo reduciendo su impacto l La respuesta al riesgo debe acción alguna.
o posibilidad; transferirlo a documentarse, y ser informada a
otra organización o terminar la las personas relacionadas. l Se refuerza una cultura que
actividad que lo origina. minimiza el control
l
preventivo, distrayéndose
Disponiendo acciones de control esfuerzos y recursos en la
preventivo para minimizar los solución de los problemas
riesgos. urgentes y descuidándose los
l
Asignando una estrategia de temas importantes.
respuesta al riesgo, de acuerdo con
la prioridad o valoración otorgada al
riesgo y al apetito o tolerancia de
riesgos de la Empresa. Finalizado el l
Los riesgos potenciales son
proceso indicado, se sugiere más difíciles de manejar al
completar la Matriz de Riesgos y momento de presentarse, sus
Controles donde se consigne la efectos se producen con toda
información de este proceso (Ver su magnitud, con
Anexo Nº 6 - Ejemplo de Matriz de consecuencias negativas para
Riesgos y Controles). la gestión de la Empresa y el
logro de sus objetivos.
Componente 3: Actividades de Control Gerencial

l Procedimientos de l Se trata de establecer y l Identificando previamente los l Al no estar establecidos
Autorización y Aprobación asignar por escrito la procesos, tareas y actividades, en formalmente los
responsabilidad para autorizar el MAPRO o un instrumento procedimientos, se producen
y aprobar las tareas, equivalente. (Este instrumento desórdenes o errores en la
actividades o procesos propios debidamente concordado con el ejecución de tareas y
de la gestión de la Empresa. ROF y el MOF, establece los actividades dentro de los
procedimientos a seguir, el procesos de la Empresa.
funcionario encargado de autorizar
dicho procedimiento y el
funcionario que lo aprueba.) l Se fomenta la
discrecionalidad de los
funcionarios públicos en las
l
Elaborando este instrumento de decisiones y acciones, así
gestión de acuerdo a la realidad y como la indefinición en
tamaño de la Empresa, para lo cual cuanto a sus
se recomienda tomar como responsabilidades.
referencia los diferentes manuales a
los cuales se accede vía los
portales web de las Empresas.

l Segregación de Funciones l Consiste en distribuir l Evitando que un mismo funcionario l Surgen potenciales riesgos
funciones entre el personal de o servidor centralice varias para la gestión institucional
tal forma que el control de las funciones dentro de un mismo ya que se pueden generar
etapas clave en un proceso, proceso que puedan generar fraudes contra la Empresa por
actividad o tarea no se riesgos para la Empresa. falta de controles. Por
concentre en una sola ejemplo, si una misma
persona. persona realiza las
l Partiendo del análisis y evaluación
cotizaciones, aprueba la
de los potenciales conflictos compra y da la conformidad
funcionales o la incompatibilidad de del servicio, se corre el riesgo
funciones al momento de asignar de sobrevaluación de los
competencias para la autorización y precios y la comisión de
la aprobación en un determinado irregularidades; lo mismo
procedimiento y al momento de su sucedería si el Tesorero
formalización. (Entre las funciones realiza los registros contables,
que deben ser separadas tenemos: ya que podría incluir u omitir
la autorización, el procesamiento, la mayores ingresos o gastos;
revisión, el control, la custodia, el igualmente si la persona que
registro de operaciones, el archivo gira los cheques también
de documentación, entre otros. realiza la conciliación
bancaria, se pierde el control
(Ver un ejemplo de Matriz de de los cheques girados y
Segregación de Funciones en el podría validar salidas de
Anexo N°7, para realizar el referido dinero no autorizadas, entre
análisis). otros casos.

l Evaluación Costo-Beneficio l Se debe evaluar que la lRealizando, antes de la l Los controles implementados
implementación de un implementación de actividades y pueden resultar más costosos

procedimiento de control, sea procedimientos de control que los recursos protegidos.
factible y resulte conveniente adicionales, una evaluación de su (Por ejemplo la compra de un
en relación con el logro de los costo para evitar que sea mayor a equipo de cómputo de última
objetivos. los beneficios esperados. generación para el control de
existencias en el almacén que
solo requiere de una hoja de
cálculo, o para el control de
las Actas de Sesiones de
Concejo que sólo requiere de
un procesador de textos; la
compra de un sistema de
gestión o de administración
de colas, cuando no se
registra gran afluencia de
público).
l Los recursos no van acordes a

las necesidades. (Por
ejemplo, cuando al área de
Rentas u Obras se le asigna
una máquina obsoleta que no
soporta ningún sistema; la
carencia de un sistema
automatizado de control de
asistencia, no obstante la
gran cantidad de personal; y
la obsolescencia de un
sistema de marcación
manual.

l Controles sobre el Acceso a l Los recursos o archivos de lFormalizando procedimientos de l Los archivos y bienes de la
los Recursos y Archivos valor deben ser debidamente control y niveles de acceso a los Empresa se exponen a
custodiados, limitándose su bienes y recursos susceptibles de riesgos de pérdida, deterioro
acceso a personal autorizado mal uso, pérdida o robo. Por o sustracción. Se
y estableciendo controles para ejemplo, los niveles de acceso a los desperdician los recursos, se
su custodia. ambientes de Tesorería, Caja, deterioran los activos o se
Almacén, Archivos. hace mal uso de ellos. (Por
ejemplo, el uso de la
fotocopiadora con acceso
abierto, una camioneta
utilizada sin autorización, una
línea de teléfono sin control,
la ausencia de arqueos de
Caja Chica, el retiro de bienes
del Almacén sin un registro,
entre otros, constituyen
riesgos potenciales que
afectan a la gestión de la
Empresa.)

l Verificaciones y Conciliacion l Los funcionarios deben lDando instrucciones expresas y l Hay una alta probabilidad de
realizar acciones de formales para que los funcionarios y ocurrencia de errores u

comprobación antes, durante servidores de la Empresa realicen, omisiones en las tareas,
y después de realizar alguna como práctica saludable, la actividades y procesos.
acción o tomar una decisión. verificación y conciliación periódica (Por ejemplo, pueden surgir
Asimismo, deben comparar su de los principales procesos o diferencias en los saldos de
información con procesos clave, actividades o existencias en el Almacén, en
documentación confiable, tareas, con la finalidad de detectar Cuentas por Pagar a
sobre los procesos, posibles errores, vacíos o Proveedores, en las deudas
actividades o tareas más inconsistencias normativas para de los contribuyentes, en los
importantes de cada área de corregirlas oportunamente. saldos de Caja Chica, entre
la Empresa (Por ejemplo la otros; así como omisiones en
verificación y conciliación de la información o en la
los saldos de las cuentas atención de trámites
bancarias de la Empresa o de administrativos.) Se generan
los saldos de existencias o pérdidas o sobrecostos.
materiales en los almacenes).

l Evaluación de Desempeño l Es el proceso por el cual se l Se debe identificar el flujo del l Existe una alta probabilidad a
determinan los resultados de proceso a evaluar, para de esta no corregir errores con la
la Empresa a nivel global, lo forma, señalar la actividades debida oportunidad
que implica la combinación de críticas que deberán ser medidas. generando sobre costos y
los resultados a nivel Se medirá el desempeño de dichas reprocesos a la Empresa.
individual, de grupo y de la actividades con metas de
propia Empresa, con la desempeño previamente
finalidad de estimar el establecidas. Se identifcarán a las
desempeño institucional sobre partes responsables para informar
la base de los objetivos el desempeño actual y de ser el
previstos en los planes caso las acciones correctivas
estratégicos correspondientes.
institucionales.

l Rendición de Cuentas l Es la obligación que tiene toda lDando pautas formales a los l No se cuenta con información
autoridad, funcionario o responsables de las unidades sobre el desempeño de la

servidor público, de dar orgánicas o áreas de la Empresa gestión.
información oportuna y veraz para que se organicen y elaboren
sobre su gestión, tanto en información pertinente para las
términos de ejecución rendiciones de cuentas. Estas l No se brinda información a
presupuestal como del logro rendiciones no se limitan solo a los los usuarios
de los objetivos aspectos presupuestarios, sino que
institucionales. incluyen el reporte de los objetivos
institucionales logrados, las
acciones realizadas y los
indicadores de logro. Un espacio
conocido de rendición de cuentas es
el proceso del presupuesto
participativo. Las Empresas y sus
titulares están obligados a rendir
cuentas de acuerdo a la Resolución
de Contraloría N° 332-2007- CG.
También es una manera de
rendición de cuentas la
presentación oportuna de
información financiera y
presupuestal y la Memoria
Institucional.

l Documentación de l Es deber de toda autoridad, lDando instrucciones o pautas para l No se cuenta con
Procesos, Actividades y funcionario y servidor de la que las tareas, actividades y documentación sustentatoria
Tareas Empresa, generar, ordenar, procesos que realicen los servidores de las tareas, actividades o
preservar y presentar la y funcionarios, cuenten con procesos.
documentación sustentatoria evidencia documental a través de
de todas las tareas, informes, memorandos, u otro l Se pierde evidencia material
actividades o procesos medio similar. Evitando dar para la verificación de las

ejecutados durante su gestión. disposiciones verbales o utilizando acciones realizadas.
medios informales que no permitan
un ordenamiento o archivo.
l Se genera pérdida de tiempo
en la búsqueda de
l Promoviendo el manejo adecuado información y respaldo para
de la documentación, ordenada las acciones de control
por área y por operación, de modo posteriores. Se tiende la
que cualquier persona que requiera informalidad, autorizaciones
de la información pueda entenderla. verbales y en algunos casos
sin fecha y sin indicar el
destino. Se incrementa el
manejo discrecional, sin
registros, ni documentos que
evidencien las transacciones.

l Revisión de Procesos, l Los funcionarios deben revisar lPromoviendo y disponiendo que los l No se detectan a tiempo
Actividades y Tareas periódicamente los procesos, procesos y procedimientos deficiencias o alejamientos de
actividades y tareas ejecutados sean revisados los objetivos institucionales.
ejecutadas por su gestión a fin periódicamente para asegurar que
de asegurarse de que aportan se enmarquen dentro de la
al cumplimiento de los normativa vigente y promuevan el l Se pierde la oportunidad de
objetivos institucionales y que cumplimiento de los objetivos introducir correctivos o

se ajustan a la normativa institucionales. mejoras a las acciones que
vigente. realizan las diferentes áreas
de la Empresa.

l Controles para las l Proporcionar aseguramiento l Cumpliendo de manera gradual la l No se dará el uso correcto a
Tecnologías de la relacionado con la fiabilidad normativa emitida por la Oficina las Tecnologías de
Información y de la información y de los Nacional de Gobierno Electrónico en Información y
Comunicaciones servicios de información, lo que respecta a las TIC. Comunicaciones, no se
ayudando a mitigar los riesgos garantizará la fiabilidad de la
asociados con el uso de las l Normando los procesos de información y de los sistemas
tecnologías en las Empresas, desarrollo de sistemas y aplicativos y aplicativos informáticos, con
para lo cual se deberán informáticos y de los aspectos. el riesgo de dar un uso
establecer controles a los indebido de la base de datos
sistemas informáticos y a las e información institucional,
l Normando los aspectos más
Tecnologías de Información y exponiéndola a daños,
Comunicaciones - TICs en las importantes de seguridad de la pérdida y sustracción (Por
Empresas. información. ejemplo, cuando las claves de
acceso de usuarios del SIAF o
l Documentando el desarrollo de los el SEACE son compartidas,
sistemas y aplicativos informáticos, cuando las computadoras no
así como, los procedimientos de tienen claves de acceso,
seguridad de la información. cuando no se genera una
copia de respaldo de la
información importante).
l Asegurando que los sistemas
informáticos de las Empresas

cuenten como mínimo con usuarios
y claves de acceso.
l Asegurando que se cuente con

procedimientos de respaldo
(backup) de la información crítica
de las Empresas.
l Sensibilizando al personal de la
Empresa a través de charlas sobre
el buen uso de las TIC y sobre la
seguridad de la información.
Componente 4 : Información y Comunicación

l Funciones y características l Se sugiere que la Empresa l La información deberá estar l El hecho de no tener un
de la información tenga definido el tipo de diseñada para cada uno de los sistema de comunicación en
información que generará y niveles de Empresa, y ordenada la Empresa con las
utilizará dentro de sus para facilitar su acceso y utilización caracteristicas que se plantea
procesos, así como contar con y cubrir tanto aspectos financieros implicaría que no se
características definidas tales como de gestión. transmitirán clara y
como: Integridad, oportunamente los objetivos
Oportunidad, Actualización, l Asimismo, se podrá considerar de la Empresa, las acciones
Exactitud, Accesibilidad, algunas políticas de información correctivas, las estratégias
Certidumbre, Racionalidad, que ayudarán a la implantación del comerciales, generando un
Objetividad. presente sub componente. caos en la Empresa.

l Información y responsabilid l Mediante este sub lPara ello se sugiere aplicar las l Desconfianza y temor a
componente se determina la siguientes políticas: represalias por comunicar

relación entre información y Se enfatizará la utilización de la noticias que puedan estar
responsabilidad que el comunicación directa con el afectando el correcto
personal asumirá en su ;personal, cuando sea posible; se desarrollo de la gestión,
accionar laboral. generará un clima de confianza actitud que generará que no
mutua que permita la comunicación se tomen acciones correctivas
oportuna de buenas y malas oportunas, por
noticias propiciando una desconocimiento de las
comunicación abierta y honesta; se mismas .
procurará el ejercicio de
comunicaciones en tres direcciones
(descendente, horizontal y
ascendente); se dejará constancia
de la comunicación de los
problemas detectados.

l Calidad y suficiencia de la l Si se considera que la lPara garantizar la calidad y l Información insuficiente y de
información información constituye el suficiencia de la información, es baja calidad generará malos

activo más importante de las recomendable considerar algunos entendidos, ordenes
organizaciones, una de las lineamientos o políticas de control desvirtuadas, incumplimiento
primeras funciones debe ser que ayuden a la implantación de de objetivos y estrategias.
asegurar la calidad y cantidad esta norma.
de la misma.

l Sistemas de información l Los sistemas de información lPara ello se sugiere considerar la l La información historica no
incluyen la captura y el implementación de las siguientes será tomada en cuenta para

procesamiento de datos, así políticas de control en la gestión de la toma de decisiones,
como el intercambio oportuno los sistemas de información: Plan pudiendo repertirse eventos
de la información resultante de sistema de información; negativos sucedidos en el
de las operaciones realizadas Controles de datos fuentes, de pasado.
por la Empresa permitiendo la operación y de salida; Propiedad y
conducción y el control de su autorización de uso de información; l La información puede ser
gestión. Controles de acceso. manipulada y adulterada sin
controles de acceso a la
misma.
l Aumenta la posibilidad de que
se filtre al exterior de la
Empresa información
confidencial.

l Flexibilidad al cambio l Constantemente surgen lEn este sentido, la Alta Dirección l Tener sistemas de
cambios e innovaciones que deberá conseguir los recursos información obsoletos, no

se manifiestan a través de la tecnológicos adecuados, junto con actualizados que no permitan
creación o modificación de las personas idóneas en el manejo actuar o tomar acción ante
productos, de procesos o de éstos. Los sistemas de nuevos eventos sucitados en
servicios y de la normatividad. información que administra la la Empresa y/o en el entorno
En este sentido, nace también Empresa deberán ser adaptables a de la misma.
la necesidad de que la la Empresa.
Empresa a través de una
mayor flexibilidad y
adaptabilidad, se adecue a los
cambios.

l Archivo Institucional l Toda Empresa debe contar con l Disponiendo la implementación del l Se incrementa la
áreas de archivo debidamente Archivo Central de la Empresa, vulnerabilidad del archivo
implementadas para la dotándolo de espacio suficiente y documental, de la
conservación de toda la estantes para el ordenamiento de la información histórica y de
documentación importante, documentación y de ser posible documentos sustentatorios
según los lineamientos sistematizando la información para generada por la Empresa,
establecidos por el Archivo facilitar las búsquedas. exponiéndolos a daños,
General de la Nación. pérdidas, sustracciones o al
uso indebido.
l Contando con un software de
archivo y una directiva que defina

la periodicidad de remisión de
documentación al Archivo Central,
así como los procedimientos para la
preservación y conservación de los
documentos.
l Dotando de mobiliario seguro a las

diferentes áreas de la Empresa para
el archivo de su documentación de
uso permanente.
Dotando de mobiliario seguro a las
diferentes áreas de la Empresa para
Marco de Referencia: el archivo
Entendimiento de su Componentes
de Sub documentación de del SCI
uso permanente.

l Comunicación Interna l Es la forma en que se l Estableciendo los tipos de l No hay regulación de los
transmite y se recibe documentos que deben ser procedimientos de

información dentro de la utilizados para la comunicación comunicación interna
Empresa, tanto en forma interna horizontal o vertical al originando el uso de medios
horizontal (de un área a otra), interior de la Empresa. Para el caso indistintos, informales y de
como en forma vertical (de un se recomienda la emisión de una acuerdo a criterios del
subordinado a su superior o directiva interna en la cual se personal, funcionarios y
viceversa). Las características regule y estandarice la tipología de servidores.
del mensaje (frecuencia, documentos, formatos y uso en la
profundidad y formatos) deben comunicación interna.
adecuarse a las necesidades l La producción de la
de comunicación de la l Estableciendo líneas de información es desordenada y
Empresa. con diferentes clases de
comunicación para que el personal
pueda transmitir: a) oportunidades formatos como: el Informe, el
de mejora o, b) denuncia de Memorando, el Proveído, la
posibles actos indebidos. Ayuda Memoria, la Hoja
Informativa, todos ellos
diferentes en cuanto forma y
tipo de uso.

l Comunicación Externa l Es la forma en que se Estableciendo los tipos de
l l Se fomenta el desorden y la
transmite y se recibe documentos que deben ser discrecionalidad en el uso de

información desde y hacia utilizados para su comunicación medios de comunicación
afuera de la Empresa. externa. externa, poniendo en riesgo
l El mensaje empleado debe l Emitiendo una directiva interna que
la formalidad y protocolo que
adecuarse a las características regule los medios a utilizar para la corresponde cuando se
del receptor (ciudadano). comunicación externa de la establecen relaciones inter
Empresa (Oficios, Cartas, institucionales.
Resoluciones, etc), así como la
uniformización del formato de los
mismos.
l Regulando la atención que se brinda

a las sugerencias, quejas, reclamos
y denuncias de parte de los
usuarios de los servicios y vecinos
en general.
Regulando la atención que se brinda
a las sugerencias, quejas, reclamos
y denuncias de parte de los
usuarios de los servicios y vecinos
en general.
l Canales de Comunicación l Son medios diseñados de l Identificando canales para la l Se generan consecuencias
acuerdo con las necesidades comunicación, según el tamaño de negativas de relación debido
de la Empresa para la difusión la población, necesidades de a una deficiente
de la información. información y acceso a tecnologías. comunicación entre la
Así, se podría utilizar reuniones Empresa y la población. La
periódicas con la población; población desconoce las
utilización de paneles informativos acciones de la Empresa por lo
en lugares públicos, boletines, que la transparencia se verá
emisiones radiales, páginas web severamente afectada, dando
institucionales, etc. lugar a interpretaciones
equivocadas y pérdida de
confianza en las autoridades.
Componente 5 : Supervisión
Actividades de Prevención l Los procesos y operaciones de l Estableciendo y difundiendo l Se expone a riesgo el logro de
y Monitoreo: la Empresa deben ser políticas o directivas para la los objetivos institucionales y
monitoreados para adoptar prevención y monitoreo de los se desconoce el nivel de
acciones preventivas procesos y operaciones que realiza desempeño de las diferentes
l Prevención y Monitoreo oportunas que aseguren su la Empresa, a fin de detectar con unidades orgánicas.
idoneidad y calidad. oportunidad, distorsiones, riesgos o
problemas, que se deben corregir o
superar para el cumplimiento de
l Se pierde la oportunidad de
los objetivos.
realizar ajustes, correctivos y
mejoras a las acciones que se
l Utilizando el Plan Operativo ejecutan en el marco de la
Institucional, identificando planificación operativa y la
indicadores de logro y ejecución presupuestaria.
estableciendo la obligación de
reportes trimestrales de resultados.
Conjuntamente con la planificación
operativa, también deben l Se refuerza la práctica
monitorearse, la ejecución del tradicional de soluciones en
presupuesto participativo, la base a urgencias o de
ejecución del Plan Estratégico problemas coyunturales,
Institucional (PEI), el Plan Anual de descuidando los aspectos
Contrataciones (PAC), entre otros estratégicos más importantes
procesos. de la gestión de la Empresa.
l Haciendo seguimiento a la
implementación del Texto Único de
Procedimientos Administrativos
(TUPA) y a sus efectos en la
provisión de mejores servicios
públicos.

Seguimiento de Resultados: l Como resultado del monitoreo, lDiseñando y aprobando un l Se dificulta la implementación
los funcionarios y servidores mecanismo para que los oportuna de correctivos y

de la Empresas deben llevar funcionarios reporten o registren las mejoras adecuados en la
l Reporte de Deficiencias
un registro de las debilidades debilidades o deficiencias gestión de la Empresa.
y deficiencias detectadas a fin detectadas a nivel interno y que
de adoptar acciones puedan poner en riesgo el logro de l
Se incrementa el riesgo para
correctivas. metas y objetivos.
el logro de los objetivos.
El mecanismo puede ser vía
telefónica, correo electrónico y l Se generan
deben ser materia de análisis y
responsabilidades
revisión periódica.
administrativas en los
servidores y funcionarios que,
conociendo las deficiencias,
omiten su reporte oportuno.
Seguimiento de Resultados: l Es la adopción de acciones l Disponiendo la inmediata adopción l Las tareas, actividades y
correctivas y el seguimiento de acciones correctivas ante la procesos que desarrolla la
que debe realizarse para el detección de una deficiencia y Empresa mantienen fallas,
Implantación y
l
logro de resultados y mejoras encargando a una persona la errores y deficiencias en su
Seguimiento de Medidas
en la gestión. responsabilidad del seguimiento de ejecución, generando
Correctivas
su implementación. sobrecostos y poniendo en
riesgo el logro de las metas y
l Cumpliendo con el seguimiento e de los objetivos
implementación de institucionales.
recomendaciones provenientes de
informes de auditoría. l Se pierde la efectividad de la
retroalimentación que se
genera con el monitoreo.
l Se presentan deficiencias en
el desempeño institucional.
Anexos:
Menú principal
HERRAMIENTA DE MONITOREO DE LA IMPLEMENTACIÓN DEL SISTEMA DE CONTROL
INTERNO (SCI) EN LAS EMPRESAS DE LA CORPORACIÓN FONAFE
Datos Generales del monitoreo:

Corporación FONAF
Nombre de la Empresa a Evaluar Banco Agropecuario

Banco Ag
Sector Financieras Financieras
Cofide
Evaluador (es) del SCI
Editora P
Fecha de inicio de la evaluación
Fecha de fin de la evaluación
Menú principal
0 No se ha podido comprobar la existencia de las evidencias de cumplimiento del Sub Componente del SCI.
1 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas pero no aprobadas.
2 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas y aprobadas; sin embargo, no se ha podido
3 Las evidencias de cumplimiento del Sub Componente del SCI se encuentran documentadas, aprobadas y adecuadamente difundidas. Se
ha podido comprobar el conocimiento de los empleados en relación de esta evidencia; sin embargo, no se cuenta con procesos de mejora
4 En adición a las caracteristicas del nivel 3, se ha podido comprobar la aplicación efectiva de las evidencias de cumplimiento del Sub
Componente del SCI, las mismas que han pasado por un proceso de mejora continua.
5 En adición a las caracteristicas del nivel 4, se cuentan con evidencias documentarias de instancias evaluadoras, internas y externas, de la
efectividad del Sub Componente del SCI. Así mismo, funciona a manera de referente de otras Empresas de la industria.
Componente 1:
Nivel de Madurez
Ambiente de Control Asistente de Herramienta
Sub Componente Evidencias de Cumplimiento 0 1 2 3 4 5
l Filosofía de la Dirección l Registros de eventos de
capacitación realizados sobre X Marcación Correcta
control interno.
X Marcación Correcta
l Acta de compromiso suscrita.
l Documento de designación del X Marcación Correcta

Comité de Control Interno.
l Documento de asignación de
funciones al Comité de Control X Marcación Correcta
Interno.
l Buzón de sugerencias (activo).
l Reporte de reconocimiento a
sugerencias que hayas aportado X Marcación Correcta
valor a la Empresa.
l Canal de denuncias (activo).
l Reporte de recomendaciones del X Marcación Correcta

OCI que hayan sido
implementadas.
l Código de Gobierno Corporativo.
Sub Componente Evidencias de Cumplimiento 0 1 2 3 4 5 Asistente de Herramienta

l Integridad y Valores Éticos l Código de Ética de la Empresa
suscrito por la Alta Dirección. X Marcación Correcta
l Registros de difusión del Código

de Ética, ya sea a través de X Marcación Correcta
charlas, actas, etc.
l Registros de difusión de la Ley

de Código de Ética de la Función
Pública, ya sea a través de
charlas, actas, etc.
l Referenciar el Código de Ética en

el Reglamento Interno de
Trabajo.
l Informe periódico sobre el X Marcación Correcta
seguimiento de procesos
judiciales.
l Informe periódico sobre el
seguimiento de procesos X Marcación Correcta
administrativos.
l Inclusión de temas relacionados

a la integridad y valores éticos
en principios y políticas de RRHH X Marcación Correcta
difundidas al personal.
l Resultados de mecanismos de
protección utilizados a favor de
los empleados que denuncien X Marcación Correcta
incumplimientos del Código de
Ética.
l Registro de campañas
educativas realizadas sobre las
sanciones para los empleados
que tengan prácticas contrarias
a los principios establecidos en
el Código de Ética.
l Registro Nacional de Sanciones

de Destitución y Despido X Marcación Correcta
(completo y actualizado).
l Certificado de recepción y/o

adherencia al Código de Ética en X Marcación Correcta
una muestra de legajos del
personal.

l Administración Estratégica l Documento de aprobación y
difusión del Plan Estratégico. X Marcación Correcta
l Registros de difusión de la X Marcación Correcta

visión, misión y objetivos
estratégicos.
l Objetivos operativos y/o Plan de X Marcación Correcta
Desarrollo Institucional
aprobado.
l Registro de implementación y
evaluación de actividades
concordantes con el plan X Marcación Correcta
operativo institucional de todas
las áreas de la Empresa.
l Procedimiento documentado
acerca de los planes
estratégicos, operativos y de
contingencia que comprenden la
elaboración, conservación y
actualización de los mismos.
l Registro de la evaluación
periódica que realizan las X Marcación Correcta
unidades orgánicas de su plan
operativo.
l Se puede determinar que la

misión, visión, objetivos y metas
de la Empresa evaluada, están
alineados al Plan Estratégico
Corporativo de FONAFE.

l Estructura Organizacional l Reglamento de Organización y
Funciones actualizado (ROF). X Marcación Correcta
l Cuadro Asignación de Personal X Marcación Correcta

actualizado (CAP).
l Estructura orgánica actualizada X Marcación Correcta

(organigrama).
l Manual de Organización y X Marcación Correcta

Funciones actualizado (MOF).
l Manuales de Procedimientos X Marcación Correcta

actualizado (MAPRO).
l Relación de procesos que X Marcación Correcta

requieren especial atención de la
Empresa.
l Mapa de procesos. X Marcación Correcta

l Administración de Recursos l Actualización del Reglamento
Humanos Interno de Trabajo. X Marcación Correcta
l Asignación de partidas
presupuestarias para
capacitación.
l Plan de formación y capacitación. X Marcación Correcta
l Procedimientos documentados
para el reclutamiento, y X Marcación Correcta
contratación de personal.
de evaluación de desempeño del X Marcación Correcta
personal.
l Escala remunerativa en relación

con el cargo, funciones y X Marcación Correcta
responsabilidades asignadas.

l Competencia Profesional l MOF actualizado según el perfil
de competencias aprobado. X Marcación Correcta
l Registro de evaluación de los

perfiles del personal de la X Marcación Correcta
Empresa.

l Asignación de Autoridad y l Registros de comunicación de
Responsabilidad funciones MOF al personal. x Marcación Correcta

l Órgano de Control l Registro de oportunidades de
Institucional mejora sugeridas por el OCI. X Marcación Correcta
###
Menú principal Continuar

###
Componente 2:
Nivel de Madurez
Evaluación de Riesgos Asistente de Herramienta
l Planeamiento de la l Designación de un equipo de
###
Administración de Riesgos trabajo “Comité de Riesgos” o X Marcación Correcta
equivalente.
###
l Registro de la capacitación del
"Comité de Riesgos" de la X Marcación Correcta
Empresa.
###
l Actas de trabajo o reunión del X Marcación Correcta
"Comité de Riesgos".
###
l Linemamientos y políticas para X Marcación Correcta
la administración de riesgos
establecidos por la Dirección.
###
l Plan de Administración de
Riesgos aprobado.
Sub Componente Registro

Evidencias
de identificación
de Cumplimiento
de 0 1 2 3 4 5 Asistente de Herramienta
l Identificación de Riesgos l riesgos por objetivo de la ###
Empresa. X Marcación Correcta
###
l Inventario de riesgos a nivel X Marcación Correcta
Entidad y de procesos críticos.

l
Valoración de riesgos Criterios de evaluación de
l riesgos definidos: Probabilidad e
Impacto. ###
l Matriz de Riesgos priorizados,

sobre la base de los criterios
X Marcación Correcta ###
definidos.

l Respuesta al riesgo l ###
Estrategias de respuesta a los
riesgos definidas, según la X Marcación Correcta
###
prioridad de los riesgos.
###
l Registro (memos, politicas,
lineamientos) de controles o
acciones necesarias para X Marcación Correcta ###
afrontar los riesgos evaluados.
###

Componente 3: Actividades
Nivel de Madurez
de Control Gerencial Asistente de Herramienta
l Procedimientos de l Elaboración y aprobación del
Autorización y Aprobación MAPRO o documento X Marcación Correcta
equivalente.
l
Segregación de Funciones Tablas de niveles de autorización
l incluidas en el Manual Interno,
MOF o MAPRO; o matrices de
segregación de funciones de los
procesos clave:
- Realización de la operación X Marcación Correcta
- Actividad de control
- Custodia
- Registro de la operación
l Reporte de rotación periódica de

personal en puestos susceptibles X Marcación Correcta
a riesgo de fraude.

l Evaluación Costo-Beneficio l Aprobación de políticas o
lineamientos para la aplicación
de la evaluación costo - X Marcación Correcta
beneficio.
l Controles sobre el Acceso a l Procedimientos aprobados de
los Recursos o Archivos control de bienes y recursos.
l Tablas de niveles de acceso a los X Marcación Correcta

recursos o archivos.
l Reporte de arqueos, inventarios

u otros efectuados X Marcación Correcta
periódicamente.
l Reporte de activos expuestos a

robos o uso no autorizado y las
medidas de seguridad X Marcación Correcta
adoptadas
correspondientemente.
l Verificaciones y Conciliacion l Procedimientos aprobados de
mecanismos de conciliaciones y X Marcación Correcta
verificaciones.

l Evaluación de desempeño l Flujogramas de los procesos
donde se identifiquen las
actividades críticas a ser X Marcación Correcta
medidas y los responsables de
las mismas.
l Registro de indicadores de
desempeño para procesos,
actividades y tareas.
l Registro de la medición de X Marcación Correcta
desempeño de los procesos.
l Análisis e informe del
desempeño de los procesos
actualizado.
l Rendición de Cuentas l Registros de rendiciones de
cuentas realizadas por el
personal.
l Actas de reuniones de revisión X Marcación Correcta
de objetivos estratégicos.
l Memoria institucional.
l Información financiera y
presupuestal actualizada y X Marcación Correcta
disponible para los stakeholders.

l Documentación de l Identificación de documentación
Procesos, Actividades y de procesos (flujogramas, fichas,
Tareas narrativas, procedimientos, X Marcación Correcta
entre otros).

l Revisión de Procesos, l Registros de revisión periódica
Actividades y Tareas de procesos y procedimientos
(actas, actualización de X Marcación Correcta
documentos, etc.).

l Controles para las l Informes periódicos de
Tecnologías de la generación de claves de acceso X Marcación Correcta
Información y y archivos de respaldo.
Comunicaciones
l Tablas de niveles de acceso.
l Plan Operativo Informático de la X Marcación Correcta

Empresa.
l Plan de Contingencias del área X Marcación Correcta

de Informática.
l Informes periódicos sobre las

acciones realizadas para el X Marcación Correcta
cumplimiento de la normativa
aplicable sobre TIC.
l Informes periódicos sobre la

documentación interna emitida
por la Empresa respecto a los
procesos de desarrollo de
sistemas y aplicativos
informáticos.
l Informes periódicos sobre la
documentación interna emitida X Marcación Correcta
por la Empresa respecto a los
aspectos de seguridad de la
información.
l Informes periódicos relacionados
a la gestión de los usuarios y
claves de acceso.
l Informes periódicos relacionados X Marcación Correcta

a los procedimientos de respaldo
de la información.
l Informes periódicos relacionados

sobre la sensibilización y
conciencia del personal de la
Empresa en cuanto al buen uso
de las TICs y seguridad de la
información.
l Reporte de verificación de
licencias y autorizaciones de uso X Marcación Correcta
de los programas informáticos
de la Empresa.
l Reporte de los nuevos productos

ingresados a desarrollo así como X Marcación Correcta
de las modificaciones de los
existentes.

###
Componente 4 :
Información y Nivel de Madurez
Comunicación Asistente de Herramienta
l Funciones y características l Inventario de reportes clave
de la información generados en la Empresa,
clasificación y niveles para el
acceso a la misma. X Marcación Correcta

l Información y l Políticas y procedimientos que
responsabilidad garantizan el adecuado
suministro de información al
personal de la Empresa para el X Marcación Correcta
cumplimiento de sus funciones y
responsabilidades.

l Calidad y suficiencia de la l Registro de los mecanismos
información diseñados, evaluados e
implementados para asegurar la
calidad y suficiencia de la X Marcación Correcta
información.

l Sistemas de información l Registro de la solicitud de
opiniones a los usuarios sobre el
sistema de información y la X Marcación Correcta
puesta en acción de mejoras
sugeridas.
l Flexibilidad al cambio l Documentación sobre la revisión
y/o rediseño periódico de los
sistemas de información. X Marcación Correcta

l Archivo Institucional l Incorporación de las funciones
de Archivo en documentos de X Marcación Correcta
gestión, tales como ROF, MOF.
l
Registro de asignación de X Marcación Correcta
mobiliario.
de administración de archivo X Marcación Correcta
institucional.

l Comunicación Interna l Tablas aprobadas de tipos de
documentos de comunicación
interna y de los niveles de X Marcación Correcta
emisión responsables, ya sea
por Directiva, Manual Interno, o
equivalentes.
l Mecanismos y procedimientos
para la denuncia de actos X Marcación Correcta
indebidos por parte del personal.

l Comunicación Externa l Tablas aprobadas de tipos de
documentos de comunicación
externa y de los niveles de X Marcación Correcta
emisión responsables, ya sea
por Directiva, Manual Interno, o
equivalentes.
l Política y procedimiento para
actualizar el portal de
transparencia de la Empresa.
l Mecanismos y procedimientos
para asegurar la adecuada
atención de los requerimientos X Marcación Correcta
externos de información (Ley de
Transparencia y Acceso a la
Información Pública).

l Canales de Comunicación l Documento de establecimiento
de canales de comunicación con
la población: correo electrónico, X Marcación Correcta
murales, boletines, etc.
###
###
Componente 5 : Supervisión Nivel de Madurez

Asistente de Herramienta
Actividades de Prevención y l Registros de revisión periódica
Monitoreo: de procesos y procedimientos X Marcación Correcta
(actas, actualización de
l Prevención y Monitoreo documentos, etc).
Actas de revisión de avance de
ejecución de Plan Estratégico
(objetivos, indicadores
estratégicos, etc), y X Marcación Correcta
capacitaciones preventivas en
relación al control interno.

Seguimiento de Resultados: l Formato aprobado para el
registro de Deficiencias.
l Reporte de Deficiencias
l Registro de deficiencias X Marcación Correcta
reportadas por el personal.
l Registros de capacitación al
personal sobre reporte de X Marcación Correcta
deficiencias.

Seguimiento de Resultados: l Registros de evaluación de Marcar con una X de acuerdo a los
eficacia de acciones correctivas criterios establecidos
dispuestas.
l Implantación y Seguimiento
de Medidas Correctivas l Registros de seguimiento de
recomendaciones de auditoría.
###
Menú principal Puntuación Evaluación incompleta

###
Resultados del Monitoreo de la Implementación del SCI en la Empresa
Banco Agropecuario
Resumen Parcial
Nivel de Implementación del SCI 0.74 Inexistente

Ambiente de control 0.54
Evaluación de Riesgos 0.30
Actividades de control 1.06
Información y Comunicación 0.93
Supervisión 1.11
DETALLE DEL PUNTAJE OBTENIDO
NIVEL DE IMPLEMENTACION DEL SISTEMA DE CONTROL INTERNO 0.74 Inexistente ATENCIÓN MÁXIMA ATENCIÓN MEDIA ATENCIÓN LEVE
Sección 1 — AMBIENTE DE CONTROL 0.54 Inexistente Sección 1 — AMBIENTE DE CONTROL
1.1 - Filosofía de la Dirección 0.44 Inexistente 1.1 - Filosofía de la Dirección

1.2 - Integridad y valores éticos 0.55 Inexistente 1.2 - Integridad y valores éticos
1.3 - Administración Estratégica 0.57 Inexistente 1.3 - Administración Estratégica
1.4 - Estructura organizacional 0.29 Inexistente 1.4 - Estructura organizacional
1.5 - Administración de Recursos Humanos 0.50 Inexistente 1.5 - Administración de Recursos Humanos
1.6 - Competencia profesional 1.00 Inicial 1.6 - Competencia profesional
1.7 - Asignación de autoridad y responsabilidad 0.00 Inexistente 1.7 - Asignación de autoridad y responsabilidad
1.8 - Órgano de Control Institucional 1.00 Inicial 1.8 - Órgano de Control Institucional
Sección 2 — EVALUACIÓN DE RIESGOS 0.30 Inexistente Sección 2 — EVALUACIÓN DE RIESGOS
2.1 - Planeamiento de Administración de Riesgos 0.20 Inexistente 2.1 - Planeamiento de Administración de Riesgos
2.2 - Identificación de Riesgos 0.00 Inexistente 2.2 - Identificación de Riesgos
2.3 - Valoración de Riesgos 1.00 Inicial 2.3 - Valoración de Riesgos
2.4 - Respuesta al riesgo 0.00 Inexistente 2.4 - Respuesta al riesgo
Sección 3 — ACTIVIDADES DE CONTROL GERENCIAL 1.06 Inexistente Sección 3 — ACTIVIDADES DE CONTROL GERENCIAL
3.1 - Procedimiento de Autorización y Aprobación 2.00 En proceso de implementación 3.1 - Procedimiento de Autorización y Aprobación
3.2 - Segregación de Funciones 2.00 En proceso de implementación 3.2 - Segregación de Funciones
3.3 - Evaluación Costo - Beneficio 2.00 En proceso de implementación 3.3 - Evaluación Costo - Beneficio
3.4 - Controles sobre el acceso a los recursos o archivos 2.00 En proceso de implementación 3.4 - Controles sobre el acceso a los recursos o archivos
3.5 - Verificación y conciliaciones 0.00 Inexistente 3.5 - Verificación y conciliaciones
3.6 - Evaluación de desempeño 0.00 Inexistente 3.6 - Evaluación de desempeño
3.7 - Rendición de cuentas 0.50 Inexistente 3.7 - Rendición de cuentas
3.8 - Documentación de procesos, actividades y tareas 0.00 Inexistente 3.8 - Documentación de procesos, actividades y tareas
3.9 - Revisión de procesos, actividades y tareas 1.00 Inicial 3.9 - Revisión de procesos, actividades y tareas
3.10 - Controles para las tecnologías de Información y comunicaciones 1.08 Inicial 3.10 - Controles para las tecnologías de Información y comunicaciones
Sección 4 — INFORMACIÓN Y COMUNICACIÓN 0.93 Inexistente Sección 4 — INFORMACIÓN Y COMUNICACIÓN
4.1 - Funciones y características de la información 1.00 Inicial 4.1 - Funciones y características de la información
4.2 - Información y responsabilidad 1.00 Inicial 4.2 - Información y responsabilidad
4.3 - Calidad y suficiencia de la información 1.00 Inicial 4.3 - Calidad y suficiencia de la información
4.4 - Sistemas de información 2.00 En proceso de implementación 4.4 - Sistemas de información
4.5 - Flexibilidad al cambio 1.00 Inicial 4.5 - Flexibilidad al cambio
4.6 - Archivo institucional 1.33 Inicial 4.6 - Archivo institucional
4.7 - Comunicación interna 0.00 Inexistente 4.7 - Comunicación interna
4.8 - Comunicación externa 1.00 Inicial 4.8 - Comunicación externa
4.9 - Canales de comunicación 0.00 Inexistente 4.9 - Canales de comunicación
Sección 5 — SUPERVISIÓN 1.11 Inicial Sección 5 — SUPERVISIÓN
5.1 - Actividades de prevención y monitoreo 1.00 Inicial 5.1 - Actividades de prevención y monitoreo
5.2 - Seguimiento de resultados 1.33 Inicial 5.2 - Seguimiento de resultados
5.3 - Compromiso de mejoramiento 1.00 Inicial 5.3 - Compromiso de mejoramiento
* Nota: Las normas de los componentes del SCI cuya calificación sea Avanzado u Optimizado solo requieren de un monitoreo periódico.
Menú principal Gráfico

Monitoreo de la Implementación del SCI en la empresa
Banco Agropecuario
REPRESENTACIÓN GRÁFICA DE RESULTADOS
Nivel de Implementación del SCI 0.74 Inexistente
Componente Puntaje Sub Comp 1 Sub Comp 2 Sub Comp 3 Sub Comp 4 Sub Comp 5 Sub Comp 6 Sub Comp 7 Sub Comp 8 Sub Comp 9 Sub Comp 10
Ambiente de control 0.54 0.44 0.55 0.57 0.29 0.50 1.00 0.00 1.00
Evaluación de riesgos 0.30 0.20 0.00 1.00 0.00
Actividades de control gerencial 1.06 2.00 2.00 2.00 2.00 0.00 0.00 0.50 0.00 1.00 1.08
Información y Comunicación 0.93 1.00 1.00 1.00 2.00 1.00 1.33 0.00 1.00 0.00
Supervisión 1.11 1.00 1.33 1.00
Nivel de implementación del SCI por componente

Nivel del SCI en la entidad evaluada
5.00
Ambiente de control
5.00
Supervisión Evaluación de riesgos
0.00
0.00
Información y Comunicación Actividades de control gerencial
Menú principal Detalle de puntajes

Nelva

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Nelva

Uploaded by

Copyright:

Available Formats

m

HERRAMIENTA PARA EL MONITOREO DE LA IMPLEMENTACIÓN

Equivalencias entre COSO I y COSO II

Entendimiento de los componentes

Monitoreo de la Implementación del SCI

Ingreso de Datos Generales

Componente 1 : Ambiente de control

Componente 2 : Evaluación del riesgo

Componente 3 : Actividades de control Gerencial

Componente 4 : Información y Comunicación

• Asistir, de manera efectiva, a las organizaciones mediante el monitoreo y

• En un sistema efectivo de control interno los cinco componentes de COSO

Esta herramienta facilita el monitoreo de la implementación del SCI, cuya

La presente herramienta contiene las siguientes secciones:

iii) Marco de referencia: Sub componentes del SCI

iv) Monitoreo de la implementación del SCI

Gráfico: Representación gráfica de los resultados obtenidos.

No se ha podido comprobar la existencia de las evidencias de

Las evidencias de cumplimiento del Sub Componente del SCI se

Las evidencias de cumplimiento del Sub Componenente del SCI se

Existe un esfuerzo aislado o inicial con respecto a la

COSO I: SISTEMA DE COSO II: GESTIÓN INTEGRAL DE

Evaluación de Riesgos Evaluación de Riesgos

Actividad de Control Actividad de Control

Información y Comunicación Información y Comunicación

Componente 1: Ambiente de control

deben mantener el titular y los promoviendo la participación de implementación del control

integrado por los principales trabajadores no se sienten

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

roles o la elaboración de administración estratégica

l Promoviendo la elaboración del

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

objetivos institucionales. las actividades que realmente se adaptación de la Empresa

l Identificando de manera progresiva

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

l Las brechas entre el perfil de

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

realizar el control deben contar con un OCI, cuya de la implantación e

Componente 2: Evaluación de Riesgos

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

el análisis de los riesgos (estratégicos, operativos, acciones de control, al no

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

organización decide gestionar profesional y medir el costo- se vuelve vulnerable por la

Componente 3: Actividades de Control Gerencial

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

implementación de un implementación de actividades y pueden resultar más costosos

l Los recursos no van acordes a

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

realizar acciones de formales para que los funcionarios y ocurrencia de errores u

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

autoridad, funcionario o responsables de las unidades sobre el desempeño de la

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

actividades o procesos medio similar. Evitando dar para la verificación de las

Sub Componente Definición Metodología de la implementación Implicancias de no implementar

objetivos institucionales y que cumplimiento de los objetivos introducir correctivos o

Sub Componente Definición Metodología de la implementación Implicancias de no implementar