3. Sección 1: Importancia de la Gestión de Riesgo y el
Control Interno
• Es importante que la gestión de riesgo y el control interno sean vistos como una
oportunidad de alcanzar metas y reducir pérdidas.
• El rol de los controles internos es el de gestionar el riesgo adecuadamente y no el de
eliminarlo.
• El riesgo se manifiesta de diferentes formas y su impacto puede ser tanto negativo como
positivo para la organización.
• El control interno es uno de los principales métodos de gestionar el riesgo. Otras formas de
hacerlo incluyen:
– Transferir el riesgo a una tercera entidad.
– Compartir el riesgo
– Salir de actividades con riesgos inaceptables.
• Un exitoso sistema de control interno debe poder responder a los cambios internos y
externos de la organización. Para lograr esto, una buena gestión de riesgo y controles
internos dependen de evaluaciones constantes del tipo y tamaño de riesgo y de los recursos
disponibles para gestionarlos.
4. Sección 2: Identificación y Evaluación de Riesgo
• Los principales riesgos incluyen aquellos que amenazan la sobrevivencia de la organización
o fuertemente la debilitan, junto con el riesgo de perder oportunidades importantes.
• Existen varias técnicas para identificar riesgos. Algunas utilizan detalle y cuantificación y
otras están basadas en supuestos o son cualitativas.
• No todos los controles internos son necesario, especialmente si el costo de administrar el
control interno es más alto que el beneficio que ofrece y/o paraliza la organización en vez
de apoyarla hacia adelante.
• Por cada riesgo identificado, se le debe asignar un valor de criterio sobre el impacto
financiero y no-financiero que tendría si fuese a ocurrir y con qué frecuencia.
• Sin importar la técnica utilizada, la organización debería:
– Utilizar un formato de análisis bien definido
– Evaluar la probabilidad de que un riesgo ocurra y su nivel de impacto.
– Efectuar un análisis de causa para identificar la causa raíz del riesgo.
5. Sección 3: Responsabilidad de Revisar la Eficacia del
Control Interno
• La Junta Directiva es fundamentalmente la responsable del sistema de control interno.
• La Junta normalmente delega las siguientes labores a la gerencia:
– El establecimiento de un sistema de control interno.
– Su funcionamiento
– Su monitoreo
– Su fortalecimiento
• La Junta Directiva no puede delegar su responsabilidad de revisar la eficacia del control
interno. Por esta razón, la Junta debe establecer políticas y asegurarse que:
– el sistema de control interno es efectivo en reducir riesgos a un nivel aceptable.
– los procedimientos están funcionando eficazmente para monitorear el riesgo
• La Junta Directiva no es la única responsable por el sistema de control interno de la IMF.
También son responsables:
– Todos los empleados son responsables de implementar las políticas y procedimientos aprobados por la
Junta Directiva.
– Los jefes departamentales (y las unidades de control si estas existen en la IMF) son responsables de la
supervisión del cumplimiento del control interno.
6. Sección 4: Los 5 Componentes del Control Interno
• De acuerdo al marco de COSO, el control interno consta de 5 componentes, los cuales están
relacionados entre sí:
– Ambiente de Control.
– Evaluación de Riesgos.
– Actividades de Control.
– Información y Comunicación.
– Supervisión y Monitoreo.
• El ambiente de control consiste en el establecimiento de un entorno donde se estimule e
influencie al personal con respecto a sus actividades de control interno y está compuesto
por estos 5 principios:
– Integridad y Valores éticos
– Atención y Dirección de la Junta Directiva.
– Estructura de la Organización y Asignación de Autoridad y Responsabilidad
– Compromiso a la Idoneidad y políticas y prácticas de Recursos Humanos.
– Filosofía y Estilo de Gestión
7. Sección 4: Los 5 Componentes del Control Interno
• La evaluación de riesgos consiste en la identificación y análisis de riesgos relevantes para el logro de
los objetivos organizacionales.
– Debido al constante cambio de la economía, la industria, las condiciones reglamentarias, legales y
operativas, se necesitan mecanismos que identifiquen y gestionen estos riesgos.
• Las Actividades de Control son las políticas y los procedimientos que ayudan a asegurar que las
directivas de la gerencia son llevadas a cabo. Actividades de control existen en toda la organización,
en todos los niveles y en todas las funciones.
– Incluyen una serie de actividades diversas como aprobaciones, autorizaciones, verificaciones, conciliaciones,
revisiones de desempeño operativo, seguridad de activos y segregación de funciones.
• La comunicación debe fluir a través de toda la organización. Todo el personal debe recibir un
mensaje claro de la gerencia y estar concientizados de su propio rol, así también como entender que
sus actividades están interrelacionadas con el trabajo de otros.
– Es necesario que haya una comunicación efectiva tanto con los supervisores y gerentes de la organización
como también con las partes externas, tales como los clientes, los proveedores, los entes reguladores, etc.
• Los controles internos deben ser monitoreados y supervisados para evaluar la eficacia del sistema.
Esto se logra a través de actividades de monitoreo continuo, evaluaciones previstas y/o no previstas.
8. Sección 5: Los 5 Principios del Ambiente de Control
• Evidencia de honestidad día a día y de que altos valores éticos existen, son eficazmente
comunicados y puestos en vigencia incrementa la confianza en el diseño, ejecución y
monitoreo de los controles internos.
• La medida en la cual los directores de la Junta se involucran en la organización depende, en
cierta medida, en la legislación o códigos de prácticas que establece la ley.
– No obstante, los directores deben insistir en monitorear las actividades de control sea a través de la
recepción y revisión de informes o trabajando al lado de los empleados
• La estructura de la organización establece un marco en el cual la organización planea, ejecuta,
controla y monitorea sus actividades. Dentro de este marco, la organización debe asegurarse que:
– las cadenas de mandos, niveles de jerarquía y de autorización estén claramente definidos
– cada individuo este consciente de sus responsabilidades y de cómo sus acciones se interrelacionan con
las acciones de otros y contribuyen a los objetivos de toda la organización.
– cada individuo reciba los recursos necesarios para poder llevar a cabo sus responsabilidades.
9. Sección 5: Los 5 Principios del Ambiente de Control
• Entre las áreas más importantes de tomar en consideración dentro del compromiso a la idoneidad y
políticas y prácticas de Recursos Humanos se encuentran:
– Reclutamiento de individuos basado en un criterio ya establecido.
– Proceso de inducción para los nuevos empleados.
– Cursos de capacitación, apoyo y tutoría constante.
– Evaluación formal del desempeño del empleado basado en criterios estandarizados y monitoreo y retroalimentación
constante sobre el desempeño y necesidades de desarrollo.
– Procedimientos transparentes de quejas y sanciones disciplinarias.
– Procedimientos de terminación de relaciones laborales, incluyendo una entrevista de salida laboral
• Las siguientes perspectivas en filosofía y estilo de la gerencia son importantes en definir el ambiente
de control:
– Una estructura organizacional que detalla claramente las áreas clave de autoridad y responsabilidad, toma de decisiones,
rendición de cuentas
– Objetivos y metas formulados en base a la visión, misión y valores.
– Actitud frente a la gestión de riesgos y controles internos, al manejo de la información financiera y otros componentes del
sistema de información y al manejo de fraude.
10. Sección 6: La Índole y el Contexto del Control
Interno
• El control interno debe ser capaz de responder rápidamente a los cambios de riesgo
internos o externos enfrentando al negocio y de mantener la flexibilidad en el negocio o
capacidad de identificar y aprovechar oportunidades.
• El costo de un control debe estar equilibrado con los beneficios que recibe a causa del
control.
• El sistema de control debe incluir:
– un proceso de notificación a los niveles jerárquicos de cualquier falla o debilidad significativa que
se identifica en el sistema.
– un proceso de resolución con detalles de las acciones asumidas para corregir la situación.
– una oportunidad de aprendizaje por las faltas cometidas
11. Sección 6: La Índole y el Contexto del Control
Interno
• El control interno puede ayudar a minimizar la aparición de errores y de fallas pero
no puede:
– proveer una garantía absoluta que esas no van a re-ocurrir.
– proporcionar certeza en el cumplimiento de todos los objetivos de la organización
– proveer protección absoluta contra todos los errores, pérdidas, fraudes, infracciones de leyes o
reglamentos.
• El sistema de control debe estar integrado en las operaciones de la IMF y formar
parte de su cultura. Es importante que existan:
– Personas responsabilizadas para alcanzar objetivos concretos, tanto individuos como equipos, los
cuales deben ser responsables por la eficacia de los controles que apoyan el alcance de esos
objetivos.
– Criterios por los cuales la eficacia del sistema de control pueda ser evaluada.
12. Sección 7: Los 4 Tipos Básicos de Control Interno
• Los 4 tipos de control interno son:
– Controles Preventivos
– Controles de Detección,
– Controles de Correcciones
– Controles Compensatorios
• Los Controles Preventivos están diseñados para disuadir que ocurran errores o
irregularidades. Entre ellos se encuentran:
– Segregación de funciones.
– Aprobación, Autorización y Verificaciones.
– Seguridad de los Activos.
13. Sección 7: Los 4 Tipos Básicos de Control Interno
• Los Controles de Detección están diseñados para encontrar errores e irregularidades una
vez ya ocurridos. Entre ellos se encuentran:
– Evaluación de Rendimiento.
– Conciliaciones.
– Inventario físico de los activos.
• Los Controles Correctivos están diseñados para mitigar el daño causado por un evento y
restaurar el sistema o proceso a su estado original.
– Entre ellos se encuentran la restauración de datos de copias de respaldo después de un problema con los
servidores.
• Los Controles Compensatorios están diseñados para proporcionar un cierto nivel de
seguridad cuando limitaciones de recursos imposibilita la implementación de controles más
directos.
– ]’Un ejemplo puede ser la revisión mensual de las transacciones por una persona independiente debido ala
falta de recursos para la segregación de funciones adecuada.
14. Sección 8: Limitaciones del Control Interno
• Existen limitaciones inherentes a todos los controles internos. Entre ellas se
encuentran:
– Decisiones tomadas con el juicio de uno o más empleados con la información que tiene a mano.
– Errores por equivocación o falta de entendimiento de las instrucciones por parte de los
empleados.
– Invalidación de políticas y procedimientos establecidos por parte de la alta gerencia para
ganancia o ventaja personal.
– Complicidad de dos o más empleados actuando colectivamente para sobrepasar el sistema de
control.
• El “Juicio” es una de las limitaciones inherentes en los controles internos.
– Esta limitación significa que la efectividad de los controles está limitada por las decisiones
tomadas con el juicio de uno o más empleados con la información que tiene a mano.
15. Sección 8: Limitaciones del Control Interno
• El “Colapso” es una de las limitaciones inherentes en los controles internos y significa que:
– Los empleados pueden no comprender bien las instrucciones o simplemente se equivocan, están
cansados o bajo mucho stress.
– Errores también pueden resultar de nueva tecnología y/o de la complejidad de sistemas
informáticos que empleados no llegan a dominar.
• La “Invalidación de Gerencia” es una de las limitaciones inherentes en los controles
internos. Esta limitación significa que la alta gerencia tiene el poder de invalidar políticas y
procedimientos establecidos para ganancia o ventaja personal.
• La “Colusión” es una de las limitaciones inherentes en los controles internos y significa que:
– Los sistemas de control pueden ser eludidos por la complicidad de dos o más empleados.
– Individuos pueden actuar colectivamente y alterar los datos financieros u otra información
gerencial de tal forma que sobrepasa el sistema de control.
16. Sección 9: El Rol de Auditoria Interna y Otros
Proveedores de Seguridad
• Auditoria Interna tiene las siguientes funciones:
– Proporcionar a la gerencia y a la Junta Directiva la seguridad que requieren en cuanto a la eficacia
y efectividad del sistema de riesgo y control interno de la organización.
– Fortalecer y mejorar la gestión de riesgo y el marco de control a través del fomento y
recomendación de mejores prácticas.
• La función de Auditoria Interna puede ser complementada con proveedores
internos y/o externos que poseen experiencia en ciertas áreas de control como por
ejemplo proyectos de TI, seguridad y salud, regulación ambiental, cumplimientos
legales y normativos, etc.
17. Sección 9: El Rol de Auditoria Interna y Otros
Proveedores de Seguridad
• Proveedores expertos en diferentes áreas de conocimiento benefician a la
organización en varias formas:
– Proveen una mayor certeza en la efectividad y eficacia del control.
– Reducen la redundancia de esfuerzos y evitar la 'fatiga de auditoría’.
– Amplían el alcance sin aumentar las horas de trabajo de auditoría interna.
• El modelo de “Tres Líneas de Defensa” presenta tres niveles de gestión de riesgos
en la organización. Estas son:
– La 1era Línea de Defensa es todo lo que hacen los empleados para gestionar el riesgo.
– La 2nda Línea de Defensa es la función de riesgo.
– La 3ra Línea de Defensa son los entes independientes de auditoria interna y auditoria
externa.
18. Sección 10: Marco Regulatorio y Requerimientos
• Todas las IMF deben:
– Gestionar su negocio bajo el marco regulatorio de su país y respetar los requerimientos según la
ley lo indique.
– Gestionar su negocio bajo las políticas y procedimientos de VFI.
• En caso de que las políticas locales y las políticas de VFI traten un mismo tema, las
IMFs deben siempre optar por las prácticas más conservadoras y poder explicar
cualquier diferencia.
• En caso de que la IMF deba adaptar las políticas y procedimientos del manual de
control interno a las normas contables y regulaciones legales locales, la IMF debe:
– notificar por escrito este cambio.
– recibir una aprobación del cambio de VFI que este firmada y fechada
– incluir el cambio por escrito y la aprobación de VFI en el manual para su aplicación y referencia.
20. Sección 11: Sistema de Monitore o
• El objetivo del monitoreo es asegurar que los controles internos
– estén funcionando adecuadamente
– se adapten a las necesidades y cambios de las circunstancias
• El sistema de monitoreo debe ser creado en base a estos elementos:
– Una base de monitoreo
– Procedimientos priorizados en base al nivel de riesgo
– El asesoramiento y reporte de los resultados
• La IMF diseña y ejecuta procedimientos priorizados en base al nivel de riesgo siguiendo ciertos
pasos:
– Entiende los riesgos de la organización y los prioriza en base a sus objetivos.
– Identifica aquellos controles “claves” dirigidos a gestionar o mitigar los riesgos con mayor prioridad.
– Identifica información que indica si el sistema de control interno está funcionando eficazmente.
– Diseña e implementa procedimientos de monitoreo rentables que evalúen la información convincente.
21. Sección 11: Sistema de Monitoreo
• El sistema de monitoreo debe asegurar que los controles internos son rastreables.
Esto significa que:
– Todos controles internos deben dejar pistas rastreables.
– Auditoria interna debe poder utilizar estas pistas para reconstruir los pasos de un proceso y
verificar que cada paso ha sido ejecutado de acuerdo a las políticas y procesos de la IMF.
• El sistema de monitoreo debe:
– Asegurar que los procesos son revisados y actualizados con cierta regularidad para adaptarse a
las necesidades y cambios de las circunstancias.
– La regularidad con la cual las políticas y procesos son revisados y actualizados es acordada y
aprobada por la alta gerencia.
22. Sección 12: Supervisión de Gerencia
• Dentro del contexto de controles internos, la Supervisión de Gerencia tiene el propósito de:
– asegurar que el monitoreo está siendo realizado
– reportar sus resultados
– confirmar que la organización está cumpliendo con sus objetivos.
• La Junta Directiva tiene la mayor responsabilidad de asegurar que la IMF tiene en
funcionamiento un sistema de control interno adecuado. Para cumplir con esta
responsabilidad la Junta Directiva realiza las siguientes actividades:
– Sostiene reuniones periódicas con la gerencia en relación a la eficacia del control interno.
– Revisa las evaluaciones del control interno ejecutadas por la gerencia, el auditor interno y el auditor
externo.
– Verifica que la gerencia ha realizado los seguimientos de las recomendaciones de los auditores y las
autoridades de supervisión sobre las debilidades del control interno.
• La Junta Directiva tiene la opción de delegar sus actividades, pero no su responsabilidad, a
un Comité de Auditoria.
23. Sección 12: Supervisión de Gerencia
• La gerencia tiene la responsabilidad de:
– establecer políticas de control interno adecuadas,
– monitorear la eficacia de las políticas de control interno
– informar sobre las deficiencias de las políticas de control interno para la toma de acción correctiva
• La IMF promueve una cultura de supervisión constante poniendo en práctica políticas,
procedimientos y demás documentación normativa institucional que eviten la ejecución de
actividades inapropiadas.
– Existe un organigrama bien documentado y comunicado que muestre claramente las líneas de reporte
de responsabilidad y autoridad.
– Existen objetivos y medidas de rendimiento, riesgos que pueden impactar el cumplimiento de los
objetivos y controles para la mitigación estos riesgos.
– Existen procedimientos operativos claramente documentados y comunicados al personal adecuado.
– Se aplican las sanciones adecuadas a conductas inapropiadas, de acuerdo a lo que establece la
normativa interna y legal.
24. Sección 13: Sistema de Documentación
• El sistema de Documentación detalla los documentos que la IMF necesita para gestionar un buen sistema de
control interno y como estos deben ser controlados.
• La IMF debe tener documentado, como mínimo, ciertos ítems para poder gestionar el control interno:
– Organograma
– Documentos de normativa interna incluyendo Actas, Reglamentos, Manuales, Procedimientos, Instructivos y Formatos
– Archivos contables con sus respectivas autorizaciones y aprobaciones
– Documentos de conciliación
– Documentos de respaldo incluyendo contratos, convenios con sus respectivas autorizaciones y aprobaciones
– Expedientes de los clientes
– Expedientes de los empleados y miembros de la Junta Directiva
– Reportes internos y externos para entes de control local e internacional.
• La IMF debe poner en práctica un sistema de documentación el cual ayuda a asegurar que:
– La información es correcta y relevante
– La información está completa y actualizada.
– Todas las transacciones son documentadas y rastreables.
– Los documentos necesarios son archivados y retenidos según las leyes locales o políticas de VFI
25. Sección 13: Sistema de Documentación
• Los documentos creados por la IMF especifican el nombre, el cargo y la fecha de toda aquella
persona responsable de asegurar que la información del documento es correcta y relevante y está
completa y actualizada. Como mínimo se deben identificar las personas que:
– Crearon el documento inicial.
– Revisaron el documento
– Realizaron algún cambio
– Aprobaron el documento
• Las políticas y procedimientos de la IMF describen como la organización gestiona el almacenamiento
y la retención de documentos, sea en papel o forma electrónica. Por cada documento o tipo de
documento, se especifica:
– Quien es responsable
– Donde se almacena
– Por cuanto tiempo debe almacenarse
26. Sección 14: Autorización, Verificación y Aprobación
• La Autorización es el proceso de permitir que un empleado realice ciertas actividades y que
ejecute ciertas transacciones dentro de parámetros limitados. Fuera de estos parámetros,
el empleado requiere aprobación antes de realizar la actividad o ejecutar la transacción.
• La Verificación es el proceso de confirmar, a través de evidencia objetiva, que
requerimientos específicos fueron cumplidos.
• La Aprobación es el proceso de validar, por un empleado autorizado, que la activad o
transacción ha sido realizada conforme a las políticas y procedimientos establecidos.
• La autorización de realizar ciertas actividades y ejecutar ciertas transacciones debe ser:
– Otorgada a empleados con la capacidad necesaria para cumplir sus funciones
– Comunicada por escrito
– Limitada a parámetros basados en riesgo / recompensa
27. Sección 14: Autorización, Verificación y Aprobación
• La verificación debe ser:
– realizada por un empleado que no preparo la tarea a ser verificada.
– asignada a un empleado con el conocimiento necesario para detectar incumplimientos
– evidenciada por escrito (firma o iniciales del revisor)
– en base a documentación
• La aprobación debe ser realizada:
– Después de verificar y validar la actividad o transacción.
– Por un empleado autorizado y de acuerdo a los niveles de autorización.
– Por escrito (documentada)
– Oportunamente
• Cada uno de los puestos de la IMF está regido por tipos y niveles de autorización establecidos para
gestionar los distintos tipos y niveles de riesgo:
– Los tipos de autorización están relacionados con las funciones que el empleado esta (o no) autorizado a hacer. Asimismo,
esto está relacionado con la segregación de funciones.
– Los niveles de autorización están relacionados con montos de dinero que el empleado está autorizado (o no) a gestionar.
– Cualquier cambio que se requiera al tipo y/o nivel de autorización es aprobado por la gerencia.
28. Sección 15: Asistencia y Puntualidad
• La asistencia se define como la concurrencia del empleado a su lugar de trabajo de acuerdo con los
días oficiales laborales que se han establecido.
• La puntualidad se define como la concurrencia del empleado al puesto de trabajo de acuerdo con el
horario oficial de entrada que se ha establecido.
• La IMF debe cumplir con todas las obligaciones y derechos laborales de asistencia y puntualidad
según dicta la ley local.
– Asimismo, la IMF debe definir y comunicar todos aquellos derechos y obligaciones que afectan en la
asistencia y puntualidad pero que no son definidos en la ley local.
• La asistencia y puntualidad de cada empleado debe:
– ser registrada por completo, con precisión y tan pronto sea posible por personas autorizadas
– reflejar el trabajo real realizado y permisos de ausencia autorizados y ser suficientemente detallada para
permitir verificaciones.
– cumplir con los políticas legales, y ser respaldada por evidencia documentada durante la revisión y
aprobación de un supervisor.
29. Sección 15: Asistencia y Puntualidad
• El supervisor o persona autorizada debe revisar y autorizar y/o aprobar los
siguientes ítems:
– el programa de trabajo y solicitud de ausencia
– tiempo real trabajado y ausencias tomadas
– información en reportes de ‘asistencia y puntualidad’
– cualquier cambio que se realice en los registros de ‘asistencia y puntualidad’
• La IMF debe asignar a una persona para que tome la responsabilidad de registrar y
salvaguardar la información de asistencia y puntualidad
• Una pista de auditoria debe existir entre la información de asistencia y puntualidad
y los registros contables subyacentes a los informes financieros para permitir la
verificación de las cantidades reportadas.
30. Sección 16: Plan de Continuidad de Negocio
• El Plan de Continuidad de Negocio es un proceso de planificación proactivo que
asegura que servicios y/o productos críticos continúan siendo cumplidos – o son re-
establecidos en el menor tiempo posible - en caso de una interrupción o situación
adversa, reduciendo al mínimo el impacto sobre el negocio.
• El Plan de Continuidad de Negocios debe identificar
– aquellos eventos que amenazan la operación normal del negocio.
– aquellos procesos críticos que la IMF debe mantener en marcha para su supervivencia
31. Sección 16: Plan de Continuidad de Negocio
• La IMF debe establecer un comité de Continuidad de Negocio. Este Comité debe
establecer una estrategia de:
– comunicación para garantizar que todo el personal ha sido informado del Plan de Continuidad de
Negocio
– capacitación para garantizar que todo el personal está en conocimiento de sus responsabilidades
• Ante todo, el Plan debe priorizar la protección y seguridad de personas afectadas
• El Plan debe:
– contener procedimientos para mantener puestos críticos en funcionamiento.
– detallar continuidad de infraestructura y tecnología necesaria al igual que hacer respaldos y
recuperar sistemas y datos críticos
– estar actualizado
32. Sección 17: Segregación de Funciones
• La Separación de Funciones es un control preventivo donde las funciones claves son
separadas físicamente para prevenir que una sola persona tenga suficiente control
de un proceso y pueda cometer un fraude o un error no sea detectado.
• Entre las varias responsabilidades de una IMF, la segregación de funciones se
encuentra:
– En la preparación de documentos para aprobar, donde la función de preparar el documento y la
función de aprobar el documento deben ser segregadas.
– En la conciliación de reportes, donde la función de realizar la conciliación y la función de revisar y
aprobar la conciliación deben ser segregadas.
– En el manejo de efectivo, donde la función de tramitar en efectivo y la función de registrar el
trámite en el Libro Mayor deben ser segregadas.
33. Sección 17: Segregación de Funciones
• En la aprobación y desembolso de préstamos, las siguientes funciones deben ser
segregadas:
– Preparar la solicitud de préstamo // Revisar/aprobar la solicitud de préstamo
– Procesar la solicitud de préstamo // Desembolsar el crédito aprobado
• Cuando se efectúa una compra las siguientes funciones deben ser segregadas:
– Crear una orden de compras // Aprobar una orden de compras
– Aprobar facturas de proveedores // Registrar facturas de proveedores en el sistema
• Las siguientes funciones deben ser segregadas:
– Aprobar la compra o enajenación de activos fijos // Registrar la transacción en el auxiliar de
activos fijos.
– Determinar la política de depreciación de los activos fijos (dentro de las normativas locales) //
Registrar o ajustar el cálculo de depreciación de un activo fijo.
34. Sección 18: Seguridad Física
• La Seguridad Física se enfoca principalmente en restringir el acceso a activos
tangibles, incluyendo información, dinero en efectivo y títulos.
• La IMF debe asignar a un empleado la responsabilidad de la seguridad física de la
IMF.
• La oficina debe asignar a dos empleados la responsabilidad de abrir la oficina:
– uno responsable de abrir físicamente la oficina con llave
– y otro responsable de la clave de alarma
• La oficina/agencia debe cumplir con un mínimo de requisitos de seguridad física:
– Edificios de estructura sólida y debidamente equipados
– Límite de entrada al edificio y de ventanas con acceso a activos líquidos.
– Construcción de bóveda conforme a la ley local.
35. Sección 18: Seguridad Física
• La oficina/agencia debe estar ubicada en un lugar accesible y seguro.
• La oficina debe contar con los permisos de las autoridades locales relacionados con
el tema de seguridad
• La bóveda y caja fuerte están diseñadas y construidas conforme a la ley local. La
bóveda tiene:
– Un sistema de alarma contra incendios y contra el acceso no autorizado
– Cerraduras y llaves que no permitan duplicación
– Apertura dual
36. Sección 19: Control de Acceso
• El Control de Acceso se enfoca en el acceso a los equipos, software, data y documentación
manejados por TI incluyendo la detección y prevención de acceso no autorizado.
– Dentro de las áreas más importantes se encuentran el control de acceso y seguridad física de TI,
el control de acceso de datos informáticos, el control de acceso a la red, el control de
operaciones y copia de respaldo
• La ubicación y entorno del hardware de TI es asignado con cuidado:
– El lugar donde se encuentran las computadoras y equipos informáticos es organizado y
mantenido de acuerdo con los requerimientos especificados por el proveedor de estos equipos,
siendo lugares seguros y de poco tráfico.
– Detección y prevención de incendio y sistemas y equipos de extinción de fuego son instalados en
lugares donde se encuentran las computadoras y hardware, con acceso a empleados y probados
periódicamente.
– Todo el hardware de computadoras está protegido contra sobrecargas eléctricas, daños por agua
y desastres naturales que tengan el potencial de interrumpir las operaciones.
37. Sección 19: Control de Acceso
• La seguridad y privacidad de la información del propietario deben ser garantizados al igual que la de
datos y/o programas críticos. Como mínimo, el programa de seguridad de acceso:
– protege archivos de datos y programas contra acceso sin autorización y/o alteraciones, robos, o destrucción.
– automáticamente requiere que se establezcan y cambien contraseñas de acuerdo con los tiempos
establecidos en la política.
– tiene la capacidad de crear automáticamente transacciones de pistas de auditoria que muestren eventos de
seguridad críticos.
• La seguridad de la red debe ser protegida contra:
– el ingreso no autorizado,
– uso inapropiado
– alternación de la información
• La IMF debe mantener en un lugar seguro los respaldos necesarios para:
– cumplir con los requisitos reglamentarios o legales
– asegurar la continuidad de las operaciones en caso de falla
38. Sección 20: Conciliaciones
• La conciliación es el proceso de comparar dos registros independientes con el propósito de
validar que las cifras (usualmente saldos de cuentas) concuerden.
– Cualquier discrepancia que se encuentre durante la conciliación es evidencia de error o posible
fraude.
• La conciliación debe ser elaborada por un empleado y la revisión / aprobación debe ser
ejecutada por otro empleado que no elaboró la conciliación.
– Los empleados responsables deben estar capacitados para realizar estas funciones.
• El empleado que prepara la conciliación debe asegurarse que:
– Las cifras son exactas
– Utiliza documentos independientes que respaldan el saldo.
– Utiliza saldos de las cuentas actualizados y con la misma fecha de corte.
39. Sección 20: Conciliaciones
• La conciliación es:
– Objetiva - se respaldada con documentos originales, en cuanto sea posible.
– Uniforme - utiliza formatos predefinidos y estandarizados.
– Conservativa - siguiendo las políticas de VFI, leyes locales y de la IMF.
• Las cuentas son clasificadas por su nivel de riesgo cuantitativo (ej: volumen de
transacciones, monto de la cuenta) y cualitativo (ej. posibilidad de fraude, complejidad de la
transacción, etc).
• Aquellas cuentas con el más alto riesgo de error son priorizadas para poder detectar y
resolver problemas graves con tiempos.
40. Sección 21: Manejo de Efectivo
• El empleado que registra la transacción no puede:
– manejar o tener acceso a efectivo (ej: aceptar pagos, desembolsar y preparar depósitos)
– conciliar recibos con depósitos
– conciliar depósitos en el Libro Mayor
• Cheques, efectivo y/o equivalentes deben
– estar debidamente guardados en un lugar seguro
– estar organizados de forma tal que son fácil de contabilizar
– tener su acceso restringidos a personal autorizado
• Las transacciones en efectivo deben ser
– autorizadas
– debidamente y prontamente contabilizadas
– documentadas y rastreables
41. Sección 21: Manejo de Efectivo
• La IMF debe tomar medidas de precaución cuando transporta efectivo.
• Los clientes de la IMF deben ser instruidos de cómo proteger su propio dinero.
• El supervisor debe revisar con regularidad los procesos de manejo de efectivo y
conciliación para asegurar
– puntualidad
– precisión
– resolución de todas las cuestiones pendientes
42. Sección 22: Caja Chica
• Cuando el uso de la Caja Chica es inevitable, el Director de Finanzas Regional debe dar el visto bueno
de la autorización anual por el uso de la caja chica.
– Si el uso de una Caja Chica es inevitable, la IMF debe asignar a un empleado para su custodio.
• El fondo de la Caja Chica debe ser guardado en una caja bajo llave.
– La caja bajo llave debe, a su vez, ser guardada en un cajón bajo llave.
• Si no está ya establecido por la ley local, la gerencia debe establecer el monto máximo en la Caja
Chica.
• El custodio debe mantener un registro preciso de todas las transacciones que se efectúan con el
fondo de la Caja Chica.
• El supervisor del custodio debe revisar la conciliación diaria y la solicitud de reposición antes de
aprobar.
• El custodio de la Caja Chica debe conciliar a diario el monto de dinero en el fondo con el saldo del
archivo de control.
• El custodio de la Caja Chica debe reponer el saldo original cuando se llega al límite mínimo.