17 PRINCIPIOS DE CONTROL INTERNO SEGN COSO 2013

Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rpidos cambios del mundo de hoy.
Es responsabilidad de la administracin y directivos desarrollar un sistema que garantice el
cumplimiento de los objetivos de la empresa y se convierta en una parte esencial de la
cultura organizacional.
El Marco integrado de control interno propuesto por COSO provee un enfoque integral y
herramientas para la implementacin de un sistema de control interno efectivo y en pro de
mejora continua.
Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar
un objetivo de la entidad.
El modelo de control interno COSO 2013 actualizado est compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administracin de
toda organizacin debera implementar.
ENTORNO DE CONTROL
El Entorno de Control, marca las pautas de comportamiento en una Organizacin y por lo
tanto mantiene una influencia directa en el nivel de percepcin del personal respecto al
mismo.
PRINCIPIO 1: DEMUESTRA COMPROMISO CON LA INTEGRIDAD Y LOS
VALORES TICOS
El control debe basarse en la integridad y el compromiso tico de las directivas y
accionistas, quienes determinan la importancia del control interno y los estndares de
conducta esperados dentro de la organizacin. La Junta Directiva y la Administracin en
todos los niveles de la entidad deben demostrar a travs de sus instrucciones, acciones, y

comportamientos la importancia de la integridad y los valores ticos para apoyar el

funcionamiento del Sistema de Control Interno.
Integridad y valores ticos: La comisin Treadway establece que un clima tico vigoroso
dentro de la empresa y en todos sus niveles es esencial para el bienestar de la organizacin,
de todos los componentes y del pblico en general. Esto contribuye en forma significativa a
la eficacia de las polticas y los sistemas de control de las empresas, y permite influir sobre
los comportamientos que no estn sujetos ni a los sistemas de control ms elaborados.
La dificultad de establecer valores ticos radica en la necesidad de atender intereses de las
distintas partes que pueden ser contrapuestos. Por esto es una tarea fundamental lograr
equilibrio entre los intereses de la direccin, los de la empresa, sus empleados, los
proveedores, clientes, competidores y el pblico. Algunas veces una determinacin
incompetente de los objetivos y metas en la misma organizacin dificultad lograr conductas
ticas, incitando a los individuos que trabajan en ella a cometer actos fraudulentos, ilegales
y no ticos. Por ejemplo poner nfasis a mostrar resultados a corto plazo, fomentando una
condicin que el personal debe cumplir y de no hacerlo pagara un costo, por ello para
defender sus propios intereses se ve tentado a hacerlo.
Por esta razn se hace necesario no solo comunicar los valores ticos sino que deben darse
directrices especficas con respecto a lo que es correcto e incorrecto. El Consejo de
Administracin y la Direccin deben demostrar la importancia de la integridad y los valores
ticos para el funcionamiento del Sistema de Control Interno. El personal tiende a
desarrollar las mismas actitudes de la alta gerencia, dar un buen ejemplo es esencial pero no
suficiente, por eso es necesario que la alta direccin comunique los valores ticos y las
normas de comportamiento a los empleados y definirlas en estndares de conducta. Esto
permitir establecer procesos de evaluacin de la actuacin de los empleados e implementar
los correctivos necesarios.
La importancia del Tono desde lo alto (Tone at the top) a travs de la organizacin es
fundamental para el funcionamiento apropiado del sistema de control interno. Sin un tono
desde lo alto para apoyar una cultura fuerte de control interno, y la conciencia de que el

riesgo puede ser indeterminado, las respuestas a los riesgos pueden ser inapropiadas, las
actividades de control pueden ser mal definidas o no llevadas a cabo, la informacin y la
comunicacin pueden fallar, y la retroalimentacin y comentarios de las actividades de
supervisin pueden no ser escuchado o tenidos en cuenta.
Estndares de conducta: Los estndares de conducta guan a la organizacin en
comportamientos, actividades y decisiones para la consecucin de los objetivos. La
organizacin demuestra su compromiso a la integridad y los valores ticos aplicando
estndares de conducta, y cuestionndose continuamente, sobre todo cuando enfrenta
situaciones complicadas. La integridad y los valores ticos deben ser el centro de los
mensajes en todas las comunicaciones y capacitaciones de la entidad.
Los estndares de conducta de la organizacin deben ser regularmente comunicados, no
solo a los niveles de la organizacin, sino tambin a los proveedores de servicios externos.
Conductas inapropiadas de estos proveedores pueden reflejarse negativamente en la Alta
direccin e impactar a la entidad hasta causar dao en los clientes o accionistas, o la
reputacin de la misma entidad.
Es importante que existan canales de comunicacin ya sean formales o informales para que
el personal pueda reportar las irregularidades que se presenten.
La falta de adherencia a los estndares de conducta se ve reflejada en situaciones como:

Un tono desde lo alto que no lleva a cabo efectivamente las expectativas de

adherencia a los estndares.

Una Junta Directiva que no proporciona una supervisin imparcial de la adherencia

a los estndares de la Alta Direccin.

Alta descentralizacin sin una supervisin adecuada, dejando a la Alta Direccin

inconsciente de las decisiones tomadas en los niveles inferiores.

Coaccin de superiores, personal partes externas para evadir las reglas o

comprometerse en fraudes o comportamientos ilcitos.

Metas de desempeo que crean incentivos o presiones que comprometen el

comportamiento tico.

Canales inadecuados, por medio de los cuales los empleados pueden expresar
preguntas y hechos.

Fallas en direccionar los controles que no existen o son inefectivos, que dan la
oportunidad de un desempeo pobre.

Procesos inadecuados de investigacin y resolucin de presuntas malas conductas.

Funcin de auditoria interna pobre que no tienen la habilidad para detectar y

reportar conductas inapropiadas.

Penalidades para conductas impropias que son aplicadas inconsistentemente,

perdiendo as su valor disuasivo.
Para evitar dichas situaciones la administracin debe realizar evaluaciones de la adherencia
individual y grupal a los estndares de conducta, y cumplir con los siguientes requisitos:

Definir un conjunto de indicadores para identificar situaciones y tendencias

relacionadas a los estndares de conducta de la organizacin, incluyendo a los proveedores
de servicios externos. Estos indicadores deben ser revisados peridicamente y redefinidos
cuando sea necesario para determinar problemas a tiempo.

Establecer procedimientos de cumplimiento continuo y peridico para confirmar

que las expectativas y requerimientos estn siendo cumplidos tanto interna como
externamente.

Identificar, analizar y reportar problemas de conducta en el negocio y tendencias a

la Alta Direccin y Junta Directiva.

Considerar la fuerza del liderazgo en la demostracin de la integridad y los valores

ticos como un comportamiento evaluado en las revisiones del desempeo, compensacin y
las decisiones de promocin.

Completar la implementacin de acciones correctivas para remediar los asuntos de

manera oportuna y consistente.
PRINCIPIO 2: EJERCE RESPONSABILIDAD DE SUPERVISIN
La Junta Directiva demuestra independencia de la administracin y ejerce la supervisin del
desarrollo y desempeo del Control Interno. Adems entiende el negocio y expectativas de
los accionistas, clientes, empleados, inversionistas y dems partes, as como los
requerimientos legales y de regulacin y riesgos relacionados. Estas expectativas y
requerimientos ayudan a determinar los objetivos de la organizacin, supervisar las
responsabilidades de la Junta directiva y los recursos necesarios.
La Junta directiva es responsable de supervisar y cuestionar objetivamente el trabajo de la
administracin. Esta supervisin es apoyada por las estructuras y procesos establecidos en
los niveles de ejecucin del negocio. De la misma manera, el director ejecutivo y la alta
direccin tienen la responsabilidad del desarrollo e implementacin del sistema de control
interno. Dependiendo las caractersticas de la organizacin estas responsabilidades son
llevadas a cabo.
Para llevar a cabo sus funciones adecuadamente, la Junta directiva debe cumplir con dos
requisitos indispensables, independencia y competencia profesional.
Independencia y Competencia profesional: Es importante contar con personal
competente, que tenga una formacin adecuada, de acuerdo al cargo que ocupa y
responsabilidades que tenga. El rea de Recursos humanos debe especificar el nivel de
competencia requerido para las distintas tareas, as como la aptitud (Conocimientos y

habilidades de cada persona), la cual infiere en el criterio profesional al momento de

disear, implementar y desarrollar el control interno y evaluar su efectividad.
Una vez se realiza la contratacin el profesional debe iniciar un proceso de capacitacin y
enseanza en forma prctica, terica y metdica, sobre su cargo, los valores corporativos
de la entidad y el plan estratgico. Esto permite un trabajo eficaz del sistema de control
interno debido a que se cuenta con profesionales competentes que comprenden las metas y
objetivos de la entidad.
La junta directiva es independiente de la administracin y debe demostrar habilidades y
experiencia relevante para llevar a cabo sus responsabilidades de supervisin. La
composicin de la Junta directiva se determina de acuerdo a la misin, valores y objetivos
de la entidad, as como las habilidades y experiencia para supervisar, indagar y evaluar la
alta direccin apropiadamente. El nmero de miembros de la Junta Directiva se determina
de acuerdo a las caractersticas de la organizacin facilitando as la crtica constructiva,
discusiones y la toma de decisiones.
Los miembros de la Junta Directiva deben contar con las siguientes capacidades y
habilidades:

Integridad y valores ticos.

Liderazgo

Pensamiento critico

Resolucin de problemas

Disponibilidad para permitir la discusin y deliberacin

Mentalidad de control interno: escepticismo profesional, enfoques para la

identificacin y respuesta a riesgos, evaluacin de la efectividad de control interno.

Conocimiento de la entidad y del mercado

Experiencia financiera y reporte financiero

Entendimiento de las leyes y regulaciones relevantes.

Experiencia social y ambiental

Conocimiento de las compensaciones e incentivos del mercado

Entendimiento de los sistemas y cambios tecnolgicos y oportunidades

PRINCIPIO

3:

ESTABLECE

ESTRUCTURA,

AUTORIDAD,

RESPONSABILIDAD
La Administracin establece, con la supervisin de la Direccin, estructuras, lneas de
reporte, y niveles apropiados de autoridad y responsabilidad para la consecucin de los
objetivos.
Las entidades se estructuran a travs de varias dimensiones: modelo operativo de la
administracin, estructuras legales, subdivisiones, y proveedores de servicios externos.
Cada una de estas dimensiones proporciona una evaluacin diferente del sistema de control
interno, lo que permite a travs de la propiedad y responsabilidad de cada nivel que se
desarrolle una revisin y anlisis multidimensional que puede identificar cualquier riesgo y
tener un conocimiento completo e integral del sistema de control interno.
Las estructuras de la organizacin evolucionan as como la naturaleza del negocio. Por esta
razn la administracin debe revisar y evaluar continuamente la relevancia, efectividad y
eficacia de las estructuras como apoyo al sistema de control interno. Para cada estructura la
administracin debe disear y evaluar las lneas de reporte para que las responsabilidades
sean llevadas a cabo y la informacin fluya como sea necesario. Adems es necesario

verificar que no existan conflictos de inters inherentes a la ejecucin de las

responsabilidades a travs de la organizacin y los proveedores de servicios externos.
Cuando se evalan las estructuras se debe tener en cuenta:

Naturaleza, tamao y distribucin geogrfica del negocio de la entidad.

Riesgos relacionados a los objetivos y procesos de negocio de la entidad.

Naturaleza de la asignacin de autoridad y responsabilidades a la cabeza, unidad

operativa, funcional y administracin geogrfica.

Definicin de lneas de reporte y canales de comunicacin.

Requerimientos de reporte financiero, de impuestos, regulatorios y dems, de

jurisdicciones pertinentes.
Delegacin de responsabilidades: Todos los miembros de la entidad son responsables del
control interno. El director general o presidente ejecutivo es el primer responsable, debido a
que es quien fija las pautas a seguir, influyendo en la integridad, la tica y los dems
factores para la consecucin de un entorno de control favorable. El director designa al
responsable de cada funcin y establece las polticas y procedimientos de control interno
especficos.
El personal debe conocer los objetivos de la entidad y cmo su funcin contribuye al logro
de los mismos; esto permite lograr un mayor compromiso.
Filosofa y estilo de la direccin: Los estilos gerenciales marcan el nivel de riesgo
empresarial y pueden afectar al sistema de control interno. Un planteo empresarial
orientado excesivamente al riesgo o no tomar en cuenta los aspectos de control son
indicativos de riesgo en el control interno. Una gerencia que sin dejar de afrontar riesgos
toma en cuenta todos los elementos necesarios para su seguimiento evitando riesgos
inadecuados crea un ambiente propicio para control interno en la organizacin.

Factores que hacen parte de la filosofa y estilo de la direccin es la actitud adoptada en la

presentacin de la informacin financiera, la seleccin de las alternativas disponibles
respecto a los principios de contabilidad aplicables, la prudencia con que se obtienen las
estimaciones contables, y las actitudes hacia las funciones informticas y contables.
Estructura y plan organizacional: Todo organismo debe desarrollar una estructura
organizacional que atienda al cumplimiento de su misin y objetivos, la cual debe estar
plasmada en algn tipo de herramienta grfica. La estructura organizacional representada
en un organigrama constituye el marco formal de autoridad y responsabilidades, definiendo
los puestos de trabajo y las actividades a desempear con el fin de alcanzar los objetivos
definidos por la alta gerencia de la organizacin. Dichas actividades se presentan
clasificadas como de gestin, planificacin o control.
Entre los aspectos ms importantes a tener en cuenta al momento de establecer la estructura
organizativa est la definicin de las reas clave de autoridad y responsabilidad y el
establecimiento de vas adecuadas de comunicacin. Adems esta estructura debe adecuarse
a sus necesidades.
El nivel de formalidad que alcanza la estructura organizativa definida es directamente
proporcional al tamao de la organizacin. Conforme a las organizaciones crecen, las
mismas demandan una mayor especializacin en los cargos lo que conlleva a los niveles de
formalidad definidos. Existe una nueva tendencia de derivar autoridad hacia los niveles
inferiores, de manera que las decisiones quedan en manos de quienes estn ms cerca de las
operaciones, a modo de auto gestionarse, esto se ve posibilitado debido a que los sistemas
de control interno han mejorado sustancialmente, debido al surgimiento de programas de
aplicacin cuya finalidad es el registro de datos transaccionales facilitando as el control.
Toda delegacin de actividades conlleva a la necesidad de que los jefes examinen y
aprueben cuando corresponda el trabajo de sus subordinados, y que ambos cumplan con la
debida rendicin de cuentas de sus responsabilidades y tareas tanto en tiempo como en
forma. Tambin requiere que todo el personal conozca, responda y entienda como su
accionar repercute en los objetivos generales.

Comit de control: Estos comits se encuentran con mayor frecuencia en organizaciones

con mayor tamao. Su objetivo general es la vigilancia del adecuado funcionamiento del
sistema de control interno, y el mejoramiento continuo del mismo. Para su efectivo
desempeo debe integrarse adecuadamente, es decir con miembros de capacidad y
trayectoria que tengan un elevado grado de conocimiento y experiencia que les permita
apoyar objetivamente a la direccin mediante su gua y supervisin.
PRINCIPIO 4: DEMUESTRA COMPROMISO PARA LA COMPETENCIA
La organizacin demuestra compromiso para atraer, desarrollar y retener a profesionales
competentes en alineacin con los objetivos. Las polticas y prcticas de la entidad
representan una gua y comportamiento que refleja las expectativas y requerimientos de los
inversionistas, reguladores, y dems accionistas. Estas permiten definir la competencia
necesaria en la organizacin, y proporcionan las bases para ejecutar y evaluar el desempeo
as como la determinacin de acciones correctivas, cuando sea necesario.
La competencia hace referencia a la capacidad para llevar a cabo las responsabilidades
asignadas, y requiere de habilidades relevantes y pericia, las cuales se obtienen a lo largo de
una experiencia profesional, capacitacin y certificaciones. Esta es expresada en las
actitudes, conocimiento y comportamiento de los individuos cuando llevan a cabo sus
responsabilidades.
El rea de Recursos humanos de la organizacin puede ayudar en la definicin de la
competencia y niveles de personal para los puestos de trabajo, facilitando la capacitacin y
evaluacin de la relevancia e idoneidad del desarrollo profesional individual en relacin a
las necesidades de la organizacin.
Polticas y prcticas de los recursos humanos: El personal es el recurso ms valioso que
posee cualquier organismo, por ende debe ser tratado y conducido de forma tal que se
consiga su mayor rendimiento. Debe procurarse su satisfaccin y realizacin personal en el
trabajo que realiza, tendiendo a que este se enriquezca. Para lograr este objetivo la
direccin debe realizar diferentes actividades al momento de seleccin, capacitacin,
rotacin y promocin del personal. As mismo cuando se aplican sanciones disciplinarias.

Es importante que el personal este bien preparado para hacer frente a nuevos retos a medida
que las empresas se enfrentan a cambios y se hacen ms complejas, debido a los rpidos
cambios que se producen en el mundo de la tecnologa y el aumento de la competencia. La
instruccin y formacin deben preparar al personal para desarrollar su trabajo eficazmente,
lo que al mismo tiempo permitir que la entidad ponga en marcha iniciativas de calidad.
Este proceso debe ser continuo.
La direccin asume su responsabilidad en los siguientes momentos:

Seleccin: Establecer requisitos adecuados de conocimiento, experiencia e

integridad para las incorporaciones.

Induccin: Los nuevos empleados deben ser metdicamente familiarizados con las
costumbres y procedimientos de la organizacin.

Capacitacin: Entrenamiento y capacitacin adecuada para el correcto desempeo

de los empleados y cumplimiento de sus responsabilidades.

Rotacin y promocin: Promover una movilidad organizacional que represente el

reconocimiento y promocin de los empleados excelentes e innovadores.

Sancin: Adopcin de medidas disciplinarias que transmitan con rigurosidad las

normas y polticas de la empresa y la no tolerancia a desvos en el camino trazado.
La administracin debe establecer las estructuras y procesos en todos los niveles de la
organizacin, tales como:

Bsqueda de candidatos apropiados para la cultura de la entidad, estilo operativo, y

necesidades organizacionales, y quienes tengan la competencia para los cargos propuestos.

Permitir que los individuos desarrollen competencias apropiadas para los roles y
responsabilidades asignadas, refuerzo de estndares de conducta, niveles de competencia
esperados para una tarea especfica, formacin a medida basada en los roles y necesidades,

considerando diferentes tcnicas como instruccin en saln de clases, estudio autnomo y

capacitacin para el trabajo.

Proporcionar direccin al desempeo individual hacia las expectativas de los

estndares de conducta y competencia, alinear las habilidades y experiencia individual a los
objetivos de la entidad, y ayudar al personal a adaptarse a un entorno de evolucin.

Medir el desempeo de los individuos en relacin al cumplimiento de los objetivos

y demostracin de conductas esperadas, y en contraste con acuerdos de nivel de servicio u
otras normas acordadas para y compensar proveedores de servicios externos.

Proporcionar incentivos para motivar y reforzar los niveles esperados de desempeo

y conducta deseada, incluyendo capacitacin y acreditacin segn se apropiado.
A travs de estos procesos, cualquier comportamiento inconsistente con los estndares de
conducta, polticas y prcticas, y responsabilidades de control interno, es identificado,
evaluado y corregido de manera oportuna, o dirigido a los niveles correspondientes en la
organizacin.
PRINCIPIO 5: HACE CUMPLIR CON LA RESPONSABILIDAD
La organizacin mantiene individuos relevantes en las responsabilidades de su control
interno para la consecucin de los objetivos. El director ejecutivo y la Alta Direccin son
responsables del diseo, implementacin, aplicacin y evaluacin continua de las
estructuras, autoridades y responsabilidades necesarias para establecer la responsabilidad
de las acciones para control interno en todos los niveles de la organizacin. Dicha
responsabilidad, hace referencia a la propiedad delegada del desempeo de control interno
en la consecucin de los objetivos considerando los riesgos que enfrenta la entidad, y es
demostrada en cada forma de estructura organizacional usada por la entidad.

Adems, la responsabilidad envuelve el liderazgo el cual contribuye a que las

responsabilidades de control interno sean entendidas, llevadas a cabo y continuamente

fortalecidas a travs de la entidad; y soportadas por el compromiso a la integridad y valores

ticos, competencia, estructura, procesos y tecnologa, factores que influyen en la cultura
de control de la organizacin.
La administracin y la Junta directiva deben establecer medidas de desempeo, incentivos
y otras compensaciones apropiadas a las responsabilidades en todos los niveles de la
entidad, considerando el cumplimiento de los objetivos tanto a corto como largo plazo.
Para esto se deben establecer medidas de desempeo cualitativas y cuantitativas para
recompensar el xito y la disciplina en los comportamientos cuando sea necesario en lnea
con el rango de los objetivos.
Las medidas de desempeo, incentivos y compensaciones apoyan un sistema efectivo de
control interno siempre y cuando estn adaptados a los objetivos de la entidad y la
evolucin dinmicamente, cuando sea necesario. La siguiente tabla presenta medidas clave
de xito y consideraciones para motivar, mediar y compensar un alto rendimiento.
Medidas de xito

Consideraciones

Considerar todos los niveles del personal para apoyar el

cumplimiento de los objetivos de la entidad.

Objetivos claros

Considerar las mltiples dimensiones de las conductas y

rendimiento esperados de la organizacin, proveedores de servicios
externos, y socios; y definir los objetivos e incentivos y presiones
relacionados.

Implicaciones
definidas

Comunicar y reafirmar los objetivos de la entidad y cmo se

espera que cada rea y nivel de la organizacin apoye el
cumplimiento de los objetivos.

Identificar y discutir eventos que el mercado ha premiado o

penalizado en el pasado.

Comunicar las consecuencias del no cumplimiento de los

objetivos especficos de la entidad.

Definir mtricas para transformar los datos desiguales en

informacin significativa en el rendimiento.

Mtricas

significativas

Medir la conducta esperada frente real y el impacto de las

desviaciones, tanto positivo como negativo.

Evaluar el impacto esperado sobre los objetivos de la

entidad.

Ajuste a los cambio

Ajustar regularmente las medidas de desempeo basadas en

una evaluacin sistemtica y continua del impacto potencial de los
riesgos, como estos evolucionan, as mismo la cuantificacin de las
compensaciones asociadas.

Los incentivos motivan a la administracin y dems personal a tener un buen rendimiento

en sus funciones. Regularmente se usa el aumento de salario o bonos, pero las
compensaciones no monetarias tambin son incentivos efectivos. Es importante que la
administracin supervise constantemente estas compensaciones para que no se generen
conductas inapropiadas, si no que por el contrario promuevan una cultura de
responsabilidad, cumplimiento y competencia.
EVALUACIN DE RIESGOS
Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la
organizacin. Toda organizacin debe hacer frente a una serie de riesgos de origen
tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a las

entidades en diferentes sentidos como en su habilidad para competir con xito,

mantener una posicin financiera fuerte y una imagen pblica positiva. Por ende se
entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de
la organizacin. De esta manera la organizacin debe prever, conocer y abordar los
riesgos con los que se enfrentan, para establecer mecanismos que los identifiquen,
analicen y disminuyan. Este es un proceso dinmico e iterativo que constituye la
base para determinar cmo se gestionaran los riesgos.
PRINCIPIO 6: ESPECIFICA OBJETIVOS RELEVANTES
La organizacin define los objetivos con suficiente claridad para permitir la identificacin y
evaluacin de los riesgos relacionados a los objetivos. Antes de llevar a cabo la evaluacin
de riesgos, se deben establecer los objetivos asociados a los diferentes niveles de la entidad,
los objetivos operativos, de informacin/Reporting y de cumplimiento, los cuales deben ser
consistentes con la misin de la entidad.
Para determinar si los objetivos son pertinentes, la administracin debe considerar:

Alineacin de los objetivos establecidos con las prioridades estratgicas.

Articulacin de la tolerancia al riesgo para los objetivos.

Alineacin entre los objetivos establecidos y las leyes, reglas, regulaciones y

estndares aplicables a la entidad.

Articulacin de los objetivos en trminos que sean especficos, medibles u

observables, asequibles, relevantes y temporales.

Objetivos en cascada a travs de la organizacin y sus sub-unidades.

Alineacin de los objetivos con otras circunstancias que requieran especial atencin
de la entidad.

Confirmacin de la pertinencia de los objetivos dentro del proceso de

establecimiento de los objetivos antes de que estos sean usados como base para la
evaluacin de los riesgos.
Algunos factores que influyen en la evaluacin de los riesgos son:

Polticas y procedimientos

Aprobaciones y autorizaciones

Conciliaciones y verificaciones

Seguridad de activos

Segregacin de funciones

Identificacin de eventos

Valoracin de riesgos

Respuesta al riesgo
PRINCIPIO 7: IDENTIFICA Y ANALIZA LOS RIESGOS
La organizacin identifica los riesgos para la consecucin de sus objetivos a travs de la
entidad y analiza los riesgos como base para determinar cmo se deben gestionar los
riesgos. La administracin debe considerar los riesgos en todos los niveles de la
organizacin y tomar las acciones necesarias para responder a estos. En este proceso se
consideran los factores que influyen como la severidad, velocidad y persistencia del riesgo;
la probabilidad de perdida de activos y el impacto relacionado sobre las actividades de
operativas, de reporte y cumplimiento. As mismo la entidad necesita entender su tolerancia
al riesgo y su habilidad para funcionar y operar dentro de estos niveles de riesgo.

El proceso de identificacin de riesgos debe ser integral y completo y considerar todas las
interacciones significativas de bienes, servicios e informacin, internamente y entre la
entidad y sus principales socios y proveedores de servicios externos.

Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto
internos como externos. Una vez identificados estos factores se puede considerar su
relevancia e importancia, y si es posible relacionarlos con riesgos y actividades especficas.
Riesgos externos: Desarrollos tecnolgicos que en caso de no adoptarse provocaran
obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda,
condiciones macroeconmicas tanto a nivel internacional como nacional, condiciones
microeconmicas, competencia elevada con otras organizaciones, dificultad para obtener
crdito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la
organizacin, reglamentos y legislacin que afecten negativamente a la organizacin.

Riesgos econmicos: Cambios que pueden impactar las finanzas, la disponibilidad

de capital, y barreras al acceso competitivo.

Ambiente natural: Catstrofes naturales o causadas por el ser humano, o cambios

climticos que puedan generar cambios en las operaciones, reduccin en la disponibilidad
de materia prima, perdida de sistemas de informacin, resaltando la necesidad de planes de
contingencia.

Factores regulatorios: Nuevos estndares o regulaciones y leyes que impliquen

cambios en las polticas y estrategias operativas y de reporte de la entidad.

Operaciones extranjeras: Cambios en el gobierno o leyes de pases extranjeros que

afecten a la entidad.

Factores sociales: Cambios en las necesidades y expectativas de los clientes que

puedan afectar el desarrollo de los productos, procesos de produccin, servicio al cliente,
precios o garantas.

Factores tecnolgicos: Desarrollos que pueden afectar la disponibilidad y uso de la

informacin, costos de infraestructura y la demanda de los servicios basados en la
tecnologa.
Riesgos internos: Riesgos referentes a la informacin financiera, sistemas de informacin
defectuosos, pocos o cuestionables valores ticos del personal, problemas con las aptitudes
y actitudes, y comportamiento del personal.

Infraestructura: Decisiones sobre el uso de recursos de capital que pueden afectar

las operaciones y la disponibilidad de la infraestructura.

Estructura de la administracin: Cambio en las responsabilidades de la

administracin que pueda afectar los controles que se llevan a cabo en la organizacin.

Personal: Calidad del personal contrato y los mtodos de capacitacin y motivacin

que puedan influir en el nivel de control de conciencia dentro de la entidad, y vencimiento
de contratos que puedan afectar la disponibilidad de personal.

Acceso a los activos: Naturaleza de las actividades de la entidad y acceso de

empleados a los activos, que puedan contribuir a la malversacin de activos.

Tecnologa: Alteraciones en los sistemas de informacin que puedan afectar los

procesos de la entidad.
Los riesgos deben ser claramente identificados y se realiza mediante un mapeo de riesgos
que incluye la especificacin de los procesos claves de la organizacin, la identificacin de

los objetivos generales y particulares, y las amenazas y riesgos que pueden impedir que
estos se cumplan. Tambin es necesario llevar a cabo una evaluacin de riesgos a nivel de
transacciones, permitiendo as tener un nivel aceptable de riesgo en la entidad.
Despus de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a
cabo el anlisis de riesgos. Este proceso debe incluir la evaluacin de la probabilidad de
que ocurra un riesgo, el impacto que causara y la importancia del riesgo. Es importante
estimar la probabilidad de ocurrencia de los riesgos identificados con el fin de calcular
posibles prdidas. Esta estimacin comprende entonces tres variables, probabilidad,
impacto y velocidad; con estas consideraciones se puede construir una matriz de riesgos
para determinar los riesgos prioritarios.
La importancia de cada riesgo en su control interno se basa en la probabilidad de
manifestacin y en el impacto que puede causar en la organizacin. La velocidad del riesgo
se refiere a la rapidez con la que el impacto se evidenciara en la entidad. El impacto est
referido a perdida de activos y de tiempo, disminucin de la eficiencia y eficacia de las
actividades, efectos negativos en los recursos humanos, y alteracin de la exactitud de la
informacin de la organizacin, entre otras. El impacto debe estar expresado en una nica
unidad que puede ser monetaria.
El riesgo comprende barreras que se imponen a la organizacin en su crecimiento o
inclusive para su supervivencia. Eliminar completamente el riesgo es una situacin
hipottica, porque los factores a considerar son demasiados en un entorno donde el
dinamismo es una constante. Sin embargo existen muchas acciones para reducir el riesgo de
que la organizacin sea afectada, una de estas es la implementacin de un adecuado sistema
de control interno.
Debido a que las condiciones econmicas, industriales, legislativas y operativas cambian
constantemente, es necesario disponer de mecanismos para identificar y afrontar los riesgos
asociados. En una organizacin no existe forma de reducir los riesgos a cero, debido a esto
se pueden distinguir dos tipos de riesgos, riesgos inherentes y el riesgo residual. El riesgo
inherente es el riesgo para el cumplimiento de los objetivos de la entidad en la ausencia de

las acciones de la administracin para modificar su probabilidad o impacto; y el riesgo

residual es el que permanece despus de que la administracin lleva a cabo sus respuestas a
los riesgos.
Finalmente, luego de evaluar los riesgos significativos la administracin debe considerar
como van a ser manejados. Esto implica el uso del juicio y un anlisis razonable de costos
asociados con la reduccin de los niveles de riesgo. Las respuestas a los riesgos se
organizan en las siguientes categoras:
Categora
Aceptacin
Anulacin
Reduccin
Compartir

Descripcin
Ninguna accin es tomada para modificar la probabilidad o impacto
del riesgo.
Salida de actividades que dan lugar a riesgos.
Acciones tomadas para reducir la probabilidad o impacto del riesgo.
Reducir la probabilidad o impacto del riesgo, transfirindolo o
compartiendo una parte del riesgo.

Tolerancia al Riesgo
La Tolerancia al Riesgo se refiere al nivel aceptable de variacin en el desempeo relativo
al cumplimiento de los objetivos. Es decir la cantidad mxima de un riesgo que una
organizacin puede aceptar para lograr los objetivos. Funcionar y operar dentro de la
tolerancia al riesgo le proporciona a la administracin la seguridad del cumplimiento de los
objetivos de la entidad.

PRINCIPIO 8: EVALA EL RIESGO DE FRAUDE

La organizacin considera la probabilidad de fraude al evaluar los riesgos para la

consecucin de los objetivos. La administracin debe considerar los posibles actos de
corrupcin ya sean del personal de la entidad o de los proveedores de servicios externos,
que afectan directamente el cumplimiento de los objetivos.
El Marco Integrado de Control Interno establece la necesidad de considerar el riego de
fraude potencial que pueda afectar a la consecucin de los objetivos de la organizacin. Por
lo tanto se definen varios tipos de fraude, enfatizando as el anlisis y gestin del fraude.

Reporting fraudulento

Custodia de activos

Corrupcin
El reporte fraudulento se presenta cuando los estados financieros son preparados
inadecuadamente con omisiones y declaraciones errneas y falsas. Esto sucede por
diferentes irregularidades que se presenten en la entidad. El sistema de control interno debe
prevenir o detectar oportunamente cualquier omisin o informacin errnea en los estados
financieros por fraude o error.
La evaluacin de riesgos debe considerar el riesgo potencial de fraude en las reas de:

Reporte financiero fraudulento

Reporte no financiero fraudulento

Malversacin de activos

Actos ilegales
Como parte del proceso de valoracin de riesgos, la organizacin debe identificar las
diversas maneras como puede ocurrir la presentacin fraudulenta de reportes considerando:

El sesgo de la administracin.

Grado de estimados y juicios en la presentacin de reportes externos.

Esquemas de fraude y escenarios comunes para los sectores de industria y los

mercados en los cuales la entidad opera.

Regiones geogrficas donde la entidad hace negocios.

Incentivos que pueden motivar el comportamiento fraudulento.

Naturaleza de la tecnologa y capacidad de la administracin para manipular la

informacin.

Transacciones inusuales o complejas sujetas a influencia importante de la

administracin.

Vulnerabilidad ante la incapacidad de la administracin para eludir controles y

esquemas potenciales para eludir las actividades de control existentes.
La custodia de activos se refiere a la proteccin de la entidad contra la adquisicin, uso y
disposicin sin autorizacin o engaosa de los activos para el beneficio de un individuo o
grupo, y que puede estar relacionado con mercados ilegales, robo de activos y propiedad
intelectual, transacciones tardas y lavado de dinero.
Los riesgos de corrupcin pueden afectar los objetivos de cumplimiento y el entorno de
control. El anlisis de estos riesgos debe considerar los incentivos y presiones para alcanzar
los objetivos de la entidad. La administracin debe estipular los niveles esperados de
desempeo y estndares de conducta a travs contratos y desarrollo de actividades de
control que supervisen las acciones de las terceras partes.
Factores que intervienen en el Riesgo Fraude:

Incentivos y presiones

Oportunidad

Actitudes y justificaciones
PRINCIPIO 9: IDENTIFICA Y ANALIZA CAMBIOS IMPORTANTES
La organizacin identifica y evala cambios que podan impactar significativamente el
sistema de control interno. Este proceso se desarrolla paralelamente a la evaluacin de
riesgos y requiere que se establezcan controles para identificar y comunicar los cambios
que puedan afectar los objetivos de la entidad.

Cambios en el ambiente externo

Cambios fsicos del ambiente

Cambios en el modelo del negocio

Adquisiciones y ventas de activos significativas

Operaciones extranjeras

Crecimiento rpido

Nuevas tecnologas

Cambios significativos de personal

ACTIVIDADES DE CONTROL
En el diseo organizacional deben establecerse las polticas y procedimientos que ayuden a
que las normas de la organizacin se ejecuten con una seguridad razonable para enfrentar
de forma eficaz los riesgos. Las actividades de control se definen como las acciones

establecidas a travs de las polticas y procedimientos que contribuyan a garantizar que se

lleven a cabo las instrucciones de la direccin para mitigar los riesgos con impacto
potencial en los objetivos.
Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes
etapas de los procesos de negocio y en el entorno tecnolgico, y sirven como mecanismos
para asegurar el cumplimiento de los objetivos. Segn su naturaleza pueden ser preventivas
o de deteccin y pueden abarcar una amplia gama de actividades manuales y
automatizadas. Las actividades de control conforman una parte fundamental de los
elementos de control interno, estas actividades estn orientadas a minimizar los riesgos que
dificulten la realizacin de los objetivos generales de la organizacin. Cada control que se
realice debe estar de acuerdo con el riesgo que previene, teniendo en cuenta que
demasiados controles son tan peligrosos como lo es tomar riesgos excesivos. Estos
controles permiten:

Prevenir la ocurrencia de riesgos innecesarios

Minimizar el impacto de las consecuencias de los mismos

Restablecer el sistema en el menor tiempo posible

En todos los niveles de la organizacin existen responsabilidades en las actividades de
control, debido a esto es necesario que todo el personal dentro de la organizacin conozca
cuales son las tareas de control que debe ejecutar. Para esto se debe explicitar cuales son las
funciones de control que le corresponde a cada individuo.
PRINCIPIO 10: SELECCIONA Y DESARROLLA ACTIVIDADES DE CONTROL
La organizacin selecciona y desarrolla actividades de control que contribuyen a la
mitigacin de riesgos hasta niveles aceptables para la consecucin de los objetivos. Las
actividades de control apoyan todos los componentes del sistema de control interno,
particularmente el componente de Evaluacin de Riesgos. Durante la evaluacin de los

riesgos la administracin identifica e implementa acciones necesarias para llevar a cabo las
respuestas a los riesgos, y asegurar que dichas respuestas son apropiadas y oportunas.
Los factores especficos de cada entidad influyen en las actividades de control necesarias
para apoyar el sistema de control interno. Algunos son:

El ambiente y complejidad de la entidad, y naturaleza y alcance de sus operaciones.

Alcance y naturaleza de las respuestas a los riesgos y actividades de control de

entidades multinacionales.

Sistemas de informacin ms sofisticados.

Estructuras de las entidades.

Tipos de actividades de control
Los controles se pueden agrupar en tres categoras dependiendo del objetivo de la entidad
con las que se relacione: las operaciones, la confiabilidad de la informacin financiera, el
cumplimiento de las leyes y reglamentos. Algunos controles se relacionan solamente con un
rea especfica dentro de la organizacin, pero frecuentemente las tareas de control
definidas para un objetivo especfico pueden utilizarse para lograr el cumplimiento de otros
objetivos. Dentro de estas categoras se pueden distinguir otros tipos de control:
preventivos, de deteccin y correctivos; manuales, automatizados o informatizados;
gerenciales y operativos.
Los controles preventivos son diseados para evitar eventos no deseados; y los controles de
deteccin son diseados para identificar y descubrir eventos no deseados despus de que ya
han ocurrido.
La direccin debe realizar un seguimiento de todos los procesos de la entidad para
determinar en qu medida se estn alcanzando los objetivos. Una correcta toma de

decisiones viene dada por la obtencin de la correcta informacin en el momento en que se

necesita, para esto se debe verificar la confiabilidad de la informacin.
Algunas herramientas tiles en esta actividad son: comparacin de los datos con los
histricos referidos a los mismos periodos, anlisis de la informacin real contra la
informacin pronosticada, cruzamiento de fuentes de informacin, seguimiento de
campaas comerciales, programas de mejoramiento de productos, entre otras.
PRINCIPIO 11: SELECCIONA Y DESARROLLA CONTROLES GENERALES
SOBRE TECNOLOGA
La organizacin selecciona y desarrolla actividades de control general sobre la tecnologa
para apoyar el cumplimiento de los objetivos. Las actividades de control y la tecnologa se
relacionan de dos formas:

La tecnologa apoya los procesos del negocio: Cuando la tecnologa est integrada
en los procesos del negocio, se necesitan actividades de control para mitigar el riesgo de un
funcionamiento adecuado.

La tecnologa se utiliza para automatizar las actividades de control: Muchas

actividades de control de una organizacin estn parcial o completamente automatizadas.
Las actividades de control en los sistemas de informacin pueden agruparse en dos
categoras, Controles generales y controles de aplicacin:
Controles generales: Incluyen las actividades de control sobre la infraestructura
tecnolgica, seguridad de la administracin y adquisicin, desarrollo y mantenimiento de
los sistemas de informacin y herramientas tecnolgicas. Estas actividades se aplican en
todos los aspectos relacionados con la tecnologa: sobre las operaciones del centro de
proceso de datos, la adquisicin y mantenimiento de software, el control de acceso y el
desarrollo y mantenimiento de aplicaciones. Incluyen las medidas y procedimientos
manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de
informacin.

La tecnologa requiere de una infraestructura para operar, establecer redes de

comunicacin, desarrollo de aplicaciones, y dems elementos que puede ser complejos
dependiendo las caractersticas de la organizacin. Esta puede ser compartida por las
unidades de la entidad, o contratada a proveedores de servicios externos. Dichas
caractersticas pueden generar riesgos que deben ser entendidos y manejados por la entidad.
Los procesos de seguridad de la administracin incluyen las actividades de control para
controlar el acceso a la infraestructura tecnolgica de la organizacin, previniendo as
accesos y usos no autorizados o inapropiados. Adems tienen en cuenta las amenazas tanto
internas como externas que pueden afectar a la infraestructura tecnolgica.
La adquisicin, desarrollo y mantenimiento de tecnologas son soportados por los controles
generales de tecnologa. Estos supervisan los cambios, autorizaciones, uso de licencias,
aprobaciones, con el fin de asegurar un adecuado uso de las tecnologas y sistemas de
informacin. Algunos controles generales son:

Controles sobre las operaciones del centro de procesamiento de datos: Este control
est relacionado con la estructura del centro de procesamiento de datos, determinando
responsable del sector, separacin de funciones, niveles de autorizacin. Las normas
COBIT complementarias de las COSO, aconsejan la existencia de un comit de sistemas y
controles gerenciales sobre el rea de procesamiento de datos. El rea de sistemas debe
estar definida como un sector autnomo que no supervisa ni es supervisado por ninguna de
las reas usuarias.

Normativas y procedimientos: Pautas o instrucciones bsicas que refieren a las

buenas prcticas, que son deseables dentro del ambiente de sistemas, estas normas y
procedimientos se refieren al desarrollo y mantenimiento de programas, pruebas de
programas, pasajes de programas a produccin y documentacin de sistemas.

Normas sobre continuidad del procesamiento: Estar normas preservan a la

organizacin ante un posible colapso de los sistemas de informacin. Controles que estn
dirigidos al anlisis de criticidad de los procesos, biblioteca de operaciones, back up de

archivos, plan de contingencias, creacin y mantenimiento, capacitacin y entrenamiento, y

pruebas.

Proveedores externos: Se deben implementar en la organizacin los mecanismos

necesarios para el control de las aplicaciones que puedan llegar a adquirirse a proveedores
externos. Para esto se debe tener en cuenta: contrataciones formales, disposicin de
programas fuentes, documentacin de desarrollo del sistema, acceso irrestricto a sistemas,
datos y documentacin.

Controles sobre la seguridad fsica: Se deben establecer restricciones a la utilizacin

del sistema apersonas no autorizadas. As como la creacin y mantenimiento de
condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en que se
procesa la informacin. Para esto se debe tener en cuenta: acceso restringido al rea de
procesamiento de datos central, instalaciones adecuadas, energa interrumpible, medios de
deteccin y extincin de incendios, y aire acondicionado.

Controles sobre la seguridad lgica: Controles relacionados con las redes de

telecomunicaciones, para proteger al sistema contra el acceso y uso no autorizados, incluso
para prevenir la piratera informtica. Actividades de control aplicables son: identificacin
o login, autenticacin, autorizacin, registracin. La autenticacin o identificacin se
sustentan en algo conocido, contrasea, algo posedo, tarjeta, clave, algo personal,
reconocimiento, firma, huellas dactilares.
Controles de Aplicacin: Para asegurar el correcto funcionamiento y la confiabilidad del
procesamiento de transacciones el sistema de informacin debe ser controlado
debidamente. Los sistemas de informacin deben contar son mecanismos de seguridad que
alcancen a las entradas, procesos, almacenamiento y salidas. Con una flexibilidad que
permita cambios o modificaciones cuando sea necesario. El sistema debe dar apoyo y
controlar todas las actividades de la organizacin como registrar y supervisar las
actividades y eventos que ocurran, adems de mantener registros financieros.
PRINCIPIO

12:

SE

PROCEDIMIENTOS

IMPLEMENTA

TRAVS

DE

POLTICAS

La organizacin despliega actividades de control a travs de polticas que establecen lo que

es esperado y los procedimientos que ponen las polticas en accin. Las polticas reflejan
las afirmaciones de la administracin sobre lo que debe hacerse para llevar a cabo los
controles.
Estas afirmaciones deben documentadas, y expresados tanto explcitamente como
implcitamente, a travs de comunicaciones y acciones y decisiones.
Los procedimientos son las acciones para implementar las polticas establecidas.
Las polticas y procedimientos deben cumplir con:

Oportunidad: Los procedimientos deben incluir el tiempo en el que se llevara a

cabo una actividad de control, o acciones correctivas o de supervisin.

Acciones correctivas: Se Deben tomar acciones correctivas cuando sea apropiado.

Competencia: Las actividades de control deben ser implementadas por personal

competente con la suficiente autoridad para desarrollarla. Esta competencia depender de la
actividad de control y su complejidad.

Reevaluacin peridica: Las polticas y procedimientos deben ser evaluados

constantemente para determinar su relevancia y efectividad, debido a los cambios en las
personas, procesos y tecnologa que pueden reducir la efectividad o hacer algunas
actividades redundantes.
PRINCIPIO 13: USA INFORMACIN RELEVANTE
Sistema de informacin y comunicacin
El personal debe no solo captar una informacin, sino tambin intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto este componente hace
referencia la forma en que las reas operativas, administrativas y financieras de la
organizacin identifican, capturan e intercambian informacin.

La informacin es necesaria para que la entidad lleve a cabo las responsabilidades de

control interno que apoyan el cumplimiento de los objetivos. La gestin de la empresa y el
progreso hacia los objetivos establecidos implican que la informacin es necesaria en todos
los niveles de la empresa. En este sentido la informacin financiera no se utiliza solo para
los estados financieros, sino tambin en la toma de decisiones. Por ejemplo toda la
informacin presentada a la direccin con relacin a medidas monetarias, facilita el
seguimiento de la rentabilidad de los productos, evolucin de deudores, cuotas en el
mercado, tendencias en reclamaciones.
La informacin son los datos que se combinan y sintetizan con base a la relevancia para los
requerimientos de informacin. Es importante que la direccin disponga de datos fiables, a
la hora de efectuar la planificacin, preparar presupuestos, y dems actividades. Es por esto
que la informacin debe ser de calidad y tener en cuenta los siguientes aspectos:

Contenido: Presenta toda la informacin necesaria?

Oportunidad: Se facilita en el tiempo adecuado?

Actualidad: Est disponible la informacin ms reciente?

Exactitud: Los datos son correctos y fiables?

Accesibilidad: La informacin puede ser obtenida fcilmente por las personas

adecuadas?
La comunicacin es el proceso continuo e iterativo de proporcionar, compartir y obtener la
informacin necesaria, relevante y de calidad, tanto interna como externamente. La
comunicacin interna es el medio por el cual la informacin se difunde a travs de toda la
organizacin, que fluye en sentido ascendente, descendente y a todos los niveles de la
entidad. Esto hace posible que el personal pueda recibir de la alta direccin un mensaje
claro de las responsabilidades de control. La comunicacin externa tiene dos finalidades,
comunicar de afuera hacia el interior de la organizacin, informacin externa relevante y

proporcionar informacin interna relevante de adentro hacia afuera, en respuesta a las

necesidades y expectativas de grupos de inters externos.
Para esto se tiene en cuenta:

Integracin de la informacin con las operaciones y calidad de la informacin,

analizando si esta es apropiada, oportuna, fiable y accesible.

Comunicacin de la informacin institucional eficaz y multidireccional.

Disposicin de la informacin til para la toma de decisiones.

Los canales de informacin deben presentar un grado de apertura y eficacia acorde a

las necesidades de informacin internas y externas.
La comunicacin puede ser materializada en manuales de polticas, memorias, avisos o
mensajes de video. Cuando se hace verbalmente la entonacin y el lenguaje corporal le dan
un nfasis al mensaje. La actuacin de la direccin debe ser ejemplo para el personal de la
entidad.
Un sistema de informacin comprende un conjunto de actividades, y envuelve personal,
procesos, datos y/o tecnologa, que permite que la organizacin obtenga, genere, use y
comunique transacciones e informacin para mantener la responsabilidad y medir y revisar
el desempeo o progreso de la entidad hacia el cumplimiento de los objetivos.
Usa informacin Relevante
La organizacin obtiene o genera y usa informacin relevante y de calidad para apoyar el
funcionamiento de control interno. La informacin con respecto a los objetivos de la
entidad es recolectada de las actividades de la Junta directiva y la alta direccin y
sintetizada de tal manera que la administracin y dems personal puedan entender los
objetivos y cul es su role para la consecucin de los mismos.

La administracin debe desarrollar e implementar controles para la identificacin de la

informacin relevante que soporte el correcto funcionamiento de los componentes. La
informacin proviene de diferentes fuentes y en diferentes formas. El siguiente cuadro
presenta algunos ejemplos de datos internos y externos y fuentes de las cuales la
administracin puede obtener informacin til y relevante para control interno.

SISTEMAS DE INFORMACIN
Las organizaciones desarrollan sistemas de informacin para obtener, capturar y procesar
grandes cantidades de datos de fuentes tanto internas como externas, y convertirlos en
informacin significativa y procesable y cumplir con los requerimientos definidos de
informacin. Los sistemas de informacin implican una combinacin de personal, datos, y
tecnologa que apoyan los procesos del negocio.
La informacin se puede obtener a travs de varias formas como entradas manuales,
recopilacin, o tecnologas de informacin. El volumen de la informacin de la
organizacin puede presentar tanto oportunidad como riesgos. Por esta razn se deben
implementar controles que garanticen el uso y manejo adecuado de la informacin,
sistemas de informacin desarrollados con integridad y procesos tecnolgicos proporcionan

oportunidades para mejorar la efectividad, velocidad y acceso de la informacin a los

usuarios.
Otro factor importante es la calidad de la informacin, la cual debe cumplir con las
siguientes caractersticas:

Accesibilidad

Apropiada

Actual

Protegida

Conservada

Suficiente

Oportuna

Valida

Verificable
PRINCIPIO 14: COMUNICA INTERNAMENTE
La organizacin comunica internamente la informacin, incluyendo objetivos y
responsabilidades para control interno, necesarias para apoyar el funcionamiento del
sistema de control interno. De esta manera la administracin debe establecer e implementar
polticas y procedimientos que faciliten una comunicacin interna efectiva.
La alta direccin comunica claramente los objetivos de la entidad a travs de la
organizacin para que la administracin, personal, contratistas, entiendan sus roles y
responsabilidades en la organizacin. Estas comunicaciones incluyen:

Polticas y procedimientos que apoyan al personal en el desarrollo de sus

responsabilidades de control interno.

Objetivos especficos

Importancia, relevancia y beneficios de un control interno efectivo.

Roles y responsabilidades de la administracin y dems personal en el desarrollo de

controles.

Expectativas de la organizacin a travs de toda la organizacin.

Comunicaciones con la Junta directiva
La comunicacin entre la administracin y la Junta directiva, le proporcionan a la Junta la
informacin necesaria para ejercer su supervisin de las responsabilidades de control
interno. Las comunicaciones usualmente se refieren a la adherencia, cambios o problemas
que se presentan en el sistema de control interno.
Las comunicaciones deben ser regulares y frecuentes para que la Junta Directiva entienda
los resultados de las evaluaciones continuas e independientes de la administracin y el
impacto de sus resultados sobre la consecucin de los objetivos, y que les permita
responder adecuada y oportunamente en caso de un control interno inefectivo.
Tambin es importante una comunicacin directa de la Junta Directiva con el personal, sin
la interferencia de la administracin cuando sea apropiado.
Canales de comunicacin
Para que la informacin fluya a travs de la organizacin, deben existir canales adecuados
de comunicacin. Adems es necesario canales para comunicaciones annimas o
confidenciales que permiten que los empleados puedan reportar situaciones sospechosas.
Mtodos de comunicacin

Tanto la claridad como la efectividad de la comunicacin aseguran que el mensaje haya

sido recibido. Existen formas de comunicacin ms efectivas que otras, por esta razn es
necesario una evaluacin continua para determinar si las comunicaciones son efectivas o
no.
La administracin selecciona el mtodo adecuado de comunicacin teniendo en cuenta la
audiencia, naturaleza de la comunicacin, costo, implicaciones regulatorias, y dems
factores. Algunos mtodos son:

Paneles de control

Correo electrnico email

Formacin presencial o en lnea

Memorandos

Discusiones uno a uno

Evaluaciones de desempeo

Polticas y procedimientos

Presentaciones

Anuncios de medios sociales

Mensajes de texto

Transmisiones va internet y otras formas de video

Sitios web o publicaciones

PRINCIPIO 15: COMUNICA EXTERNAMENTE

La organizacin se comunica con los grupos de inters externos en relacin a los aspectos
que afectan el funcionamiento del control interno. La organizacin debe desarrollar e
implementar controles que faciliten la comunicacin externa. Este proceso debe incluir las
polticas y procedimientos para obtener y recibir informacin de partes externas, y
compartir dicha informacin internamente.
La comunicacin con terceras partes permite que estas entiendan eventos, actividades y
circunstancias que puedan afectar su interaccin con la entidad. Al mismo tiempo la
informacin que la entidad pueda recibir de terceras parte puede proporcionar informacin
importante sobre el sistema de control interno.
SUPERVISIN DEL SISTEMA DE CONTROL - MONITOREO
Siempre es necesario realizar actividades de supervisin o seguimientos a los niveles y
sistemas de control interno.
El alcance y la frecuencia de la evaluacin o seguimiento del control interno varan segn
la magnitud de los riesgos objetos de control y la importancia de los controles para la
reduccin de los mismos. As, los controles que actan sobre los riesgos de mayor prioridad
y los ms crticos para la reduccin de un determinado riesgo sern objeto de una
evaluacin con ms frecuencia.
PRINCIPIO

16:

CONDUCE

EVALUACIONES

CONTINUAS

Y/O

INDEPENDIENTES
Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de
mejoramiento continuo, as mismo el sistema de control interno debe ser flexible para
reaccionar gilmente y adaptarse a las circunstancias. Las actividades de monitoreo y
supervisin deben evaluar si los componentes y principios estn presentes y funcionando en
la entidad.
Es importante determinar, supervisar y medir la calidad del desempeo de la estructura de
control interno, teniendo en cuenta:

Las actividades de monitoreo durante el curso ordinario de las operaciones de la

entidad.

Evaluaciones separadas.

Condiciones reportables.

Papel asumido por cada miembro de la organizacin en los niveles de control.

Es importante establecer procedimientos que aseguren que cualquier deficiencia detectada
que pueda afectar al sistema de control interno, sea informada oportunamente para tomar
las decisiones pertinentes. Los sistemas de control interno cambian constantemente, debido
a que los procedimientos que eran eficaces en un momento dado, pueden perder su eficacia
por diferentes motivos como la incorporacin de nuevos empleados, restricciones de
recursos, entre otros.
Conduce evaluaciones continuas y/o independientes
La organizacin selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o
independientes para determinar si los componentes del sistema de control interno estn
presentes y funcionando.
Las actividades de monitoreo y supervisin son llevadas a cabo a travs de evaluaciones
continuas e independientes. Las evaluaciones continas estn integradas en los procesos de
negocio en los diferentes niveles de la entidad y suministran informacin oportuna, debido
a que permiten una supervisin en tiempo real y gran rapidez de adaptacin. El uso de la
tecnologa apoya las evaluaciones continuas, tienen un alto estndar de objetividad y
permiten una revisin eficiente de grandes cantidades de datos a un bajo costo.
Las evaluaciones independientes se ejecutan peridicamente y pueden variar en alcance y
frecuencia dependiendo de la evaluacin de riesgos, la efectividad de las evaluaciones
continuas y otras consideraciones de la direccin. Estas evaluaciones no estn incluidas en
los procesos del negocio, pero permiten determinar si cada uno de los componentes est

presente y funcionando. Las evaluaciones incluyen observaciones, investigaciones,

revisiones y examinaciones, apropiadas para determinar si los controles para llevar a cabo
los principios a travs de la entidad son diseados, implementados y conducidos.
PRINCIPIO 17: EVALA Y COMUNICA DEFICIENCIAS
La organizacin evala y comunica las deficiencias de control interno de forma oportuna a
las partes responsables de aplicar medidas correctivas, incluyendo la alta direccin y el
consejo, segn corresponda. Las deficiencias en lo componentes y principios de control
interno pueden surgir de diferentes maneras:

Actividades de monitoreo

Otros componentes del sistema de control interno

Partes externas
Las deficiencias o debilidades encontradas en el sistema de control interno deben ser
comunicadas a las partes indicadas en la organizacin y oportunamente para que se adopten
las medidas necesarias. Este proceso se denomina Informe de deficiencias, que le permite a
la direccin estar enterado de lo que no est funcionando en forma adecuada. Una
deficiencia es definida como un defecto en uno o ms componentes y principios relevantes
que reduce la probabilidad de que la entidad logre sus objetivos.
Cuando se determina que existe una deficiencia grave respecto a la presencia y
funcionamiento de un componente o principio del sistema de control interno, la
organizacin no puede concluir que ha cumplido con los requisitos de un sistema de control
interno efectivo.

Deficiencia de control Interno: Defecto en un componente y en los principios

relevantes, que reduce la probabilidad de que la entidad logre sus objetivos.

Deficiencia importante/mayor: Deficiencia del control interno o combinacin de

deficiencias que de manera severa reduce la probabilidad de que la entidad pueda lograr sus
objetivos. Tambin se presenta cuando uno o ms componentes no estn presentes o
funcionando.