COMPILACIÓN Coso, SOX, Mejores Practicas Internacionales en Control Interno PDF

-COMPILACIN BIBLIOGRAFICA SOBRE ESTANDARES, ENFOQUES Y
DIRECTRICES DE AUDITORIA-
COSO, SOX, MEJORES PRACTICAS INTERNACIONALES EN CONTROL

INTERNO
Presentado por:
Catheryne Patio Cardona 1700621484
Presentado a:
Ing., Carlos Hernn Gmez Gmez
Materia:
Auditora de Sistemas Informticos
UNIVERSIDAD DE CALDAS
FACULTAD DE INGENIERAS
INGENIERA EN SISTEMAS Y COMPUTACIN
MANIZALES, CALDAS
OCTUBRE DE 2010
Tabla de contenido
INTRODUCCION .............................................................................................................................. 4
MARCO TERICO........................................................................................................................... 5
1.HISTORIA Y EVOLUCIN. ......................................................................................................... 8
2. COMPONENTES DE CONTROL INTERNO ........................................................................... 9
2.1. AMBIENTE DE CONTROL ................................................................................................. 9
2.1.2 Competencia profesional ............................................................................................... 9
2.1.3 Filosofa y estilo de la Direccin ................................................................................. 10
2.1.4 Estructura y plan organizacional ................................................................................ 10
2.1.5 Polticas y prcticas de los RRHH ............................................................................. 10
2.1.6 Comit de Administracin o Comit de Auditora .................................................... 11
2.2 VALORACIN DE RIESGO ............................................................................................ 11
2.2.1 Identificacin de riesgos .............................................................................................. 12
2.2.2 Objetivos de control de riesgos .................................................................................. 12
2.2.3 Condiciones previas para la evaluacin del riesgo ................................................. 12
2.2.4 Medicin y evaluacin de riesgos ............................................................................. 13
2.2.5 Cuantificacin de riesgos ............................................................................................ 13
2.3 ACTIVIDADES DE CONTROL .......................................................................................... 13
2.3.1 Importancia de las actividades de control................................................................. 14
2.3.2 Quines deben llevar a cabo las actividades de control ........................................ 14
2.3.3 Categoras ..................................................................................................................... 14
2.3.4 Mecanismos de control ................................................................................................ 15
2.3.5 Control sobre los sistemas de procesamiento electrnico de datos .................... 17
2.3.6 Controles sobre las aplicaciones ............................................................................... 20
2.3.7 Autoevaluacin de controles basada en los modelos ........................................... 20
2.4 INFORMACIN Y COMUNICACIN ............................................................................... 22
2.4.1 Informacin .................................................................................................................... 22
2.4.2 Comunicacin................................................................................................................ 23
2.5 MONITOREO Y SUPERVISIN ....................................................................................... 24
2.5.1 Supervisin continua .................................................................................................... 24

5. COMPARATIVO CON COBIT.................................................................................................. 26
5.1 Definiciones. ......................................................................................................................... 30
5.2 Componentes ....................................................................................................................... 31
5.3 Ambiente de Control ............................................................................................................ 31
5.4 Evaluacin de Riesgos ....................................................................................................... 32
6. RESUMEN .................................................................................................................................. 33
6.1 DEFINICIN DE C.O.S.O. ................................................................................................. 34
6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O. ................................. 34
6.3 MARCO INTEGRADO DE CONTROL ............................................................................. 35
6.3.1. Ambiente de control .................................................................................................... 35
6.3.2. Evaluacin de riesgos................................................................................................. 36
6.3.3. Actividades de control ................................................................................................. 37
6.3.4. Informacin y Comunicacin ..................................................................................... 38
6.3.5. Supervisin ................................................................................................................... 39
CONCLUSIONES: .......................................................................................................................... 42
BIBLIOGRAFIA ............................................................................................................................... 43
INTRODUCCION
Debido al mundo econmico integrado que existe hoy en da se ha creado la necesidad

de integrar metodologas y conceptos en todos los niveles de las diversas reas
administrativas y operativas con el fin de ser competitivos y responder a las nuevas
exigencias empresariales, surge as un nuevo concepto de control interno donde se brinda
una estructura comn el cual es documentado en el denominado informe COSO.
La definicin de control interno se entiende como el proceso que ejecuta la administracin
con el fin de evaluar operaciones especificas con seguridad razonable en tres principales
categoras: Efectividad y eficiencia operacional, confiabilidad de la informacin financiera
y cumplimiento de polticas, leyes y normas.
El control interno posee cinco componentes que pueden ser implementados en todas las
compaas de acuerdo a las caractersticas administrativas, operacionales y de tamao;
los componentes son: un ambiente de control, una valoracin de riesgos, las actividades
de control (polticas y procedimientos), informacin y comunicacin y finalmente el
monitoreo o supervisin.
Cabe destacar que la responsabilidad principal en la aplicacin del control interno en la
organizacin debe estar siempre en cabeza de la administracin o alta gerencia con el fin
de que exista un compromiso real a todos los niveles de la empresa, siendo funcin del
departamento de auditora interna o quien haga sus veces, la adecuada evaluacin o
supervisin independiente del sistema con el fin de garantizar la actualizacin, eficiencia y
existencia a travs del tiempo.
La comprensin del control interno puede as ayudar a cualquier entidad pblica o privada
a obtener logros significativos en su desempeo con eficiencia, eficacia y economa,
indicadores indispensables para el anlisis, toma de decisiones y cumplimiento de metas.
MARCO TERICO
La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco de
transparencia para las actividades y reportes financieros de las empresas que cotizan en
Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio Estado. Afecta
Directamente a toda empresa pblica de los Estados Unidos y sus subsidiarias en todo el
mundo, as como empresas extranjeras que coticen en cualquier Bolsa de Valores en los
Estados Unidos.
SOX contempla una revisin ms rigurosa de los datos que una empresa declara en sus
estados financierocontables que utiliza para sus controles internos, y no solamente
abarca fraudes por falsedad en dichas declaraciones, sino tambin por inferencia, y todos
los casos de fraude en los que se desvirten de manera importante los estados
financieros, como la malversacin de activos, corrupcin, entre otros. Las multas por
proveer informacin falsa o incorrecta son muy severas, y pueden llegar al extremo de
encarcelar a los ejecutivos de la empresa, o que sta sea retirada de la Bolsa de Valores
en que cotiza. Adems exige contar con un canal de denuncias de irregularidades por
parte de los empleados, accionistas proveedores, etc. para que las mismas sean tratadas
por el Comit de Auditora.
La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado republicano
Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos reglamentos, sino
que es una nueva forma de hacer negocios. Si bien es obligatoria para ciertas
organizaciones, muchas otras toman la decisin de adoptarla dado que constituye una
prctica sana de negocios, mejorando notablemente la reputacin de quien la cumpla.
Modelo COSO:
El marco de control interno sugerido para cumplir con los lineamientos establecidos por la
Ley SOX, es el diseado por el Comit of Sponsoring Organization of Treadway Comision
(COSO). El COSO fue originalmente instaurado en el ao 1985 con la finalidad de
estudiar los factores que permitan la emisin fraudulenta de reportes financieros. A
comienzos de los aos 90, el Comit realiz un estudio extensivo sobre controles
internos, cuyo resultado fue el marco de control interno COSO.
COSO posee cinco componentes de control, los cuales al ser integrados en cada una de
las unidades de negocio de la organizacin, ayudan a lograr los objetivos de control para
alcanzar los objetivos del negocio, preparacin de cuentas financieras confiables y el
cumplimiento de leyes y regulaciones.
A continuacin se indican las caractersticas de control de los cinco componentes COSO,
a saber:
El aspecto ms pertinente del Informe COSO es su establecimiento, por primera vez, de
una definicin universal de control interno:
Efectividad y Eficiencia de las operaciones.

Confiabilidad en la informacin Econmico-Financiera.
Adecuado cumplimiento de las leyes y regulaciones aplicables.
El control interno consiste en cinco componentes interrelacionados. Los mismos son

derivados de la modalidad en la que la administracin maneja su negocio, y estn
integrados con los procesos administrativos. Los componentes son: Ambiente de Control,
Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin y Monitoreo.
Las siguientes secciones brindan una breve visin de la naturaleza, la importancia y los
conductores primarios de cada componente de control citados en el informe.
Ambiente de control
Entre los factores, interno o externos, que pudiesen incidir en un ambiente de control, se
encuentran los siguientes: integridad y valores morales del personal, compromiso para
contratar y mantener personal de calidad, capacidad en la identificacin de riesgos
operacionales, adiestramiento especializado sobre la aplicacin de controles internos y los
roles desempeados por la Junta y el Comit de Auditora.
Evaluacin de riesgo
Incluye procedimientos para identificar cambios externos que puedan afectar el negocio,
herramientas y metodologas para la identificacin, evaluacin y medicin de los riesgos
operacionales y evaluacin peridica de dichos riesgos en las diversas reas de la
organizacin. En este sentido, se establecen los siguientes objetivos de la evaluacin del
riesgo: existencia, totalidad, derechos y obligaciones, evaluacin, presentacin,
divulgacin y segregacin de funciones.
Actividades de control
Se refieren a las acciones tomadas para implementar polticas y estndares dentro de las
organizaciones. La Ley SOX requiere la evaluacin de las actividades de control para
cada actividad relevante del negocio. Las actividades de control incluyen administracin
de los riesgos operacionales en los procesos de negocio, control de acceso a los sistemas
de informacin y recursos informticos, as como la existencia de controles para mitigar
errores operacionales. Adicionalmente, exige una evaluacin de los controles generales
de cmputo, asociados al rea de IT.
Informacin y Comunicacin
Incluye el despliegue de informacin suficiente para la toma de decisiones, informacin
adecuada y oportuna de los sistemas de informacin, comunicacin apropiada entre los
Departamentos para la coordinacin de actividades conjuntas, as como la disponibilidad
de medios para comunicar irregularidades y resultados a la Alta Gerencia de la
organizacin.
Monitoreo
Un sistema de control necesita ser monitoreado para asegurar que el mismo contina
operando efectivamente. Esto incluye actividades de supervisin, as como la labor
desempeada por Auditora Interna. El seguimiento incluye el monitoreo permanente
entre los indicadores de riesgos operacionales y situaciones crticas, seguimiento

peridico a la efectividad de los controles implantados, as como la disponibilidad de
herramientas para el monitoreo de los riesgos operacionales y su impacto.
1.HISTORIA Y EVOLUCIN.
El denominado INFORME COSO sobre control interno, publicado en EE.UU. en 1992,
surgi como una respuesta a las inquietudes que planteaban la diversidad de conceptos,
definiciones e interpretaciones existentes en torno a la temtica referida.
Plasma los resultados de la tarea realizada durante ms de cinco aos por el grupo de
trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING cre en Estados Unidos en 1985 bajo la sigla COSO
(COMMITTEE OF SPONSORING ORGANIZATIONS). El grupo estaba constituido por
representantes de las siguientes organizaciones:
-
American Accounting Association (AAA).

American Institute of Certified Public Accountants (AICPA).
Financial Executive Institute (FEI).
Institute of Internal Auditors (IIA).
Institute of Management Accountants (IMA).
La redaccin del informe fue encomendada a Coopers & Lybrand. Se trataba entonces de
materializar un objetivo fundamental: definir un nuevo marco conceptual del control
interno, capaz de integrar las diversas definiciones y conceptos que venan siendo
utilizados sobre este tema, logrando as que, al nivel de las organizaciones pblicas o
privadas, de la auditora interna o externa, o de los niveles acadmicos o legislativos, se
cuente con un marco conceptual comn, una visin integradora que satisfaga las
demandas generalizadas de todos los sectores involucrados.
Las primeras empresas en adoptarlo fueron las norteamericanas, para luego extenderse
en el resto del mundo. Una dcada despus, en el 2002, el gobierno de los Estados
Unidos sanciono la ley Sarbanes oxley (ley sox), a partir de la cual las empresas que
cotizan en la bolsa de valores de USA, deban adoptar para la confeccin de sus estados
financieros, una serie de lineamientos especficos.
2. COMPONENTES DE CONTROL INTERNO

El Informe C.O.S.O. destaca cinco componentes esenciales de un sistema de control
interno eficaz que pueden ser implementados en todas las compaas de acuerdo a las
caractersticas administrativas, operacionales y de tamao especficas de cada una. Estos
componentes son: ambiente de control, valoracin de riesgos, actividades de control,
informacin
y
comunicacin
y
finalmente
monitoreo
o
supervisin.
Estos componentes representan las categoras que se necesitan considerar para lograr
los objetivos citados anteriormente. Existe una interrelacin directa entre estos objetivos y
estos componentes.
2.1. AMBIENTE DE CONTROL
Est compuesto por el comportamiento que se mantiene dentro de la organizacin.
Algunos de estos aspectos son la integridad y valores ticos de los recursos humanos, la
atmsfera de confianza mutua, la filosofa y estilo de direccin, la estructura y plan
organizacional, reglamentos y manuales de procedimiento y polticas en materia de
recursos humanos.
2.1.1 Integridad y valores ticos
La Comisin Treadway estableci:
Un clima tico vigoroso dentro de la empresa y en todos los niveles de la misma, es
esencial para el bienestar de la organizacin, de todos los componentes y del pblico en
general. Un clima as contribuye en forma significativa a la eficacia de las polticas y los
sistemas de control de las empresas y permite influir sobre los comportamientos que no
estn
sujetos
ni
a
los
sistemas
de
control
ms
elaborados.
La dificultad en establecer valores ticos radica en la frecuente necesidad de atender
intereses de las distintas partes que pueden ser contrapuestos. Es una tarea
fundamental lograr equilibrio entre los intereses de la direccin, los de la empresa, sus
empleados, proveedores, clientes, competidores y el pblico.
Algunas veces, una determinacin incompetente de las metas y objetivos en la misma
organizacin dificulta lograr conductas ticas incitando a los individuos que en ella
trabajan a cometer actos fraudulentos, ilegales o poco ticos. Un ejemplo es poner
nfasis en lograr o mostrar resultados a corto plazo. Esta premisa en principio inocente
fomenta una condicin que el personal debe cumplir y de no hacerlo pagar un costo.
Por ello, para defender sus propios intereses, se ve tentado a hacerlo.
2.1.2 Competencia profesional
Es muy importante contar con personal competente que tenga una formacin adecuada
de acuerdo al cargo que ocupa y responsabilidades que tenga. La aptitud se refiere a los
conocimientos y habilidades de cada persona.
2.1.3 Filosofa y estilo de la Direccin

Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al control
interno. Un planteo empresarial orientado excesivamente al riesgo o no tomar en cuenta
los aspectos de control al emprender negocios son indicativos de riesgos en el control
interno. Desde otro punto de vista, una gerencia que sin dejar de afrontar riesgos toma en
cuenta todos los elementos necesarios para su seguimiento pero evitando riesgos
inadecuados crea un ambiente propicio para control interno en la organizacin.
2.1.4 Estructura y plan organizacional
Todo organismo debe desarrollar una estructura organizativa que atienda el cumplimiento
de su misin y objetivos, la que deber estar plasmada en un algn tipo de herramienta
grfica. La estructura organizativa, formalizada en un organigrama, constituye el marco
formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo, as como
tambin las actividades a desempear a los fines de alcanzar los objetivos definidos por la
alta gerencia de la organizacin, clasificando dichas actividades como de planificacin, de
gestin o de control.
El nivel de formalidad que alcanza la estructura organizativa definida es directamente
proporcional al tamao de la organizacin. Conforme las organizaciones crecen, las
mismas demandan una mayor especializacin en los cargos, lo que conlleva a los niveles
de formalidad requeridos.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera
que las decisiones queden en manos de quienes estn ms cerca de la operacin a modo
de auto gestionarse. Esto se ve posibilitado debido a que los sistemas de control internos
han mejorado sustancialmente debido al surgimiento de programas de aplicacin cuya
finalidad es registrar los datos transaccionales facilitando as el control.
Toda delegacin de tareas conlleva la necesidad de que los jefes examinen y aprueben,
cuando corresponda, el trabajo de sus subordinados, y que ambos cumplan con la debida
rendicin de cuentas de sus responsabilidades y tareas tanto en tiempo como en forma.
Tambin requiere que todo el personal conozca, responda y entienda cmo su accionar
repercute en los objetivos generales.
2.1.5 Polticas y prcticas de los RRHH
El personal es el recurso ms valioso que posee cualquier organismo. Por ende, debe ser
tratado y conducido de forma tal que se consiga su mximo rendimiento. Debe procurarse
su satisfaccin y realizacin personal en el trabajo que realiza, tendiendo a que ste se
enriquezca. Para lograr este objetivo, la direccin debe realizar diferentes actividades al
momento de seleccin, capacitacin, rotacin y promocin del personal as como tambin
cuando se aplican sanciones disciplinarias.
2.1.6 Comit de Administracin o Comit de Auditora

Dichos comits se encuentran con mayor frecuencia en organizaciones de mayor
tamao. Su objetivo general es la vigilancia del adecuado funcionamiento del sistema de
control interno como as tambin procura el mejoramiento continuo del mismo. Para su
efectivo desempeo debe integrarse adecuadamente, es decir, con miembros de
capacidad y trayectoria que exhiban adems un grado elevado de conocimiento y
experiencia que les permita apoyar objetivamente a la Direccin mediante su gua y
supervisin.
2.2 VALORACIN DE RIESGO
El riesgo es otro de los elementos que constituyen el control interno. Los riesgos son
hechos o acontecimientos cuya probabilidad de ocurrencia es incierta pero no nula. La
importancia de cada riesgo en el control interno se basa en su probabilidad de
manifestacin y en el impacto que puede causar en la organizacin.
El riesgo puede ser tanto interno como externo y comprende situaciones que imponen a la
organizacin barreras para su crecimiento o inclusive para su supervivencia.
Eliminar completamente el riesgo es una situacin hipottica porque los factores a
considerar son demasiados en un entorno donde el dinamismo es una constante. Sin
embargo, existen muchas opciones para reducir el riesgo de que la organizacin sea
afectada por amenazas. Una de ellas es precisamente un adecuado control interno que
tiene el objetivo, en lo que respecta al riesgo, de mantener en observacin las principales
variables
que
comprenden
los
riesgos
ms
importantes.
El principal responsable de considerar y tomar acciones contra los riesgos involucrados
en el actuar de la organizacin es la alta direccin. Sin embargo, a partir de sus
observaciones y determinaciones, la responsabilidad de mantener control interno sobre
los riesgos se propaga hacia el resto de la organizacin, tanto en dimensin vertical como
horizontal. De esta manera se mantienen responsabilidades bien definidas en toda la
organizacin pero manteniendo una estructura jerrquica en stas. En este apartado, la
auditora tiene la responsabilidad de supervisar que el control interno cumple sus objetivos
de minimizar los riesgos y en el caso de existir puntos dbiles en el control,
identificarlos. Podemos citar algunos de los riesgos ms frecuentes que puede sufrir una
organizacin.
Algunos riesgos externos:
desarrollos tecnolgicos que en caso de no adoptarse, provocaran obsolescencia

organizacional
cambios en las necesidades y expectativas de la demanda.
condiciones macroeconmicas (tanto a nivel internacional como nacional)
condiciones microeconmicas
competencia elevada con otras organizaciones
dificultad para obtener crdito o costos elevados del mismo
complejidad y elevado dinamismo del entorno de la organizacin
reglamentos y legislacin que afecten negativamente a la organizacin
Algunos riesgos internos:
riesgos referentes a la informacin financiera

sistemas de informacin defectuosos
pocos o cuestionables valores ticos del personal
problemas con las aptitudes y actitudes (comportamiento) del personal
Los riesgos internos son abarcados por el control interno.

2.2.1 Identificacin de riesgos
Para identificar los riesgos ms importantes es necesario realizar un mapeo de estos, que
incluya la especificacin de los dominios o puntos clave de la organizacin, las
interacciones significativas entre la organizacin y los terceros, la identificacin de los
objetivos generales y particulares, y las amenazas y riesgos que se pueden tener que
afrontar.
La direccin tendr la responsabilidad de identificar riesgos, siendo tambin importante
que se analicen con la misma profundidad los factores que pueden contribuir a
aumentarlos.
2.2.2 Objetivos de control de riesgos
En este apartado en particular nos referimos a los objetivos de control del riesgo. Los
procesos mediante los que se establecen objetivos en una organizacin pueden ser muy
estructurados o formales o, por el contrario, informales. Asmismo, los objetivos pueden
encontrarse claramente identificados o bien ser implcitos (por ej., intentar mantener el
mismo nivel de costos fijos que el perodo anterior). Sin embargo, para permitir un control
interno bien determinado es preciso que estn cuantificados de alguna manera ya que de
no estarlo se hace difcil la comparacin de valores categricos. De existir indicadores
cualitativos (sin cuanta explcita) es necesario asignarles una ponderacin cuantitativa de
acuerdo a las necesidades de la organizacin. Los objetivos relativos al riesgo deben
considerar controles que aseguren detectarlo para posteriormente tomar medidas
correctivas para reducirlo. Por ello los parmetros consisten en valores adecuados que de
alguna manera aseguren que el control interno es eficiente y efectivo.
2.2.3 Condiciones previas para la evaluacin del riesgo
El establecimiento de los objetivos de la empresa, es una condicin previa a la evaluacin
de los riesgos. La direccin debe fijar primero los objetivos, y luego determinar cules
sern los riesgos ms importantes que pueden afectar su logro para poder tomar las
medidas necesarias. De no seguir este orden no se pueden determinar cuantificaciones
correctas para los riesgos y sus impactos.
Establecer objetivos es un requisito previo para un control interno eficaz. Los mismos
deben estar parametrizados para ser mensurables. Sin embargo, an cuando debera
existir una seguridad razonable de que estos objetivos puedan cumplirse, no siempre
existe la seguridad que todos lo hagan.
Esta actividad es una fase clave de los procesos de gestin, y si bien no constituye
estrictamente un componente del control interno, es un requisito que permite garantizar el
funcionamiento del mismo.
2.2.4 Medicin y evaluacin de riesgos
Se debe estimar la frecuencia con que se presentarn los riesgos identificados,as como
tambin se debe cuantificar la probable prdida que ellos pueden ocasionar. Una vez
identificados los riegos a nivel de organismo y de programa/actividad, debe procederse a
su anlisis. Los mtodos utilizados para determinar la importancia relativa de los riesgos
pueden ser diversos e incluirn como mnimouna estimacin de su importancia, la
evaluacin de su probabilidad de ocurrencia y la valoracin de la prdida que podra
provocar en caso de materializarse. Para determinar el orden de importancia general de
los riesgos es necesario considerar su frecuencia y el impacto que pueden provocar en la
organizacin. Con estas consideraciones podemos construir una matriz de riesgos que
permitir identificar los riesgos prioritarios.
2.2.5 Cuantificacin de riesgos
Se describe un mtodo sencillo (entre los varios que existen) que es til para la valoracin
de riesgos y que permitir disponer de un ndice de importancia. Este ndice considera la
frecuencia de ocurrencia de cada riesgo y el impacto que provoca en la organizacin en
caso de hacerse realidad. El impacto est referido a prdida de activos, prdida de
tiempo, disminucin de la eficiencia y eficacia de las operaciones o el control, efectos
negativos en los recursos humanos, y alteracin en la correctitud de la informacin de la
organizacin, entre otras. En este modelo los impactos deben estar expresados en una
nica unidad, que bien puede ser monetaria.
Este mtodo consiste en asignar una frecuencia F (segn un intervalo de tiempo igual
para todos los riesgos, que puede ser anual), y el impacto I que genera (en el mismo
intervalo de tiempo considerado para la frecuencia) medido en dinero. Luego se obtiene
un ndice de exposicin de acuerdo a la frmula:
E=FxI
Una vez obtenidos estos ndices se procede a su ordenamiento para determinar la
prioridad de atencin que se le debe otorgar. Un requisito importante es que todos los
valores deben estar sincronizados. Esto significa que deben estar referidos a un mismo
perodo de tiempo y una misma unidad de impacto.
2.3 ACTIVIDADES DE CONTROL
Las actividades de control son las normas, reglas de qu debe hacerse - y
procedimientos de control que se realizan en el entorno de las organizaciones con el fin
de asegurar que se cumplen todas las operaciones y tareas que establece la Direccin
superior dispuestas de tal forma que tiendan a la prevencin y neutralizacin de los
riesgos.
2.3.1 Importancia de las actividades de control

Las actividades de control conforman el elemento fundamental de los elementos de
control interno. Estas actividades estn orientadas a minimizar los riesgos que dificulten la
realizacin de los objetivos generales de la organizacin.
Cada control que se realice dentro de la organizacin debe estar de acuerdo con el riesgo
que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo
es tomar riesgos excesivos, ya que las tareas engorrosas reducen la productividad del
personal.
2.3.2 Quines deben llevar a cabo las actividades de control
Las actividades de control se deben realizar en todos los niveles de la organizacin y en
cada una de las etapas de gestin de la misma. Comenzando con un anlisis de riesgos a
fin de disponer los controles destinados a:
Prevenir la ocurrencia de riesgos innecesarios.

Minimizar el impacto de las consecuencias de los mismos.
Restablecer el sistema en el menor tiempo posible.
2.3.3 Categoras
Los controles se pueden agrupar en tres categoras dependiendo del objetivo de la
entidad con la que se relacionen.
las operaciones.
la confiabilidad de la informacin financiera.
el cumplimiento de las leyes y reglamentos.
Algunos controles se relacionan solamente con un rea especfica dentro de una

organizacin, pero frecuentemente las tareas de control definidas para un objetivo
especfico pueden utilizarse para lograr el cumplimiento de otros objetivos.
En cada uno de estos tres grandes grupos se pueden distinguir otros tipos de control:
Preventivos / de deteccin / correctivos.

Manuales / automatizados o informatizados.
Gerenciales / operativos.
Como podemos deducir de lo anterior, en todos los niveles de la organizacin existen

responsabilidades en las actividades de control. Debido a esto, es necesario que cada
individuo dentro la organizacin sepa cuales son las tareas de control que debe ejecutar.
Para lograr esto se debe explicitar claramente cuales son las funciones de control que les
compete a cada uno.
2.3.4 Mecanismos de control

Seguidamente se explicar en forma sinttica algunos de los mecanismos de control ms
conocidos, los cuales no son los nicos mecanismos posibles de implementar dentro de
una organizacin.
2.3.4.1 Segregacin de funciones
Este es uno de los controles internos mas importantes y efectivos.
Todas las responsabilidades de autorizar, ejecutar, registrar y comprobar una transaccin
deben ser, dentro de lo posible, claramente segregadas y diferenciadas.
2.3.4.2 Anlisis realizados por la Direccin
Una correcta toma de decisiones viene dada por la obtencin de la informacin apropiada
en el momento en que se necesita. Para lograr esto es necesario verificar la confiabilidad
de dicha informacin. Algunas de las herramientas utilizadas para obtener esa
confiabilidad son:
Comparacin de los datos con los histricos referidos a los mismos perodos.
Anlisis de la informacin real contra la informacin pronosticada.
Cruzamiento de fuentes de informacin.
Seguimientos de campaas comerciales, programas de mejora de productos, etc.
2.3.4.3 Documentacin
Todas las transacciones, los hechos significativos y la estructura de control interno deben
estar correctamente documentados de forma completa y exacta, y sta documentacin
debe estar disponible para su verificacin.
La informacin de control interno debe estar asentada en las polticas de la organizacin y
en los manuales de procedimientos. Debe incluir los datos sobre los objetivos, la
estructura y los procedimientos de control.
2.3.4.4 Definicin de niveles de autorizacin
Las transacciones y tareas ms relevantes para la organizacin slo deben ser
autorizados y ejecutados por personal al que le fue asignada la responsabilidad dentro de
sus competencias.
La autorizacin es la forma ms conocida de asegurar que slo se llevan adelante tareas
y transacciones que tienen el apoyo de la direccin de la organizacin, la cual presta su
conformidad para ajustarse claramente a la misin, la estrategia, los planes, programas y
presupuestos de la organizacin en su totalidad.
Las autorizaciones deben documentarse y comunicarse debidamente a las personas o
reas autorizadas, las que debern ejecutar las tareas asignadas de acuerdo con las
indicaciones que se les explicit y dentro del mbito de las competencias establecidas por
la normativa de la organizacin.
2.3.4.5 Registro oportuno y adecuado de las transacciones y hechos
Se debe registrar y clasificar debidamente los hechos y transacciones relevantes que
afectan el funcionamiento de la organizacin. Esta registracin debe realizarse en el
momento de la ocurrencia del hecho para garantizar su relevancia y utilidad para la toma
de decisiones, por lo mismo que se deben clasificar debidamente para ser presentados en
informes y/o estados financieros contables a los directivos y gerentes.
2.3.4.6 Acceso restringido a los recursos, activos y registros
El acceso a todo recurso, activo, registro y comprobante debe estar protegido por
mecanismos de seguridad y limitado a las personas autorizadas, las cuales tienen la
responsabilidad sobre los mismos y estn obligados a rendir cuenta de su custodia y
utilizacin.
Todo activo de valor para la organizacin debe asignarsele a un responsable para su
custodia y adems debe contar con las protecciones adecuadas, como ser: seguros,
almacenaje, sistemas de alarma, etc. Deben estar debidamente registrados y
peridicamente se deben verificar las existencias fsicas con los registros contables para
controlar su coincidencia
Todos estos mecanismos de proteccin cuestan tiempo y dinero, por lo que se debe
analizar cuidadosamente los riesgos que pueden afectar los activos de la organizacin
(por ejemplo, robo, mal uso, destruccin, etc.) y realizar una comparativa con los costos
del control que se quiera implementar.
2.3.4.7 Rotacin del personal en las tareas claves
La idea fundamental es que ningn empleado tenga la posibilidad de cometer algn tipo
de irregularidad por un tiempo prolongado al realizar su tarea. Los empleados que
realizan tales tareas deben rotar peridicamente con otros empleados que realizan otras
funciones dentro de la organizacin.
Este es un mecanismo de probada eficacia que muchas veces no se utiliza debido al
concepto errneo del empleado imprescindible.
2.3.4.8 Control del sistema de informacin
Para garantizar el correcto funcionamiento y asegurar la confiabilidad del procesamiento
de transacciones, el sistema de informacin debe ser controlado debidamente.
Los sistemas de informacin tienen que contar con mecanismos de seguridad que
alcancen a las entradas, procesos, almacenamiento y salidas del mismo. Adems debe
ser flexible para permitir cambios o modificaciones rpidas ante los requerimientos de la
Direccin de la organizacin tanto en las operaciones como en la presentacin de
informes gerenciales. El sistema debe dar apoyo y controlar todas las actividades de la
organizacin (como ser registrar y supervisar las transacciones y eventos que ocurran)
adems de mantener registros financieros.
2.3.4.9 Controles fsicos
Se deben realizar peridicamente recuentos fsicos de los elementos de naturaleza
tangible. Estos controles son muy efectivos al contrastarlos con los datos
correspondientes a los registros contables de los mismos.
2.3.4.10 Indicadores de desempeo
Los mtodos de medicin del desempeo de indicadores para su respectiva supervisin y
evaluacin deben estar presentes en toda organizacin. El resultado de la evaluacin de
estos indicadores se utiliza para tomar, en caso de haber desvos, medidas correctivas en
las
actividades
y
de
esta
manera
mejorar
el
rendimiento.
Si bien este mecanismo contribuye al sustento de las decisiones, los indicadores de
rendimiento no deben ser muy numerosos como para que se hagan engorrosos e
ininteligibles, ni tampoco deben ser tan escasos que no permitan ver cuestiones claves de
las actividades relevantes dentro de la organizacin. Esto se logra analizando el sistema
de indicadores que se ajuste a sus caractersticas, como ser en tamao, produccin, nivel
de competencia de los empleados y otros elementos que diferencien a la organizacin.
El sistema debe tener tanto indicadores cuantitativos (por ejemplo montos
presupuestarios), como cualitativos (por ejemplo nivel de satisfaccin de los usuarios).
2.3.4.11 Funcin de auditora interna independiente
La funcin de auditora interna en las organizaciones debe depender de sus autoridades
superiores y las funciones y actividades que se realizan en dichas auditoras deben ser
independientes de las operaciones que se analizan.
Es una forma certera y efectiva para la gerencia de estar informada sobre el
funcionamiento y confiabilidad de los sistemas de control interno que posee la
organizacin.
La auditora interna, al ser independiente de los sectores que analiza, puede realizar su
cometido con total libertad realizando inspecciones, verificaciones y pruebas que
considere necesario, ya que las actividades que realiza estn desligadas de las
operaciones que analiza. Dicho con otras palabras, no controla lo que realiza sino lo que
realizan las reas de la organizacin.
La auditora interna hace las veces de un representante de la autoridad superior en
cuanto a vigilar el adecuado funcionamiento del sistema, informando en forma oportuna
de las ocurrencias de cualquier situacin indeseada.
2.3.5 Control sobre los sistemas de procesamiento electrnico de datos
Los sistemas de informacin realizan un papel primordial en el desempeo de la gestin
de una organizacin, no slo por el tamao de la misma o la naturaleza de la informacin
que se procese, sino porque es la estructura que sostiene uno de los activos ms
celosamente protegidos y valorados de toda organizacin: los datos y la informacin. Por

esta
razn
dichos
sistemas
necesariamente
deben
estar
controlados.
Las actividades de control de los sistemas de informacin pueden agruparse en dos
categoras: Controles generales y controles de aplicacin.
2.3.5.1 Controles generales
Este tipo de actividad de control de la tecnologa de informacin se aplica a todo el
sistema de informacin, desde los equipos de procesamiento, almacenamiento y redes de
datos hasta la gestin realizada por el usuario final.
Incluyen tambin las medidas y procedimientos manuales que permiten garantizar el
funcionamiento continuo y correcto del sistema de informacin.
2.3.5.2 Controles sobre las operaciones del centro de procesamiento de datos
Este tipo de control est relacionado con la estructura organizativa del centro de
procesamiento de datos: responsable del sector, separacin de funciones, niveles de
autorizacin, etc. En efecto son las mismas reglas de organizacin que se aplican a
cualquier otro sector dentro de la organizacin.
Las normas COBIT, complementarias de las C.O.S.O. en materia bancaria, aconsejan la
existencia de un Comit de Sistemas, como as tambin la existencia de controles
gerenciales sobre el rea de procesamiento de datos.
La ubicacin del rea de sistemas dentro del organigrama general de una organizacin
moderna est definida como sector autnomo que no supervisa ni es supervisado por
ninguna de las reas usuarias.
2.3.5.3 Normativas y procedimientos
Son las pautas o instrucciones bsicas que se refieren a las buenas prcticas que son
deseables dentro del ambiente de sistemas. Estas normas y procedimientos, se refieren
a:
1. Desarrollo y mantenimiento de programas.
2. Pruebas de programas.
3. Pasajes de programas a produccin.
4. Documentacin de sistemas.
2.3.5.4 Normas sobre continuidad del procesamiento
La importancia de este tipo de control radica en su objetivo principal que es el de
preservar el funcionamiento de la organizacin ante un posible colapso del sistema de
informacin. Estos controles estn dirigidos a los siguientes aspectos:
1. Anlisis de criticidad de los procesos.

2. Biblioteca de operaciones.
3. Back-up de archivos.
4. Plan de contingencias.
5. Creacin y mantenimiento.
6. Capacitacin y entrenamiento.
7. Pruebas.
2.3.5.5 Proveedores externos
Se deben implementar en la organizacin los mecanismos necesarios para el control de
las aplicaciones que pudieran llegar a adquirirse a proveedores externos. Los puntos
centrales de atencin cuando se adquiere software de esta manera son:
Contrataciones formales.
Disposicin de programas fuentes.
Documentacin de desarrollo del sistema
Acceso irrestricto a: sistemas, datos y documentacin
2.3.5.6 Controles sobre la seguridad fsica

La forma ms idnea de proteger la integridad de los datos y programas se realiza a
travs de la utilizacin de restricciones a la utilizacin del sistema a personas no
autorizadas, como as tambin mediante la creacin y mantenimiento de condiciones
ambientales adecuadas que ayuden al funcionamiento de los medios en que se procesa
la informacin. Se deben tener en cuenta en este tipo de control los siguientes puntos:
Acceso restringido al rea de procesamiento de datos central.

Instalaciones adecuadas.
Energa ininterrumpible.
Medios de deteccin y extincin de incendios.
Aire acondicionado.
2.3.5.7 Controles sobre la seguridad lgica

Este tipo de control est relacionado con las redes de telecomunicaciones, y debido al
crecimiento de estas ltimas, cobra cada mayor importancia. Estos controles se realizan
tendientes a proteger al sistema contra el acceso y uso no autorizados, hasta podran
prevenir la piratera informtica.
Las actividades de control aplicables a este tipo de actividades son:
Identificacin o loggin.
Autenticacin.
Autorizacin (matriz de autorizaciones).
Registracin.
La identificacin o autenticacin se sustentan:
Algo conocido (contrasea).
Algo posedo (tarjeta, llave).
Algo personal (reconocimiento, firma, huellas dactilares, etc).
Todos estos controles forman parte de los controles generales que se pueden realizar a
los centros de procesamiento de datos de cualquier organizacin.
2.3.6 Controles sobre las aplicaciones
Estos controles permiten asegurar la completitud y exactitud en el procesamiento de las
transacciones, su autorizacin y su validez. Estn diseados principalmente para evitar
que se ingresen en el sistema datos errneos, es decir que son controles preventivos.
Tambin pueden ser eficaces para detectar y corregir errores que fueron ingresados al
sistema con anterioridad. Estn dirigidos bsicamente a:
Registro de transacciones.
Actualizacin de datos aceptados y seguimiento de los rechazados.
Actualizacin de archivos.
Controles de acceso a los registros.
Documentacin tcnica y del usuario actualizada.
Resguardo de los archivos.
Administracin del sistema.
Interfaces con otros sistemas.
2.3.7 Autoevaluacin de controles basada en los modelos

Es una metodologa desarrollada por la auditora interna del Banco de Canad, tambin
es conocida como Autoevaluacin de control o Evaluacin Dinmica de Control
(Dynamic Control Assessment). Se basa y est implcito en las teoras modernas de
control. En la estructura de los modelos C.O.S.O. y C.O.C.O. se definen los componentes
que estructuran el marco integrado de control y estn involucrados en sus tareas el
personal de todos los niveles jerrquicos de la organizacin y de todas las actividades del
negocio para evaluar los controles que apoyan el logro de los objetivos predefinidos.
Esta es una metodologa que si se aplica correctamente produce una mejora sustancial
en el rendimiento y la eficiencia de la organizacin proporcionando mayores resultados
con menos recursos, adems de establecer los mecanismos para el anlisis de los
controles formales e informales.
2.3.7.1 Evaluacin de los controles informales
Para aplicar esta metodologa es necesario identificar los controles informales dentro del
componente ambiente de control y los controles formales en los cuatro componentes
restantes del marco integrado del control interno (evaluacin de riesgo, actividades de
control, informacin y comunicacin, y supervisin).
Esta metodologa consiste en que profesionales en auditora interna realicen talleres con
el grupo de personal operativo, sin la participacin del nivel gerencial de la organizacin,
tratando temas sobre unidades de trabajo o funciones especficas. La gerencia
responsable tiene que definir los objetivos de trabajo ms importantes, as como los
controles necesarios para apoyar a su realizacin. A travs del anlisis realizado en los
talleres se evalan las fortalezas y debilidades de los procesos de trabajo y se comenta
cmo afectan a la consecucin de los objetivos propuestos por la gerencia.
Para organizar las discusiones que se realizan en los talleres se utilizan plantillas para
evaluacin de riesgo de auditora y fijacin de prioridades, previstas en el modelo
C.O.S.O.
En estos talleres se evalan los controles formales e informales, utilizando el mismo
criterio en cada taller para facilitar la acumulacin y comparaciones en el mbito de toda
la organizacin.
Los participantes votan para definir la importancia de cada aspecto y para evaluar la
eficacia.
Este procedimiento se automatiza proporcionando de esta manera los resultados de los
talleres que son presentados en forma adecuada para su posterior anlisis.
2.3.7.2 Evaluacin de controles formales
Este mtodo analiza las actividades de control que se relacionan con los objetivos
especficos de los trabajos que se realizan en cada rea de la organizacin.
En una reunin se definen los controles especficos a la vez que se identifican y agrupan
en cuatro componentes de control, a saber:
Evaluacin de riesgos.
Actividades de control.
Informacin y comunicacin.
Monitoreo o supervisin.
Adems, en esta reunin se logra consenso con la gerencia sobre la importancia y la

eficacia de los controles propuestos a fin de que ayuden a concretar los objetivos y con la
informacin obtenida se elaboran las plantillas para la discusin y votacin que se utilizan
en los talleres realizados con los empleados afectados a dichas tareas.
En los talleres la discusin se realiza en relacin a las actividades de control dentro de los
componentes y la votacin se realiza para definir la importancia y eficacia de dichas
actividades.
2.3.7.3 Informe de resultados
Los reportes sobre las calificaciones y evaluaciones realizadas basndose en los
resultados de los talleres constituyen la base para el anlisis que realiza la gerencia junto
con el departamento de auditora interna cuyo resultado incluye las tareas o acciones a
tomar que consideren necesarias para mejorar la gestin. Las gerencias de cada
departamento evaluado reciben un informe detallado de la Autoevaluacin de control (el
cual brinda una visin general de los controles formales e informales) y tambin reciben
un reporte del Perfil de Confianza, el cual contrasta la evaluacin de los controles de cada
componente con el nivel general de la totalidad de la organizacin.
Con la participacin del departamento de auditora interna en el proceso de
Autoevaluacin de Control se obtiene informacin valiosa respecto a controles potenciales
a implementar.
La auditora adquiere un conocimiento integral de las operaciones y para efectos de
revisiones posteriores ayuda a identificar las prioridades en el proceso de planeacin de
las actividades que se requieran.
2.4 INFORMACIN Y COMUNICACIN
En la actualidad, las organizaciones tienen acceso a un gran volumen de datos. Esto es
debido a las herramientas que, en la actualidad, permitieron una mayor disponibilidad de
los mismos. Estas herramientas son llamadas sistemas de informacin.
Dentro de los mencionados datos existen algunos que son relevantes para la consecucin
de los objetivos propuestos por la organizacin. Adems de ser claros, deben ser
obtenidos en tiempo y forma.
2.4.1 Informacin
La informacin incluye los datos del sector, los datos econmicos de la organizacin y de
los mecanismos de control. Estos pueden ser obtenidos de fuentes internas o externas a
la organizacin, as como tambin de fuentes formales e informales. Dado que las
empresas se mueven en un entorno cada vez ms cambiante, resulta importante que los
sistemas de informacin puedan adaptarse en forma oportuna y gil a las condiciones del
entorno, es por ello que la flexibilidad de los mismos resulta fundamental.
La misma puede presentarse y ser adquirida de diversas maneras sin perder as la
cualidad de informacin.
2.4.1.1 Segn la presentacin:
Fuentes Formales: Por ejemplo la informacin obtenida en seminarios, congresos o
eventos.
Fuentes Informales: Por ejemplo aquella que surge de conversaciones con los clientes o
proveedores.
2.4.1.2 Segn el origen de donde provenga:
Fuentes Internas: la informacin recabada del personal perteneciente a la organizacin.
Puede ser tanto formal (reportes) como informal (conversaciones).
Fuente Externas: la informacin recogida de personas ajenas a la organizacin. Tambin

puede ser formal como informal.
2.4.1.3 Segn el contenido:
Informacin financiera: es informacin que refleja cualquier actividad relacionada con el
origen o el manejo de fondos.
Informacin de control interno: Se identifica y captura informacin utilizada para poner
en marcha otros componentes de control. Tambin se distribuye en un formato
predefinido y de manera oportuna para permitir al personal llevar a cabo, si
correspondiere, las acciones correctivas.
2.4.1.4 Segn la calidad de la informacin: El grado de calidad de la informacin
condiciona fuertemente la toma de decisiones de los individuos de la organizacin y
pueden llegar a determinar si las decisiones son acertadas o no. Es necesario que los
informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. La
calidad de la informacin depender de los siguientes factores:
Contenido: Est toda la informacin necesaria.

Oportunidad: Tiempo de obtencin adecuado.
Actualidad: Informacin reciente.
Exactitud: Contiene datos correctos y precisos.
Accesibilidad: Fcil obtencin por las personas autorizadas y denegacin de acceso a
las no autorizadas.
No es un dato menor que si no se cumple algunos de los factores anteriores, la

informacin pierde parte de su utilidad dado que debe servir para que el personal pueda
cumplir con sus responsabilidades operacionales, de informacin financiera o de control.
2.4.2 Comunicacin
Anteriormente se habl de la obtencin y depuracin de los datos para transformarlos en
informacin. Se hizo foco en que el resultado deba ser claro, conciso, exacto y oportuno.
Tambin se indic que los sistemas de informacin deban proporcionar informacin que
debe ser accesible slo para las personas adecuadas.
Por lo expuesto, se puede determinar que la comunicacin forma parte de los sistemas de
informacin. Los canales por los que se enva la misma deben ser adecuados y debe
estar presente en todos los niveles de la organizacin. Desde el punto de vista jerrquico,
debe producirse de arriba hacia abajo, de abajo hacia arriba y hacia ambos lados. As
como la informacin, la comunicacin puede producirse de manera interna o externa.
2.4.2.1 Comunicacin interna
Cada miembro de la organizacin debe entender la importancia del sistema de control
interno y saber cuales son sus derechos, obligaciones y responsabilidades dentro de este
sistema. tomar Para tomar las medidas correctivas adecuadas, tambin debe conocer
cmo sus acciones se relacionan con el trabajo de los dems, y cmo afecta cualquier
desvo de sus actividades en el resto. Esto aumenta las posibilidades de obtener el
mximo rendimiento de cada RRHH. Tambin es importante que los canales de
comunicacin estn abiertos hacia los niveles superiores, que el personal cuente con
mecanismos para enviar y registrar informacin y que la alta gerencia est dispuesta a
escuchar para que as los empleados puedan enviar sus inquietudes, preocupaciones y, si
correspondiere, denuncias teniendo como premisa la mejora del ambiente de control. De
no ser as es muy probable la consecucin de problemas y violaciones a los controles
establecidos, ya sea por desconocimiento o por mala intencin.
2.4.2.2 Comunicacin externa
Es la que se realiza con las personas ajenas a la organizacin. Es muy importante debido
a que se puede obtener informacin de las preferencias y exigencias de los clientes de
fuentes muy confiables. Un ejemplo remarcable de este tipo de comunicacin son los
estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en
marcha. Las comunicaciones recibidas de terceros a veces brindan informacin
importante sobre el funcionamiento del sistema de control interno. Un ejemplo sencillo
seran los reclamos por envos defectuosos que revelan problemas de tipo operativos o
denuncias de proveedores.
2.5 MONITOREO Y SUPERVISIN
Los sistemas de control interno requieren supervisin, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo del
tiempo. Para lograr sto se llevan a cabo actividades de supervisin continua,
evaluaciones peridicas o una combinacin de ambas cosas. La supervisin continua se
da en el transcurso de las operaciones. Incluye tanto las actividades normales de
direccin y control, como otras actividades llevadas a cabo por el personal en la
realizacin de sus funciones. El alcance y frecuencia de las evaluaciones depender de la
evaluacin de riesgos y de la eficiencia de los procesos de supervisin. Los sistemas de
control interno evolucionan con el tiempo, por lo que procedimientos que eran eficaces en
un momento dado, pueden perder su eficacia o dejar de aplicarse. Es decir que es
necesario actualizar dichos procedimientos hasta hacerlos acordes a las variaciones que
va sufriendo la organizacin a lo largo de su ciclo de vida. Asmismo, las circunstancias
sobre las que se configur el sistema de control interno en un principio tambin pueden
cambiar, reduciendo su capacidad de advertir los nuevos riesgos originados por las
nuevas circunstancias. En consecuencia, la direccin tendr que determinar si el sistema
de control interno es en todo momento adecuado y si se mantiene la capacidad de
asimilar nuevos riesgos.
2.5.1 Supervisin continua
Existe una gran variedad de actividades que permiten efectuar un seguimiento de la
eficacia del control interno, como comparaciones, conciliaciones, actividades corrientes de
gestin y supervisin as como otras actividades rutinarias.
Debe existir un proceso que compruebe que el sistema de control interno se mantiene en
funcionamiento a travs del tiempo.
La supervisin continua tiene tareas permanentes y revisiones peridicas. La frecuencia

de estas ltimas dependern de la importancia de los riesgos en juego.
Las deficiencias detectadas deben ser oportunamente comunicadas.
3. LIMITACIONES DEL CONTROL INTERNO
A pesar de ser un proceso muy til para la organizacin que permite su supervivencia,
puede existir el caso de que este mismo no permita el crecimiento. De hecho, el fin del
control interno no siempre es lograr crecimiento, sino asegurar que las actividades se
realicen de la manera prevista (que no necesariamente puede conducir al
crecimiento). Todo procedimiento de control interno comienza con la definicin de los
criterios y parmetros sobre los cuales deben funcionar las operaciones. stos son
definidos por el Consejo de Administracin, la Direccin o Alta Gerencia pero no permite
asegurar la efectividad de las operaciones si los estndares de funcionamiento fueron mal
definidos.
Los estndares definidos deben contemplar a la normativa y legislacin vigente, no slo
los lineamientos de la Direccin.
Tampoco toma decisiones finales sino que brinda las herramientas para que stas sean
tomadas por las personas correspondientes.
4. RESPONSABLES DEL CONTROL INTERNO
Entre los principales responsables del control interno destacamos la alta gerencia, los
auditores y el personal, estando sobre todos estos el Consejo de Administracin, el que
fija las pautas y la visin global de la organizacin.
La Alta Gerencia es la responsable ltima del correcto funcionamiento del sistema de
control. La integridad y la tica deben ser elementos que aporten ejemplo a los dems
empleados. Debe dirigir a los gerentes que a su vez son los responsables en sus
respectivas reas.
La Auditora Interna debe desempear un papel de supervisin sobre la eficiencia y
permanencia de los sistemas de control. Para ello debe contar con una ubicacin
jerrquica adecuada (contar con permisos de acceso, autoridad para solicitar y obtener
informacin, etc.).
Los empleados tienen la responsabilidad de participar en el esfuerzo de aplicar el control
interno, cuyos detalles deben ser incorporados a la descripcin de los puestos de trabajo.
Ellos deben comunicar al nivel superior los desvos que detecten con respecto a los
cdigos de conducta, a las polticas establecidas o a la legalidad de las acciones
realizadas.
El Consejo de Administracin fija las pautas y la visin global del negocio. Debe
asegurarse de contar con vas de comunicacin efectivas con la Alta Direccin y las reas
financieras, legales y de auditora interna para garantizar que dichos sectores
comprendan los lineamientos.
5. COMPARATIVO CON COBIT
Atributo
Audiencia
Primaria CI
visto como
COBIT
Direccin, usuarios, auditores de
SI
Conjunto de procesos
incluyendo
polticas,
procedimientos,
prcticas
estructuras
organizacionales
Operaciones
Efectivas
y
eficientes
Confidencialidad,
Integridad y disponibilidad de
informacin Informes financieros
confiables Cumplimiento de las
leyes y regulaciones Dominios:
Planeamiento y organizacin
Adquisicin e implementacin
Entrega y soporte Monitoreo
Tecnologa Informtica Por un
perodo de tiempo Direccin 187
pginas en cuatro documentos
COSO
Direccin de procesos.
Objetivos.
Organizacionales del CI.
Operaciones
Efectivas
y
eficientes Informes financieros
confiables Cumplimiento de las
leyes y regulaciones.
Componentes o dominios.
Componentes: Ambiente
de
Control Manual y Automatizado
Procedimiento de Control de
sistemas.
Componentes:
Supervisin
Ambiente
de
Control
Administracin
de
Riesgos
Actividades
de
Control
Informacin y Toda la Entidad En
un momento dado Direccin 353
pginas en cuatro volmenes.
Foco Efectividad del CI Evaluado
Responsabilidad por el Sistema
de CI Tamao.
Tecnologa Informtica Por un
periodo de tiempo Direccin 1193
pginas en 12 mdulos.
Resmenes COBIT: Control Objectives for

de
los Information
and
related
Documentos Technology
La Information Systems Audit
and Control Foundation (ISACF)
desarroll los Objetivos de
Control para la Informacin y
Tecnologa
relacionada
(C
OBIT) para servir como una
estructura
generalmente
aplicable
y
prcticas
de
seguridad y control de SI para el
control de la tecnologa de la
informacin. Esta estructura
COBIT le permite a la gerencia
comparar
(benchmark)
la
El informe COSO define el control

interno,
describe
sus
componentes, y provee criterios
contra
los
cuales
pueden
evaluarse los sistemas de control.
El informe ofrece una gua para la
elaboracin de informes pblicos
sobre control interno y provee
materiales que la gerencia, los
auditores y otros pueden utilizar
para evaluar un sistema de control
interno. Dos objetivos principales
del informe son (1) establecer una
definicin comn de control
interno que sirve a muchas partes
diferentes, y (2) provee un
seguridad y prcticas de control

de los ambientes de TI, permite
a los usuarios de los servicios
de TI asegurarse que existe una
adecuada seguridad y control y
permite
a
los
auditores
sustanciar sus opiniones sobre
el control interno y aconsejar
sobre materias de seguridad y
control de TI. La motivacin
primaria para brindar esta
estructura fue posibilitar el
desarrollo de una poltica clara y
buenas prcticas para el control
de TI a travs de toda la
industria en todo el mundo. La
fase ya completada del proyecto
COBIT provee un Resumen
Ejecutivo, un Marco para el
control de TI, una lista de
Objetivos de Control, y un
conjunto de Guas de Auditora.
(Los objetivos de control y las
guas
de
auditoria
estn
referenciadas a la estructura).
Las fases futuras del proyecto
proveern guas de autoevaluacin para la direccin e
identificarn objetivos nuevos o
actualizados
mediante
incorporacin
de
otros
estndares globales de control
que se identifiquen. Adems,
agregar guas de control e
identificar indicadores claves de
desempeo.
Recursos de TI: COBIT clasifica
los recursos de TI como datos,
sistemas
de
aplicacin,
tecnologa,
instalaciones
y
gente. Los datos son definidos
en su sentido ms amplio e
incluyen no slo nmeros, textos
y fechas, sino tambin objetos
tales como grficos y sonido.
Los sistemas de aplicacin son
entendidos como la suma de
procedimientos manuales y
estndar contra el cual las

organizaciones pueden evaluar
sus sistemas de control y
determinar como mejorarlos.
Definicin: El informe COSO
define control interno como: un
proceso,
efectuado
por
el
directorio, la gerencia y otro
personal de la entidad, diseado
para proveer un aseguramiento
razonable en relacin al logro de
los objetivos en las siguientes
categoras:
efectividad y eficiencia de las
operaciones confiabilidad de los
reportes financieros cumplimiento
con las leyes y regulaciones
aplicables.
Aunque el informe define el
control interno como un proceso,
recomienda evaluar la efectividad
del control interno a un momento
dado. Componentes: El sistema
de control interno consiste en
cinco
componentes
interrelacionados: (1) ambiente de
control, (2) evaluacin de riesgos,
(3) actividades de control, (4)
informacin y comunicacin, y (5)
monitoreo. El ambiente de control
provee la base para los otros
componentes. El mismo abarca
factores tales como filosofa y
estilo operativo de la gerencia,
polticas y prcticas de recursos
humanos, la integridad y valores
ticos de los empleados, la
estructura organizacional, y la
atencin y direccin del directorio.
El informe COSO brinda una gua
para evaluar cada uno de estos
factores. Por ejemplo, la filosofa
gerencial y el estilo operativo
pueden
ser
evaluados
examinando la naturaleza de los
riesgos del negocio que acepta la
programados. La tecnologa se
refiere al hardware, sistemas
operativos, equipos de redes y
otros. Instalaciones son los
recursos utilizados para albergar
y soportar los sistemas de
informacin. Gente comprende
las capacidades y habilidades
individuales
para
planear,
organizar, adquirir, entregar,
apoyar y monitorear los servicios
y sistemas de informacin.
Requerimientos: Para satisfacer
los objetivos del negocio, la
informacin
necesita
conformarse a ciertos criterios a
los cuales COBIT se refiere
como
requerimientos
del
negocio
respecto
de
la
informacin. COBIT combina los
principios incorporados en los
modelos
de
referencia
existentes en tres amplias
categoras:
calidad,
responsabilidad
fiduciaria
y
seguridad. De estos amplios
requerimientos, el informe extrae
siete categoras superpuestas
de criterios para evaluar cuan
bien estn satisfaciendo los
recursos
de
TI
los
requerimientos de informacin
del negocio. Estos criterios son
efectividad,
eficiencia,
confidencialidad,
integridad,
disponibilidad, cumplimiento y
confiabilidad de la informacin.
Procesos y Dominios: En base

al anlisis de un documento del
Reino Unido sobre prcticas de
administracin de TI de la
biblioteca de infraestructura
tecnolgica
(ITIL),
COBIT
clasifica los procesos de TI en
cuatro dominios. Estos cuatro
dominios son (1) planeamiento y
gerencia, la frecuencia de su
interaccin con los subordinados,
y su actitud hacia los informes
financieros. La evaluacin de
riesgo consiste en la identificacin
del riesgo y el anlisis del riesgo.
La identificacin del riesgo incluye
examinar factores externos tales
como los desarrollos tecnolgicos,
la competencia y los cambios
econmicos, y factores internos
tales como calidad del personal, la
naturaleza de las actividades de la
entidad, y las caractersticas de
procesamiento del sistema de
informacin. El anlisis de riesgo
involucra estimar la significacin
del riesgo, evaluar la probabilidad
de que ocurra y considerar cmo
administrarlo. Las actividades de
control consisten en las polticas y
procedimientos que aseguran que
los empleados lleven a cabo las
directivas de la gerencia. Las
actividades de control incluyen
revisiones del sistema de control,
los
controles
fsicos,
la
segregacin de tareas y los
controles de los sistemas de
informacin. Los controles sobre
los sistemas de informacin
incluyen los controles generales y
los controles de las aplicaciones.
Controles generales son aquellos
que cubren el acceso, el
desarrollo de software y sistemas.
Controles de las aplicaciones son
aquellos que previenen que
ingresen errores en el sistema o
detectan y corrigen errores
presentes en el sistema. La
entidad
obtiene
informacin
pertinente y la comunica a travs
de la organizacin. El sistema de
informacin identifica, captura y
reporta informacin financiera y
operativa que es til para
controlar las actividades de la
organizacin, (2) adquisicin e

implementacin, (3) entrega y
soporte y (4) monitoreo. El
agrupamiento
natural
de
procesos en dominios es a
menudo
confirmado
como
dominios de responsabilidad en
las estructuras organizacionales
y sigue el ciclo gerencial o ciclo
de vida aplicable a los procesos
de TI en cualquier ambiente de
TI.
COBIT
presenta
una
estructura de control para los
propietarios de los procesos del
negocio. Cada vez ms, la
direccin
est
totalmente
facultada con responsabilidad y
autoridad completa por los
procesos del negocio. COBIT
incluye definiciones tanto de
control interno como de los
objetivos de control de TI, cuatro
dominios de procesos y 32
declaraciones de control de alto
nivel para esos procesos, 271
objetivos
de
control
referenciados
a
esos
32
procesos y guas de auditora
vinculadas a los objetivos de
control.
Estructura: La estructura COBIT

provee declaraciones de control
de alto nivel para los procesos
particulares de TI. La estructura
identifica la necesidad del
negocio satisfecha por la
declaracin de control, identifica
los recursos de TI administrados
por los procesos, establece los
controles habilitados y lista los
principales objetivos de control
aplicables.
organizacin.
Dentro
de
la
organizacin, el personal debe
recibir el mensaje que ellos deben
comprender sus roles en el
sistema de control interno, tomar
seriamente sus responsabilidades
por el control interno, y, si es
necesario, reportar problemas a
los altos niveles de gerencia.
Fuera de la entidad, los individuos
y organizaciones que suministran
o reciben bienes o servicios
deben recibir el mensaje de que la
entidad no tolerar acciones
impropias. La gerencia monitorea
el sistema de control revisando el
output
generado
por
las
actividades regulares de control y
realizando
evaluaciones
especiales.
Las
actividades
regulares de control incluyen
comparar los activos fsicos con
los datos registrados, seminarios
de entrenamiento, y exmenes
realizados por auditores internos y
externos.
Las
evaluaciones
especiales pueden ser de distinto
alcance
y
frecuencia.
Las
deficiencias encontradas durante
las actividades regulares de
control
son
normalmente
reportadas al supervisor a cargo;
las
deficiencias
detectadas
durante evaluaciones especiales
son normalmente comunicadas a
los
niveles
altos
de
la
organizacin. Otros Conceptos: El
informe
COSO
encara
las
limitaciones de un sistema de
control interno y los roles y
responsabilidades de las partes
que afectan a un sistema. Las
limitaciones incluyen el juicio
humado defectuoso, falta de
comprensin de las instrucciones,
errores, atropellos de la gerencia,
colusin, y consideraciones de
costo versus beneficio.
El
informe
COSO
define
deficiencias como "condiciones
dentro de un sistema de control
interno digno de atencin". Las
deficiencias
deberan
ser
reportadas
a
la
persona
responsable por la actividad y a la
gerencia que est como mnimo
un nivel por encima del individuo
responsable. Un sistema de
control interno es juzgado efectivo
si estn presentes y funcionando
efectivamente
los
cinco
componentes respecto de las
operaciones,
los
reportes
financieros y el cumplimiento.
COBIT adapt su definicin de control a partir de COSO: Las polticas,

procedimientos, prcticas y estructuras organizacionales estn diseadas para
proveer aseguramiento razonable de que se lograrn los objetivos del negocio y que
se prevendrn, detectarn y corregirn los eventos no deseables. COBIT adapta su
definicin de un objetivo de control de TI del SAC: Una declaracin del resultado
deseado o propsito a lograr implementando procedimientos de control en una
actividad particular de TI. COBIT enfatiza el rol e impacto del control de TI en lo
relacionado con los procesos del negocio. El documento describe objetivos de
control de TI independientes de plataformas y aplicaciones.
COBIT y COSO definen el control interno, describen sus componentes y proveen

herramientas de evaluacin. COSO sugiere formas de reportar los problemas de
control interno. Adicionalmente COBIT provee una estructura amplia facilitando el
anlisis y comunicacin de las observaciones de control interno.
5.1 Definiciones.
Aunque las dos definiciones de control contienen esencialmente los mismos
conceptos, el nfasis es algo diferente. COBIT ve el control interno como un proceso
que incluye polticas, procedimientos, prcticas y estructuras organizacionales que
soportan procesos y objetivos de negocio. COSO acenta el control interno como un
proceso, ej. El control interno debera ser una parte integrante de las actividades del
negocio en curso. La gente es parte del sistema de control interno. COBIT clasifica a
la gente (definida como habilidad, concientizacin y productividad del personal para
planear, organizar, adquirir, entregar, soportar y monitorear servicios y sistemas de
informacin) como uno de los recursos primarios administrados por distintos
procesos de tecnologa informtica. El involucramiento de la gente se ha hecho ms
xplicito a medida que los documentos evolucionaron. COSO denota que la gente
involucrada con el control interno son miembros del Directorio, la gerencia, u otro
personal de la entidad. Los documentos acuerdan que la gerencia es la parte
responsable por establecer, mantener y monitorear el sistema de control interno.

Los tres documentos acentan el concepto de aseguramiento razonable en lo que
se relaciona con el control interno. El control interno no garantiza que la entidad
lograr sus objetivos ni que permanecer en el negocio. Por lo contrario, el control
interno est diseado para proveer a la direccin con un aseguramiento razonable
respecto del logro de los objetivos. Los documentos tambin reconocen que hay
limitaciones inherentes al control interno y que, por consideraciones costo/beneficio,
no sern implementados todos los controles posibles. Las limitaciones inherentes
pueden causar que los controles internos sean menos efectivos que lo planeado.
COBIT establece la premisa de que estos objetivos son soportados por procesos de
negocio. Estos procesos, a la vez, son soportados por la informacin provista
mediante adecuados de control.
5.2 Componentes
El informe COSO considera cinco componentes. COBIT incorpora los cincos
componentes considerados en el informe COSO y los focaliza dentro del entorno de
los controles internos de tecnologa informtica. El diseo de COBIT salta la brecha
entre los modelos de control de negocio tales como COSO y los sistemas los
modelos de control de sistemas de informacin ms altamente tcnicos disponibles
en todo el mundo. Aunque pueden parecer que los documentos difieren en sus
enfoques de los controles, los estudios posteriores revelan muchas similaridades.
5.3 Ambiente de Control
COBIT y COSO incluyen el ambiente de control como un componente y discuten
esencialmente los mismos conceptos. Los factores que impactan el ambiente de
control incluyen la integridad y valores ticos de la gerencia, la competencia del
personal, la filosofa gerencial y el estilo operativo, cmo se asignan la autoridad y
responsabilidades, y la gua que provee el directorio. COBIT entrelaza las
implicancias del ambiente de control en todos los objetivos de control aplicables.
Categoriza los procesos dentro del planeamiento y organizacin, adquisicin e
implementacin, entrega y soporte, y monitoreo. Tambin habla del ambiente de
control donde es apropiado.
El foco exclusivo de COBIT es el establecimiento de una estructura de referencia
para seguridad y control en tecnologa informtica. Define un vnculo claro entre los
controles de los sistemas de informacin y los objetivos de negocio. Adems,
provee objetivos de control validados globalmente para cada proceso de tecnologa
informtica lo cual brinda una gua pragmtica de control para todas las partes
interesadas. COBIT tambin provee un vehculo para facilitar las comunicaciones
entre la gerencia, los usuarios y los auditores en relacin a los controles de los
sistemas de informacin. COSO discute tanto informacin como comunicacin. En
su discusin sobre informacin, COSO revisa la necesidad de capturar la
informacin pertinente interna y externa, el potencial de sistemas estratgicos e
integrados, y la necesidad de calidad en los datos.
COSO discute los procedimientos y actividades de control utilizados en toda la
entidad. COBIT clasifica los controles en 32 procesos agrupados naturalmente en
cuatro dominios aplicables a cualquier ambiente de procesamiento de informacin.

SAC utiliza cinco esquemas de clasificacin diferentes para los procedimientos de
control de SI. COSO utiliza solo un esquema de clasificacin para los
procedimientos de control del sistema de informacin (SI). La discusin de COSO
sobre las actividades de control enfatiza en quin realiza las actividades y en lo
operativo ms que en los objetivos de informes financieros. COSO tambin enfatiza
la deseabilidad de integrar las actividades de control con la evaluacin de riesgos.
COBIT es una coleccin de objetivos de control validados globalmente, organizados
en procesos y dominios y vinculados a requerimientos de informacin del negocio.
COSO presenta una definicin comn de control interno y enfatiza que los controles
internos ayudan a las organizaciones a lograr operaciones eficaces y eficientes,
informes financieros confiables, y el cumplimiento de las leyes y regulaciones
aplicables. El documento provee una gua sobre la evaluacin de sistemas de
control, informar pblicamente sobre control interno, y realizar evaluaciones de
sistemas de control.
COBIT est dirigido a tres audiencias distintas: la gerencia, los usuarios y los
auditores de sistemas de informacin; COSO a los gerentes y directorios.
COBIT est focalizado exclusivamente en los controles sobre la tecnologa
informtica en soporte de los objetivos del negocio.
COSO provee una visin amplia, a nivel de entidad.
5.4 Evaluacin de Riesgos
COSO identifica la evaluacin de riesgos como un componente importante del
control interno. COBIT identifica un proceso dentro del ambiente de tecnologa
informtica como evaluando riesgos. Este proceso en particular cae dentro del
dominio de planeamiento y organizacin y tiene seis objetivos especficos de control
asociados al mismo. Aunque la evaluacin de riesgos no es un componente
explcito del sistema de control interno de SAC, el documento contiene amplias
discusiones sobre riesgo. COBIT considera en profundidad varios componentes de
evaluacin de riesgos en un ambiente de tecnologa informtica. Esto incluye
evaluacin de riesgos del negocio, el enfoque de evaluacin de riesgos,
identificacin de riesgos, medicin de los riesgos, plan de accin sobre riesgos y
aceptacin de riesgos. Trata directamente con tipos de riesgos de tecnologa
informtica tales como riesgos de tecnologa, seguridad, continuidad y regulatorios.
Adicionalmente, considera el riesgo tanto desde la perspectiva global como los
especficos de sistemas.
6. RESUMEN
Ley Sarbanes Oxley
La ley estadounidense Sarbanes-Oxley Act tiene como objetivo generar un marco
de transparencia para las actividades y reportes financieros de las empresas que
cotizan en Bolsa, y darle mayor certidumbre y confianza a inversionistas y al propio
Estado. Afecta Directamente a toda empresa pblica de los Estados Unidos y sus
subsidiarias en todo el mundo, as como empresas extranjeras que coticen en
cualquier Bolsa de Valores en los Estados Unidos.
La ley fue elaborada por el senador demcrata Paul Sarbanes y el diputado
republicano Michael Oxley y no slo es un ejercicio en el cumplimiento de nuevos
reglamentos, sino que es una nueva forma de hacer negocios. Si bien es obligatoria
para ciertas organizaciones, muchas otras toman la decisin de adoptarla dado que
constituye una prctica sana de negocios, mejorando notablemente la reputacin de
quien la cumpla.
Modelo COSO:
El marco de control interno sugerido para cumplir con los lineamientos establecidos
por la Ley SOX, es el diseado por el Comit of Sponsoring Organization of
Treadway Comision (COSO). El COSO fue originalmente instaurado en el ao 1985
con la finalidad de estudiar los factores que permitan la emisin fraudulenta de
reportes financieros. A comienzos de los aos 90, el Comit realiz un estudio
extensivo sobre controles internos, cuyo resultado fue el marco de control interno
COSO.
COSO posee cinco componentes de control, los cuales al ser integrados en cada
una de las unidades de negocio de la organizacin, ayudan a lograr los objetivos de
control para alcanzar los objetivos del negocio, preparacin de cuentas financieras
confiables y el cumplimiento de leyes y regulaciones.
A continuacin se indican las caractersticas de control de los cinco componentes
COSO, a saber:
El aspecto ms pertinente del Informe COSO es su establecimiento, por primera
vez, de una definicin universal de control interno:
Efectividad y Eficiencia de las operaciones.

Confiabilidad en la informacin Econmico-Financiera.
Adecuado cumplimiento de las leyes y regulaciones aplicables.
El control interno consiste en cinco componentes interrelacionados. Los mismos son

derivados de la modalidad en la que la administracin maneja su negocio, y estn
integrados con los procesos administrativos. Los componentes son: Ambiente de
Control, Evaluacin de Riesgos, Actividades de Control, Informacin y
Comunicacin y Monitoreo.
Las siguientes secciones brindan una breve visin de la naturaleza, la importancia y

los conductores primarios de cada componente de control citados en el informe.
6.1 DEFINICIN DE C.O.S.O.
Debido al mundo econmico integrado que existe hoy en da se ha creado la
necesidad de integrar metodologas y conceptos en todos los niveles de las diversas
reas administrativas y operativas con el fin de ser competitivos y responder a las
nuevas exigencias empresariales. Surge as una nueva perspectiva sobre el control
interno donde se brinda una estructura comn que es documentada en el
denominado Informe C.O.S.O..
El Comit de Organizaciones Patrocinadoras de la Comisin Treadway (C.O.S.O.)
es una organizacin voluntaria del sector privado, establecida en los Estados Unidos
y dedicada a proporcionar orientacin al mbito privado y gubernamental sobre
aspectos crticos de gestin de la organizacin, control interno de la empresa,
gestin del riesgo, el fraude y la presentacin de informes financieros.
El Informe C.O.S.O. es un documento que especifica un modelo comn de control
interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus
sistemas de control interno para asegurar que stos se mantengan funcionales,
eficaces y eficientes.
6.2 MOTIVOS PARA EL DESARROLLO DEL INFORME C.O.S.O.
Como se mencion anteriormente, y conforme fue transcurriendo el tiempo, las
empresas fueron implementando sus propias polticas para implementar el control
interno. Esto gener una gran diversidad de conceptos y conllev a una falta de
uniformidad en las prcticas de control interno. Comprendiendo la situacin arriba
mencionada se hace evidente que es necesario contar con un marco conceptual
que estandarice las mejores prcticas con respecto al control interno. Disponer de
dicho marco facilitar la comprensin e implementacin de nuevos sistemas de
control interno que se adecuen a la realidad actual y brinden una referencia
conceptual comn sobre ste.
Establecer una definicin comn de control interno que contemple las

mejores prcticas en la materia.
Facilitar un modelo en base al cual las organizaciones, cualquiera sea su

tamao y naturaleza, puedan evaluar sus sistema de control interno.
Lograr que el control interno forme parte de la operatoria habitual de la

organizacin y que no sea concebido como un mero formalismo o cuestin
burocrtica. Esta finalidad se refiere al aspecto organizacional.
Disponer de una referencia conceptual comn para los distintos
interlocutores que participan en el control interno que sirva de referencia
tanto para auditores como para auditados. Sin este marco de referencia
resultaba ser una tarea compleja, dada la multiplicidad de definiciones y

conceptos divergentes. Esta finalidad se refiere al aspecto regulatorio o
normativo.
6.3 MARCO INTEGRADO DE CONTROL
El control consta de cinco componentes interrelacionados que se derivan de la
forma cmo la administracin maneja el negocio, y estn integrados a los procesos
administrativos. Los componentes son:
Ambiente de control
Evaluacin de riesgos
Actividades de control
Informacin y comunicacin
Supervisin y seguimiento de sistema de control.
El control interno, no consiste en un proceso secuencial, en donde algunos de los

componentes afecta slo al siguiente, sino en un proceso multidireccional repetitivo
y permanente, en el cual ms de un componente influye en los otros.
Los cinco componentes forman un sistema integrado que reacciona dinmicamente
a las condiciones cambiantes.
6.3.1. Ambiente de control
El ambiente de control define al conjunto de circunstancias que enmarcan el
accionar de una entidad desde la perspectiva del control interno y que son por lo
tanto determinantes del grado en que los principios de este ltimo imperan sobre las
conductas y los procedimientos organizacionales.
Es, fundamentalmente, consecuencia de la actitud asumida por la alta direccin, la
gerencia, y por carcter reflejo, los dems agentes con relacin a la importancia del
control interno y su incidencia sobre las actividades y resultados.
Fija el tono de la organizacin y, sobre todo, provee disciplina a travs de la
influencia que ejerce sobre el comportamiento del personal en su conjunto.
Constituye el andamiaje para el desarrollo de las acciones y de all deviene su
trascendencia, pues como conjuncin de medios, operadores y reglas previamente
definidas, traduce la influencia colectiva de varios factores en el establecimiento,
fortalecimiento o debilitamiento de polticas y procedimientos efectivos en una
organizacin.
Los principales factores del ambiente de control son:
La filosofa y estilo de la direccin y la gerencia.

La estructura, el plan organizacional, los reglamentos y los manuales de
procedimiento.
La integridad, los valores ticos, la competencia profesional y el compromiso de

todos los componentes de la organizacin, as como su adhesin a las polticas
y objetivos establecidos.
Las formas de asignacin de responsabilidades y de administracin y desarrollo
del personal.
El grado de documentacin de polticas y decisiones, y de formulacin de
programas que contengan metas, objetivos e indicadores de rendimiento.
En las organizaciones que lo justifiquen, la existencia de consejos de
administracin y comits de auditoras con suficiente grado de independencia y
calificacin profesional.
El ambiente de control reinante ser tan bueno, regular o malo como lo sean los
factores que lo determinan. El mayor o menor grado de desarrollo y excelencia
de stos har, en ese mismo orden, a la fortaleza o debilidad del ambiente que
generan y consecuentemente al tono de la organizacin.
6.3.2. Evaluacin de riesgos

El control interno ha sido pensado esencialmente para limitar los riesgos que
afectan las actividades de las organizaciones. A travs de la investigacin y anlisis
de los riesgos relevantes y el punto hasta el cual el control vigente los neutraliza se
evala la vulnerabilidad del sistema. Para ello debe adquirirse un conocimiento
prctico de la entidad y sus componentes de manera de identificar los puntos
dbiles, enfocando los riesgos tanto al nivel de la organizacin (internos y externos)
como de la actividad.
El establecimiento de objetivos es anterior a la evaluacin de riesgos. Si bien
aqullos no son un componente del control interno, constituyen un requisito previo
para el funcionamiento del mismo.
Los objetivos (relacionados con las operaciones, con la informacin financiera y con
el cumplimiento), pueden ser explcitos o implcitos, generales o particulares.
Estableciendo objetivos globales y por actividad, una entidad puede identificar los
factores crticos del xito y determinar los criterios para medir el rendimiento.
A este respecto cabe recordar que los objetivos de control deben ser especificados,
as como adecuados, completos, razonables e integrados a los globales de la
institucin.
Una vez identificados, el anlisis de los riesgos incluira:
Una estimacin de su importancia/trascendencia.

Una evaluacin de la probabilidad/frecuencia.
Una definicin del modo en que habrn de manejarse.
Dado que las condiciones en que las entidades se desenvuelven suelen sufrir
variaciones, se necesitan mecanismos para detectar y encarar el tratamiento de los
riesgos asociados con el cambio. Aunque el proceso de evaluacin es similar al de
los otros riesgos, la gestin de los cambios merece efectuarse independientemente,

dada su gran importancia y las posibilidades de que los mismos pasen inadvertidos
para quienes estn inmersos en las rutinas de los procesos.
Existen circunstancias que pueden merecer una atencin especial en funcin del
impacto potencial que plantean:
Cambios en el entorno.
Redefinicin de la poltica institucional.
Reorganizaciones o reestructuraciones internas.
Ingreso de empleados nuevos, o rotacin de los existentes.
Nuevos sistemas, procedimientos y tecnologas.
Aceleracin del crecimiento.
Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los cambios deben estar
orientados hacia el futuro, de manera de anticipar los ms significativos a travs de
sistemas de alarma complementados con planes para un abordaje adecuado de las
variaciones.
6.3.3. Actividades de control
Estn constituidas por los procedimientos especficos establecidos como un
reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia la
prevencin y neutralizacin de los riesgos.
Las actividades de control se ejecutan en todos los niveles de la organizacin y en
cada una de las etapas de la gestin, partiendo de la elaboracin de un mapa de
riesgos segn lo expresado en el punto anterior: conociendo los riesgos, se
disponen los controles destinados a evitarlos o minimizarlos, los cuales pueden
agruparse en tres categoras, segn el objetivo de la entidad con el que estn
relacionados:
Las operaciones.
La confiabilidad de la informacin financiera.
El cumplimiento de leyes y reglamentos.
En muchos casos, las actividades de control pensadas para un objetivo suelen

ayudar tambin a otros: los operacionales pueden contribuir a los relacionados con
la confiabilidad de la informacin financiera, stas al cumplimiento normativo, y as
sucesivamente.
A su vez en cada categora existen diversos tipos de control:
Preventivo / Correctivos
Manuales / Automatizados o informticos.
Gerenciales o directivos.
En todos los niveles de la organizacin existen responsabilidades de control, y es

preciso que los agentes conozcan individualmente cuales son las que les competen,
debindose para ello explicitar claramente tales funciones.
La gama que se expone a continuacin muestra la amplitud abarcativa de las
actividades de control, pero no constituye la totalidad de las mismas:
Anlisis efectuado por la direccin.

Seguimiento y revisin por parte de los responsables de las diversas funciones o
actividades.
Comprobacin de las transacciones en cuanto a su exactitud, totalidad, y
autorizacin pertinente: aprobaciones, revisiones, cotejos, reclculos, anlisis de
consistencia, prenumeraciones.
Controles fsicos patrimoniales :arqueos, conciliaciones, recuentos.
Dispositivos de seguridad para restringir el acceso a los activos y registros.
Segregacin de funciones.
Aplicacin de indicadores de rendimiento.
Es necesario remarcar la importancia de contar con buenos controles de las
tecnologas de informacin, pues stas desempean un papel fundamental en la
gestin, destacndose al respecto el centro de procesamiento de datos, la
adquisicin, implantacin y mantenimiento del software, la seguridad en el
acceso a los sistemas, los proyectos de desarrollo y mantenimiento de las
aplicaciones.
A su vez los avances tecnolgicos requieren una respuesta profesional
calificada y anticipativa desde el control.
6.3.4. Informacin y Comunicacin

As como es necesario que todos los agentes conozcan el papel que les
corresponde desempear en la organizacin (funciones, responsabilidades), es
imprescindible que cuenten con la informacin peridica y oportuna que deben
manejar para orientar sus acciones en consonancia con los dems, hacia el mejor
logro de los objetivos.
La informacin relevante debe ser captada, procesada y transmitida de tal modo que
llegue oportunamente a todos los sectores permitiendo asumir las responsabilidades
individuales.
La informacin operacional, financiera y de cumplimiento conforma un sistema para
posibilitar la direccin, ejecucin y control de las operaciones.
Est conformada no slo por datos generados internamente sino por aquellos
provenientes de actividades y condiciones externas, necesarios para la toma de
decisiones.
Los sistemas de informacin permiten identificar, recoger, procesar y divulgar datos

relativos a los hechos o actividades internas y externas, y funcionan muchas veces
como herramientas de supervisin a travs de rutinas previstas a tal efecto. No
obstante resulta importante mantener un esquema de informacin acorde con las
necesidades institucionales que, en un contexto de cambios constantes,
evolucionan rpidamente. Por lo tanto deben adaptarse, distinguiendo entre
indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y actividades
estratgicas, a travs de la evolucin desde sistemas exclusivamente financieros a
otros integrados con las operaciones para un mejor seguimiento y control de las
mismas.
Ya que el sistema de informacin influye sobre la capacidad de la direccin para
tomar decisiones de gestin y control, la calidad de aqul resulta de gran
trascendencia y se refiere entre otros a los aspectos de contenido, oportunidad,
actualidad, exactitud y accesibilidad.
La comunicacin es inherente a los sistemas de informacin. Las personas deben
conocer a tiempo las cuestiones relativas a sus responsabilidades de gestin y
control. Cada funcin ha de especificarse con claridad, entendiendo en ello los
aspectos relativos a la responsabilidad de los individuos dentro del sistema de
control interno.
Asimismo el personal tiene que saber cmo estn relacionadas sus actividades con
el trabajo de los dems, cules son los comportamientos esperados, de qu manera
deben comunicar la informacin relevante que generen.
Los informes deben transferirse adecuadamente a travs de una comunicacin
eficaz. Esto es, en el ms amplio sentido, incluyendo una circulacin multidireccional
de la informacin: ascendente, descendente y transversal.
La existencia de lneas abiertas de comunicacin y una clara voluntad de escuchar
por parte de los directivos resultan vitales.
Adems de una buena comunicacin interna, es importante una eficaz
comunicacin externa que favorezca el flujo de toda la informacin necesaria, y en
ambos casos importa contar con medios eficaces, dentro de los cuales tan
importantes como los manuales de polticas, memorias, difusin institucional,
canales formales e informales, resulta la actitud que asume la direccin en el trato
con sus subordinados. Una entidad con una historia basada en la integridad y una
slida cultura de control no tendr dificultades de comunicacin. Una accin vale
ms que mil palabras.
6.3.5. Supervisin
Incumbe a la direccin la existencia de una estructura de control interno interno
idnea y eficiente, as como su revisin y actualizacin peridica para mantenerla
en un nivel adecuado. Procede la evaluacin de las actividades de control de los
sistemas a travs del tiempo, pues toda organizacin tiene reas donde los mismos
estn en desarrollo, necesitan ser reforzados o se impone directamente su
reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas

pueden encontrarse en los cambios internos y externos a la gestin que, al variar las
circunstancias, generan nuevos riesgos a afrontar.
El objetivo es asegurar que el control interno funciona adecuadamente, a travs de
dos modalidades de supervisin: actividades continuas o evaluaciones puntuales.
Las primeras son aquellas incorporadas a las actividades normales y recurrentes
que, ejecutndose en tiempo real y arraigadas a la gestin, generan respuestas
dinmicas a las circunstancias sobrevinientes.
En cuanto a las
consideraciones:
evaluaciones
puntuales,
corresponden
las
siguientes
a) Su alcance y frecuencia estn determinados por la naturaleza e importancia de

los cambios y riesgos que stos conllevan, la competencia y experiencia de quienes
aplican los controles, y los resultados de la supervisin continuada.
b) Son ejecutados por los propios responsables de las reas de gestin
(autoevaluacin), la auditora interna (incluidas en el planeamiento o solicitadas
especialmente por la direccin), y los auditores externos.
c) Constituyen en s todo un proceso dentro del cual, aunque los enfoques y
tcnicas varen, priman una disciplina apropiada y principios insoslayables.
La tarea del evaluador es averiguar el funcionamiento real del sistema: que los
controles existan y estn formalizados, que se apliquen cotidianamente como una
rutina incorporada a los hbitos, y que resulten aptos para los fines perseguidos.
d) Responden a una determinada metodologa, con tcnicas y herramientas para
medir la eficacia directamente o a travs de la comparacin con otros sistemas de
control probadamente buenos.
e) El nivel de documentacin de los controles vara segn la dimensin y
complejidad de la entidad.
Existen controles informales que, aunque no estn documentados, se aplican
correctamente y son eficaces, si bien un nivel adecuado de documentacin suele
aumentar la eficiencia de la evaluacin, y resulta ms til al favorecer la
comprensin del sistema por parte de los empleados. La naturaleza y el nivel de la
documentacin requieren mayor rigor cuando se necesite demostrar la fortaleza del
sistema ante terceros.
f) Debe confeccionarse un plan de accin que contemple:
o
o
o
o
El alcance de la evaluacin.
Las actividades de supervisin continuadas existentes.
La tarea de los auditores internos y externos.
reas o asuntos de mayor riesgo.
o
o
o
o
Programas de evaluaciones.
Evaluadores, metodologa y herramientas de control.
Presentacin de conclusiones y documentos de soporte.
Seguimiento para que se adopten las correcciones pertinentes.
Las deficiencias o debilidades del sistema de control interno detectadas a travs de

los diferentes procedimientos de supervisin deben ser comunicadas a efectos de
que se adopten las medidas de ajuste correspondientes.
Segn el impacto de las deficiencias, los destinatarios de la informacin pueden ser
tanto las personas responsables de la funcin o actividad implicada como las
autoridades superiores.
CONCLUSIONES:
En la actualidad, la Informacin es uno de los recursos ms preciados en cualquier

organizacin. El contar con informacin ntegra, accesible, consistente, confiable y
oportuna, es fundamental para que dicha organizacin pueda subsistir, desarrollarse
y tomar decisiones correctas en el dinmico mundo actual.
Por todo esto, es que las organizaciones buscaron diversas formas de formalizar
procesos de elaboracin y control de la informacin. Cada una de ellas fue
implementando metodologas de control ad-hoc.
A razn de esto surge el Informe COSO, el cual es un compendio de definiciones,
reglas y buenas prcticas acerca del control interno en una organizacin. Si bien
todas las organizaciones necesitan llevar a cabo prcticas de control, este informe
est especialmente orientado a aquellas en las que por su envergadura, requieren y
estn en condiciones de aplicar mecanismos formales y preestablecidos de control
para evitar o reducir los fraudes, riesgos y conductas inadecuadas que puedan
surgir, tanto por parte del personal, como de clientes y proveedores.
Al implementar las prcticas sugeridas en el Informe C.O.S.O., las organizaciones
consiguen controlar ms eficiente, eficaz y transparentemente su operatoria. Una de
las grandes ventajas de C.O.S.O. reside en que al parametrizar y formalizar las
tcnicas de medicin, el control resulta simple y efectivo. Otra ventaja importante es
su dinamismo para ser revisado y actualizado segn los cambios que va
experimentando la organizacin.
En sntesis, las prcticas C.O.S.O. son una herramienta altamente recomendable en
materia de control interno para grandes organizaciones.
Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para
poder evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir
de hoy debemos realizar para ayudar a nuestras organizaciones a definir nuevos
horizontes que maximicen oportunidades.
Es nuestro propsito actuar como agentes del cambio y, por tanto, es nuestra
responsabilidad estar a la vanguardia del cambio. El tratar de convertirnos en
asesores o consultores internos confiables, eliminando en lo posible todos los
trabajos que nos aportan un valor agregado a nuestros productos o servicios, como
por ejemplo tienden a convertirnos en evaluadores crticos de los sistemas de
informacin y realizando auditorias sobre las operaciones conforme se van gastando
y no sobre acontecimientos pasados que no tienen solucin.
BIBLIOGRAFIA
INFORME COSO. Disponible en:

[http://www.ganimides.ucm.cl/ygomez/descargas/Auditoria%20y%20seguridad/CO
SO.pdf]. Recuperado [2010, Octubre 4]
ANTECEDENTES INFORME CONTROL INTERNO COSO. Disponible en:

[http://www.taringa.net/posts/economia-negocios/5884893/Informe-COSO--Control-Interno-en-Organizaciones.html]. Recuperado [2010, Octubre 4]
SARBANES-OXLEY. Disponible en:

[http://www.iaia.org.ar/elauditorinterno/05/articulo2.html]. Recuperado [2010,
Octubre 4]
LEY SARBANES-OXLEY ACT (SOX,SOA). Disponible en:

[http://www.economiaynegocios.uahurtado.cl/peee/pdf/Ley%20Sarbanes%20Oxley
%20Federico%20iturbide.pdf] Recuperado [2010, Octubre 4].
COSO v COBIT v ITIL. Disponible en:

[http://www.scribd.com/doc/3410099/COSO-v-COBIT-v-ITIL]. Recuperado [2010,
Octubre 4].

COMPILACIÓN Coso, SOX, Mejores Practicas Internacionales en Control Interno PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

COMPILACIÓN Coso, SOX, Mejores Practicas Internacionales en Control Interno PDF

Cargado por

Copyright:

Formatos disponibles

-COMPILACIN BIBLIOGRAFICA SOBRE ESTANDARES, ENFOQUES Y

COSO, SOX, MEJORES PRACTICAS INTERNACIONALES EN CONTROL

2.5.1 Supervisin continua .................................................................................................... 24

Debido al mundo econmico integrado que existe hoy en da se ha creado la necesidad

Efectividad y Eficiencia de las operaciones.

El control interno consiste en cinco componentes interrelacionados. Los mismos son

entre los indicadores de riesgos operacionales y situaciones crticas, seguimiento

American Accounting Association (AAA).

2. COMPONENTES DE CONTROL INTERNO

2.1.3 Filosofa y estilo de la Direccin

2.1.6 Comit de Administracin o Comit de Auditora

desarrollos tecnolgicos que en caso de no adoptarse, provocaran obsolescencia

Algunos riesgos internos:

riesgos referentes a la informacin financiera

Los riesgos internos son abarcados por el control interno.

2.3.1 Importancia de las actividades de control

Prevenir la ocurrencia de riesgos innecesarios.

Algunos controles se relacionan solamente con un rea especfica dentro de una

Preventivos / de deteccin / correctivos.

Como podemos deducir de lo anterior, en todos los niveles de la organizacin existen

2.3.4 Mecanismos de control

celosamente protegidos y valorados de toda organizacin: los datos y la informacin. Por

1. Anlisis de criticidad de los procesos.

2.3.5.6 Controles sobre la seguridad fsica

Acceso restringido al rea de procesamiento de datos central.

2.3.5.7 Controles sobre la seguridad lgica

2.3.7 Autoevaluacin de controles basada en los modelos

Adems, en esta reunin se logra consenso con la gerencia sobre la importancia y la

Fuente Externas: la informacin recogida de personas ajenas a la organizacin. Tambin

Contenido: Est toda la informacin necesaria.

No es un dato menor que si no se cumple algunos de los factores anteriores, la

La supervisin continua tiene tareas permanentes y revisiones peridicas. La frecuencia

5. COMPARATIVO CON COBIT

Resmenes COBIT: Control Objectives for

El informe COSO define el control

seguridad y prcticas de control

estndar contra el cual las

Procesos y Dominios: En base

organizacin, (2) adquisicin e

Estructura: La estructura COBIT

COBIT adapt su definicin de control a partir de COSO: Las polticas,

COBIT y COSO definen el control interno, describen sus componentes y proveen

responsable por establecer, mantener y monitorear el sistema de control interno.

cuatro dominios aplicables a cualquier ambiente de procesamiento de informacin.

Efectividad y Eficiencia de las operaciones.

El control interno consiste en cinco componentes interrelacionados. Los mismos son

Las siguientes secciones brindan una breve visin de la naturaleza, la importancia y

Establecer una definicin comn de control interno que contemple las

Facilitar un modelo en base al cual las organizaciones, cualquiera sea su

Lograr que el control interno forme parte de la operatoria habitual de la

resultaba ser una tarea compleja, dada la multiplicidad de definiciones y

El control interno, no consiste en un proceso secuencial, en donde algunos de los

La filosofa y estilo de la direccin y la gerencia.

La integridad, los valores ticos, la competencia profesional y el compromiso de

6.3.2. Evaluacin de riesgos

Una estimacin de su importancia/trascendencia.

los otros riesgos, la gestin de los cambios merece efectuarse independientemente,

En muchos casos, las actividades de control pensadas para un objetivo suelen

En todos los niveles de la organizacin existen responsabilidades de control, y es

Anlisis efectuado por la direccin.

6.3.4. Informacin y Comunicacin

Los sistemas de informacin permiten identificar, recoger, procesar y divulgar datos

reemplazo debido a que perdieron su eficacia o resultaron inaplicables. Las causas