El mundo del control interno en las empresas y la herramienta para su gestión. Aquí encontrarás más información sobre Sistema Integral de Control Interno "SICI".
7. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
I – Sistema Integral de Control Interno – SICI
Debido a la necesidad de mantener documentado un Modelo de Control Interno (MCI) que
cumpla con todos los requerimientos exigibles en la actualidad, nos dimos a la tarea de
desarrollar un sistema para documentar Modelos de Control Interno, el cual denominamos
“Sistema Integral de Control Interno – SICI” y que fue diseñado para cumplir con las
exigencias actuales del tema.
El resultado de este trabajo fue un Sistema de Control Interno integral, completo y sencillo en
su operación.
La estructura que mantiene el SICI es la siguiente:
II – Ventajas del SICI
Algunas de sus principales ventajas, son las siguientes:
8. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
III - Características del SICI
III.1 – Técnicas
III.2 – Funcionales
Módulos que integran el Sistema Integral de Control Interno – SICI (No son módulos
bloqueantes por lo que pueden ser o no utilizados)
9. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
III.3 – Catálogos Diversos
La mayoría de los catálogos con que cuenta el sistema, son editables y pueden ser
modificados y/o agregar nuevos atributos de acuerdo con las necesidades de cada empresa, a
continuación, damos algunos ejemplos de cómo funcionan:
• Líneas de Negocio – Son definidas por cada empresa de acuerdo con sus características
y necesidades
• Pruebas de Autoevaluación – La cantidad de pruebas a realizar para cada control esta
predefinida por su frecuencia, sin embargo, son editables de acuerdo con los
requerimientos de cada empresa.
• Subprocesos – Permite la inclusión de tiempos invertidos en el desarrollo de las
actividades de cada subproceso para una o varias personas involucradas, para un
posterior costeo.
• Indicadores – Para los indicadores que se den de alta, los umbrales son definidos para
cada tipo de indicador y podrán irse ajustando de acuerdo con los resultados que se
vayan presentando en función al tiempo.
• Periodos (Indicadores / Certificación) – Son definidos y activados por los responsables
del Control Interno.
• Normatividad – Se da de alta la normativa que se desee (Leyes, circulares, regulaciones,
reglas corporativas, etc.) de acuerdo con las necesidades de cada empresa, pudiendo
ligarlas a los subprocesos dados de alta en él sistema.
• Criticidad de Riesgos – La criticidad para cada riesgo es definida por la empresa,
asignando los elementos que considere necesarios para la magnitud de impacto y su
probabilidad de ocurrencia, elementos que considera el sistema de manera automática.
• Seguridad / Roles – Permite la definición de distintos roles de acuerdo con las
necesidades de cada empresa
• Seguridad / Usuarios - Permite definir el perfil de cada usuario en función a los roles que
se identifiquen con su función, sin existir límite en el número de roles a utilizar.
Adicionalmente existe una función de solo lectura para poder asignársela a los distintos
órganos de vigilancia.
• Seguridad / Contraseñas – Permite definir los parámetros que tiene la contraseña de
acceso para cada persona en cuanto a longitud, tiempo de caducidad, intentos máximos,
reutilización, si requiere una mayúscula, si requiere un número y si se puede incluir el
nombre o apellidos del usuario.
• Matriz de Riesgos y Controles – Independientemente de los atributos para riesgos y
controles ya definidos en el sistema, existen campos adicionales para dar de alta nuevos
atributos según las necesidades de cada empresa
• Reportes – Permite filtrar los registros que se necesiten para la emisión de distintos
reportes.
10. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
IV – Principales módulos que contiene el SICI
IV.1 – Administración
Se administran todos los catálogos, seguridad y roles de usuarios, Indicadores, normatividad y
se capturan los principales elementos que intervienen en un modelo de control interno (Entidad,
Macroproceso, Proceso y Subproceso) y solo podrá tener acceso el administrador del sistema
IV.2 - Matriz de Riesgos y Controles (MRyC)
Se dan de alta todos los riesgos y controles considerando todos sus atributos, que entre otros
son:
11. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
La forma como se presenta en el sistema nos permite visualizar desde su riesgo y/o control el
diagrama de flujo, su apartado del manual, el cálculo de su indicador y el del riesgo residual, de
acuerdo con el siguiente esquema:
Como se modifica o se agrega un riesgo:
12. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
IV.3 Módulo Evaluación de Indicadores
Una vez definidos los indicadores y administrados en el módulo de administración, se determina
el indicador a dar de alta con los umbrales que a cada uno le asignó la alta dirección y se califica
cada indicador de acuerdo con su periodicidad, el cual se muestra en el siguiente esquema:
IV.4 – Módulo de Reportes
Existen diversos reportes que quedan en excel para una fácil consulta y construcción de reportes
específicos / Contiene MRyC, Flujos y Narrativas, BDEI, Indicadores, Certificación,
Reglamentación y Benchmark.
IV.5 – Módulo de Cumplimiento Regulatorio
Sirve para vigilar el cumplimiento de las diversas disposiciones oficiales a las que es acreedora
la entidad, documentando las más relevantes y relacionándolas con los subprocesos que se
hayan documentado para su vigilancia.
Las disposiciones pueden ser muy variadas, por lo que el enfoque que se le deberá dar será
sobre las que representen verdaderos riesgos para la empresa, sin perder de vista que su
cumplimiento es obligatorio. Su vigilancia deberá ser permanente para identificar nuevas
disposiciones que las distintas autoridades vayan publicando.
13. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
El esquema del módulo de Cumplimiento Regulatorio es el siguiente:
IV. 6 – Módulo de Certificación
Sirve para validar la efectividad de cada uno de los controles dados de alta en el sistema,
dejando evidenciada del procedimiento seguido en la prueba realizada y su resultado. Puede
tener pruebas del responsable, cruzadas y de Auditoria. Adicionalmente puede servir para que
la Dirección General tenga los elementos necesarios para poder opinar sobre la funcionalidad
del Modelo de Control Interno de manera integral.
14. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
El esquema del módulo de certificación es el siguiente:
15. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
IV.7 – Módulo de la Base de Errores e Incidencias
Contiene un repositorio de información de las pérdidas y/o fallas operativas que se vayan
presentando durante la operación de la empresa. Esta información cumple con lo requerido por
las distintas autoridades, y en parte por lo requerido en el Reporte R28 de la CUB. Debiera ser
alimentada principalmente por las áreas operativas y vigilada por el área de control interno. Su
información es muy importante ya que con ella se pueden llegar a elaborar modelos avanzados
para determinar un menor consumo de capital por la parte de riesgo operativo. El esquema del
módulo es el siguiente:
16. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
V – Comercialización
El Sistema Integral de Control Interno puede ser adaptable a distintos tipos de necesidades y
economías, ya que puede adquirirse como paquete completo o por módulos, de acuerdo con lo
siguiente:
V.1 – Sistema completo
Incluye todos los módulos indicados más adelante.
V.2 – Sistema Básico
Este sistema básico incluye los siguientes módulos:
V.2.1 - Administración - alta / baja / cambio de:
o Estructura (Entidades, Macroprocesos, Procesos y Subprocesos)
o Catálogos diversos
o Catálogos asociados a Riesgos
o Catálogos asociados a Controles
o Seguridad (Roles y alta de usuarios)
V.2.2 - Matriz de Riesgos y Controles
Almacena los Riesgos y Controles y califica sus atributos / Calcula la criticidad de los Riesgos
/ Indica la evidencia de cada Control / Menciona el plan de remediación para cada control en
caso de requerirse / Registra controles sobre riesgos específicos y a nivel entidad.
V.2.3 - Benchmark – (Bancos)
Quedan documentados los riesgos más comunes de la industria para poder ser consultados por
el responsable del modelo de control interno / Solo es una referencia, sin embargo, se pueden
ligarse a través de código si es que aplican.
V.2.4 - Reportes
Existen diversos reportes que quedan en excel para una fácil consulta y construcción de reportes
específicos.
V.3 – Módulos adicionales
V.3.1 – Flujos y Manuales
Almacena los diagramas de flujo y las narrativas correspondientes a los subprocesos dados de
alta en el Sistema, identificándolos por el código correspondiente.
V.3.2 - Indicadores
Se determina el indicador a dar de alta y los umbrales que a cada uno le asignará la alta dirección
/ se liga con los controles dados de alta en el SICI identificándolos con su código / se puede
controlar con un tablero de control y gráficas de calor para su reporte a la alta dirección.
En el módulo de Administración se incluye:
✓ Alta de Indicadores
✓ Definición del periodo a revisar
17. Cincinnati 81 – 705, Col.
Nochebuena, Del. Benito
Juárez, CDMX
(55) 5611-4775
044 (55) 4347-4067
www.adries.consultingjrodriguez@adries.consulting
V.3.3 - Certificación
Se identifica cada control ya sea de Procedimientos Específicos o de Marco Global dados de
alta en el SICI y se valida la efectividad de cada uno de ellos (Self assessment) dejando
evidenciada la prueba realizada y su resultado / Quedan documentadas las pruebas del
responsable, cruzadas (de otras personas), de Auditoria y de quien se decida.
En el módulo de Administración se incluye el periodo a revisar.
V.3.4 – Base de Pérdidas
Registra las posibles pérdidas operativas y su recuperación, concentrando los distintos
conceptos que las originaron. Sirve como base histórica para llegar a Modelos avanzados y base
para construir el reporte R28 de la CNBV.
En el módulo de Administración se incluyen catálogos asociados a pérdidas.
V.3.5 – Cumplimiento Regulatorio
Queda plasmada la regulación requerida y va ligando cada artículo con el subproceso que lo
está soportando.
En el módulo de Administración se incluye:
✓ Alta de Circulares aplicables a la fecha
✓ Baja / Modificación de las Circulares de referencia
Cualquier duda relacionada con el esquema de comercialización y con lo que incluye cada
módulo, con gusto lo aclararemos.