Corre 21.02.06 Con Graficos PDF

-MARCO INTEGRADO-
CONTROL DE LOS RECURSOS Y

LOS RIESGOS - ECUADOR-
(CORRE)
PROYECTO ANTICORRUPCIN
2
3
4
5
6
7
8
-MARCO INTEGRADO-
CONTROL DE LOS RECURSOS Y LOS RIESGOS - ECUADOR-
(CORRE)
CONTENIDO PAG
I. ANTECEDENTES 11
II. MARCO CONCEPTUAL 14
III. COMPONENTES DEL CONTROL DE LOS RECURSOS
Y LOS RIESGOS-ECUADOR- (CORRE) 17
IV. AMBIENTE INTERNO DE CONTROL 19
1. Integridad y Valores ticos
2. Filosofa y Estilo de la Alta Direccin
3. Consejo de Administracin y Comits
4. Estructura Organizativa
5. Autoridad Asignada y Responsabilidad Asumida
6. Gestin del Capital Humano
7. Respondabilidad 1 y Transparencia
V. ESTABLECIMIENTO DE OBJETIVOS 31
1. Objetivos Estratgicos
2. Objetivos Especficos
3. Relacin entre Objetivos y Componentes del CORRE
4. Consecucin de Objetivos
5. Riesgo Aceptado y Niveles de Tolerancia
VI. IDENTIFICACIN DE EVENTOS 40
1. Factores Externos e Internos
2. Identificacin de Eventos
3. Categoras de Eventos
VII. EVALUACIN DE LOS RIESGOS 47
1. Estimacin de Probabilidad e Impacto
2. Evaluacin de Riesgos
3. Riesgos Originados por los Cambios
VIII. RESPUESTA A LOS RIESGOS 52
1. Categora de Respuestas
2. Decisin de Respuestas
1. Neologismo que traduce la expresin Accountability que significa la obligacin de

los funcionarios pblicos o privados de: responder, reportar, explicar o justificar ante
una autoridad superior, por recursos recibidos y administrados y/o por los deberes y
funciones asignados y aceptados. El uso de este trmino fue recomendado en las
Conferencias Interamericanas de Contabilidad llevadas a cabo en Asuncin-
Paraguay en 1989 y, en San Juan-Puerto Rico en 1999. En Amrica Latina con fre-
cuencia se utiliza como sinnimo de Rendicin de Cuentas.
9
IX. ACTIVIDADES DE CONTROL 55
1. Integracin con las Decisiones sobre Riesgos
2. Principales Actividades de Control
3. Control sobre los Sistemas de Informacin
X. INFORMACIN Y COMUNICACIN 61
1. Cultura de Informacin en todos los Niveles
2. Herramienta para la Supervisin
3. Sistemas Estratgicos e Integrados
4. Confiabilidad de la Informacin
5. Comunicacin Interna
6. Comunicacin Externa
XI. SUPERVISIN Y MONITOREO 69
1. Supervisin Permanente
2. Evaluacin Interna
3. Evaluacin Externa
10
I. ANTECEDENTES
Este trabajo tiene como referencia conceptual las siguientes tres investigaciones realiza-
das por organizaciones profesionales de Amrica, que tuvieron como objetivos principa-
les: impulsar el uso racional de estrategias; promover la eficiencia en las operaciones;
lograr los objetivos institucionales y empresariales; identificar y administrar los riesgos;
cumplir con las normativas aplicables; y, contar con una herramienta apropiada para
prevenir errores o irregularidades; stos son: (1) Informe del Committee of Sponso-
ring Organizations (COSO) (Comit de Organismos Patrocinadores); (2) Marco
Integrado de Control Interno Latinoamericano (MICIL); y, (3) Gestin de Riesgos
Corporativos-Marco Integrado (COSO II para fines de este trabajo).
1. Informe del Committee of Sponsoring Organizations (COSO).
El informe elaborado por el COMMITTEE OF SPONSORING ORGANIZATIONS,

(Informe de Organismos Patrocinadores) conocido como informe COSO, por sus siglas
en ingls, fue publicado en los Estados Unidos en 1992. Este Comit surgi como una
respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e in-
terpretaciones existentes en torno a la temtica referida al control interno y, como una
herramienta para promover la responsabilidad, transparencia y la honestidad de la ges-
tin de los administradores de los recursos pblicos y privados.
Con este informe culmina una tarea realizada durante ms de cinco aos por el grupo de
trabajo que la TREADWAY COMMISSION a cargo del COSO.
El grupo estaba constituido por representantes de las siguientes organizaciones:
American Accounting Association (AAA)

American Institute of Certified Public Accountants (AICPA)
Financial Executives Institute (FEI)
Institute of Internal Auditors (IIA)
Institute of Management Accountants (IMA)
Otros organismos profesionales de los pases industrializados han definido su enfoque

sobre el control interno, basados en los criterios definidos en el Informe COSO, como
los siguientes: Criteria of Control (CoCo), del Instituto Canadiense de Contadores Certi-
ficados (CICA por las siglas del ingls); Comisin Cadbury del Instituto de Contadores
del Reino Unido; Comisin King del Instituto de Contadores de Australia, entre los ms
difundidos.
2. Marco Integrado de Control Interno Latinoamericano MICIL
La Conferencia Interamericana de Contabilidad de San Juan, Puerto Rico en 1999 se re-

comend un marco latinoamericano de control interno similar al COSO en espaol en
base de las realidades de la regin. Se nombr una comisin especial de representantes
de la Asociacin Interamericana de Contabilidad (AIC) y la Federacin Latinoamericana
de Auditores Internos (FLAI) para iniciar el desarrollo de tal marco.
11
El Marco Integrado de Control Interno para Latinoamrica (MICIL), que se emite en el
ao 2004 es un modelo basado en estndares de control interno para las pequeas, me-
dianas y grandes empresas desarrollado en el informe COSO.
En la preparacin del MICIL, expertos de varias organizaciones profesionales trabajaron

conjuntamente para promover mejores prcticas de respondabilidad1 y transparencia.
Particular mencin merece la Federacin Latinoamericana de Auditores Internos (FLAI)
y la Asociacin Interamericana de Contabilidad (AIC), a travs de su Comisin Inter-
americana de Auditora Interna.
El Informe COSO y el MICIL recomiendan que el control interno, como un modelo in-
tegrado a la gestin de las organizaciones, sea considerado como una asignatura obliga-
toria para todas las profesiones de nivel universitario. Consider, adems, que esta con-
dicin debe ser acogida por los organismos de profesionales y la sociedad civil, ya que
parte importante del control interno se fundamenta en los valores y en un cdigo de con-
ducta tica, para sensibilizar a las personas de su responsabilidad por el cumplimiento de
los deberes, con la entidad, los usuarios de los servicios y la sociedad en general.
3. Gestin de Riesgos Corporativos-Marco Integrado (COSO II).
Siempre con el afn de promover la adopcin de estrategias que permitan el logro de los
objetivos institucionales y de todos los niveles de la organizacin en un ambiente de
transparencia y honestidad, la COMMITTEE OF SPONSORING ORGANIZATIONS
(COSO), con el apoyo de las agrupaciones profesionales citados en el punto uno de este
captulo, en el ao 2004 emitieron un segundo Informe COSO, con el nombre de Gestin
de Riesgos Empresariales-Marco Integrado que para fines de este estudio se denominar
COSO II. Los aspectos ms relevantes de esta nueva propuesta tcnica frente al informe
COSO y al MICIL, radica en los siguientes aspectos:
a. Incorpora objetivos ESTRATGICOS como una nueva categora de obje-

tivos institucionales, pero mantiene las tres restantes categoras de objeti-
vos que contiene el informe COSO; esto es: OPERATIVOS; DE IN-
FORMACIN; y, DE CUMPLIMIENTO.
b. Incrementa a ocho el nmero de componentes mediante la incorporacin

de los tres siguientes: ESTABLECIMIENTO DE OBJETIVOS; IDEN-
TIFICACIN DE EVENTOS; y, RESPUESTA A LOS RIESGOS.
c. Pone especial nfasis en el establecimiento de estrategias y en la adminis-

tracin de los riesgos con la participacin permanente de todos los
miembros de la organizacin, mediante el uso de herramientas que permi-
tan evitarlos, disminuirlos, compartirlos o aceptarlos. En todo caso, la
gestin de los riesgos debe permitir al menos: alinear el riesgo aceptado y
las estrategias; mejorar las decisiones en respuesta a los riesgos; aprove-
char las oportunidades: disminuir sorpresas y prdidas operativas; facili-
tar la adopcin de respuestas integrales a mltiples riesgos cuyos impac-
tos se interrelacionan.
12
A continuacin se presenta una comparacin de los componentes del sistema de control
y gestin de riesgos, segn COSO II, COSO y MICIL:
COSO II COSO MICIL

Ambiente Interno Entorno o Ambiente de Ambiente de Control y
Control Trabajo
Establecimiento de Objeti- Ninguno Ninguno
vos
Identificacin de Eventos Ninguno Ninguno
Evaluacin de Riesgos Igual Igual
Respuesta a los Riesgos Evaluacin de Riesgos Evaluacin de Riesgos
Actividades de Control Actividades de Control Actividades de Control
Informacin y Comunica- Informacin y Comunica- Informacin y Comunica-

cin cin cin
Supervisin Supervisin Supervisin
El CORRE toma como base los tres informes enunciados; sin embargo, su presentacin
se fundamente en COSO II, porque incluye a los dos anteriores COSO Y MICIL. Ade-
ms, procura que su adaptacin a la realidad ecuatoriana y la simplificacin de los con-
tenidos, facilite su comprensin y aplicacin.
CO SO II
CO SO
M ICIL
M
COICIRE
RRE
M ICIL
CO SO
CO SO II
13
II. MARCO CONCEPTUAL
Con pequeas modificaciones al concepto general de COSO, al control interno se define

como:
Un proceso, efectuado por el consejo de administracin,

la direccin y el resto de personal de una entidad,
diseado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecucin de
objetivos dentro de las siguientes categoras:
Honestidad y respondabilidad,
Eficacia y eficiencia en las operaciones,
Fiabilidad de la informacin,
Salvaguarda de los recursos; y,
Cumplimiento de las leyes y normas.
A continuacin algunas reflexiones para facilitar la comprensin de la definicin:
1. El Control Interno como un Proceso
El control interno es un proceso aplicado en la ejecucin de las operaciones de toda la

organizacin, es una herramienta y un medio utilizado para apoyar la consecucin de los
objetivos institucionales.
2. El Control interno ejecutado por personas
El control interno es ejecutado por personas. La principal responsabilidad del diseo y

aplicacin del control interno asumen las mximas autoridades. Su ejemplo impulsar el
ambiente de control en todos los empleados que laboran en las organizaciones. Los audi-
tores internos, como parte de la organizacin, son responsables de evaluar la calidad y
cabal aplicacin de los controles internos establecidos que incluye la gestin de los ries-
gos corporativos.
3. Aportar un grado de seguridad razonable
El control interno aporta seguridad razonable a la direccin superior de la organizacin,

respecto del cumplimiento de los objetivos y la existencia de errores o irregularidades en
las operaciones. No aporta seguridad total o absoluta.
4. Promover la honestidad y la respondabilidad
El control interno diseado y aplicado adecuadamente es el mejor antdoto contra las

irregularidades, el fraude y la corrupcin en sus diferentes manifestaciones, porque esta-
blece la obligacin de asumir conducta tica en todos los niveles de organizacin, como
base para su funcionamiento. Adems, la respondabilidad se entiende como la obliga-
14
cin de los funcionarios pblicos o privados de: responder, reportar, explicar o justificar
ante una autoridad superior, por recursos recibidos y administrados y/o por los deberes
y funciones asignados y aceptados.
5. Facilitar la consecucin de los objetivos de la organizacin
El control interno facilita la consecucin de los objetivos de la organizacin, con efi-

ciencia, economa, tica, transparencia, proteccin de los recursos, fiabilidad de la in-
formacin y, cumplimiento de las leyes y otras normativas.
Para alcanzar sus objetivos estratgicos, la entidad establece estrategias y objetivos co-
nexos que desea alcanzar, que fluyen en cascada hacia gerencias, departamentos, unida-
des operativas y procesos.
6. Aplicado en toda la Organizacin
El control interno, debe ser adoptado de manera integral por toda la entidad. Esto re-
quiere que quienes dirijan la organizacin en todos los niveles, tengan la autoridad nece-
saria para asumir sus responsabilidades de alcanzar los objetivos
15
EN RESUMEN:
El Control Interno se define como un proceso, efectuado

por el consejo de administracin, la direccin y el resto
de personal de una entidad, diseado con el objeto de
proporcionar un grado de seguridad razonable en cuanto
a la consecucin de objetivos dentro de las siguientes
categoras:
Honestidad y
respondabilidad Eficacia y
eficiencia en
las Fiabilidad de la
i informacin
Salvaguardar los
Recursos Cumplimiento
de las leyes
y normas
16
III. COMPONENTES DEL CONTROL DE LOS RECURSOS Y LOS
RIESGOS-ECUADOR (CORRE).
Para el desarrollo del CORRE, tomamos la estructura del Informe COSO II y sus com-
ponentes, agrupados en el siguiente orden:
1. Ambiente Interno de Control

2. Establecimiento de Objetivos
5. Respuesta a los Riesgos
6. Actividades de Control
7. Informacin y Comunicacin
8. Supervisin y Monitoreo
Todos los componentes del CORRE, tienen como base el ambiente interno de control
y, dentro de ste, la integridad y los valores ticos. Por su importancia, este elemento
se presenta en la parte ms amplia de la pirmide, sobre la que se soportan todos los de-
ms elementos. Se lograr eficiencia y eficacia en el CORRE, si los ocho componentes
funcionan de manera integrada en toda la organizacin, bajo el liderazgo del consejo de
administracin o de la mxima autoridad, como principal responsable de su diseo, apli-
cacin y actualizacin, en las instituciones pblicas y privadas.
17
Por sus caractersticas, el componente informacin y comunicacin, permite una amplia
relacin entre la base y la cima de la pirmide, constituyndose en el elemento integra-
dor del sistema. Los supervisores de todos los niveles de la organizacin, principalmente
los ms altos, estn en condiciones de adoptar las decisiones, sobre la base de los resul-
tados de las actividades de control establecidos para disminuir los riesgos en todas sus
categoras.
En los siguientes captulos se estudiar en detalle cada uno de los ocho componentes.
18
IV. AMBIENTE INTERNO DE CONTROL
El ambiente interno de control (o entorno de control como lo denomina el informe

COSO), se explica de la siguiente forma: El entorno de control marca las pautas de
comportamiento de una organizacin y tiene una influencia directa en el nivel de
compromiso del personal respecto al control. Constituye la base de todos los dems
elementos del control interno, aportando disciplina y estructura. Entre los factores
que constituyen el entorno de control se encuentran la honradez, los valores ticos y la
capacidad del personal; la filosofa de la direccin y su forma de actuar; la manera en
que la direccin distribuye la autoridad y la responsabilidad y organiza y desarrolla
profesionalmente a sus empleados, as como la atencin y orientacin que proporcio-
na el consejo de administracin..
La base del CORRE est en los valores, la conducta tica, la integridad y la competencia
del personal. Este es un elemento que debe ser cuidado en forma permanente, dentro y
fuera de la organizacin, principalmente con el ejemplo de las ms altas autoridades. No
es suficiente la emisin de un cdigo de tica y los valores institucionales. Es indispen-
sable que el personal de la entidad, los clientes y terceras personas relacionadas los co-
nozcan y se identifiquen con ellos, para que se logren los objetivos basados en los prin-
cipios antes sealados. Los valores ticos se complementan con la filosofa y el lideraz-
go, el establecimiento de objetivos, estrategias, polticas y procedimientos para las ope-
raciones de la organizacin, con especial nfasis en el capital humano. El compromiso
hacia el control por parte del consejo de administracin o la mxima autoridad de la or-
ganizacin, que algunos lo denominan como EL CLIMA EN LA CIMA para referirse
al control y la gestin de los riesgos- es fundamental para un buen ambiente interno de
control e influye de modo significativo en sus otros factores.
Los siguientes factores integran el componente Ambiente Interno de Control, cuyo estu-
dio detallado se realiza en este captulo:

7. Respondabilidad y Transparencia.
19
AMBIENTE INTERNO DE CONTROL
a. Fundamentos
Los directivos de organizaciones exitosas aceptan cada vez ms la idea de que la tica es
rentable y que una conducta ntegra es un buen negocio. La integridad de la direccin es
un requisito para la conducta tica en todas las actividades de una organizacin, cual-
quiera sea su finalidad. Los mensajes trasmitidos por las acciones de la direccin se in-
corporan rpidamente a la cultura corporativa. Los valores de la direccin deben equili-
brar los intereses de la organizacin, sus empleados, proveedores, clientes y competido-
res y del pblico en general.
La reputacin de las instituciones pblicas y privadas es muy valiosa y las normas de

comportamiento deben ir ms all del cumplimiento de las disposiciones legales. El p-
blico usuario de los servicios o el inversionista espera algo ms que la adhesin a las
disposiciones legales y reglamentarias, requiere de evidencias claras sobre el acceso a la
informacin oportuna e importante relacionada con sus principales actividades.
La integridad y valores ticos son elementos esenciales del ambiente interno de control
de una organizacin y afectan al diseo, administracin y seguimiento de los otros com-
ponentes del CORRE.
20
Los valores ticos no solo deben ser comunicados, sino tambin acompaados por una
orientacin explcita de lo que est bien y mal. Los cdigos formales de conducta corpo-
rativa son importantes y sirven de base para un programa eficaz de tica, conflicto de in-
ters, pagos ilegales o inadecuados y acuerdos contra la libre competencia.
Los ejemplos recientes de Enron, Worldcom, Tyco, Vivendi, Xerox, Parmalat, entre
otras, son evidencias claras de la ausencia de valores y el incumplimiento de los princi-
pios ticos por parte de la direccin superior de las organizaciones. En nuestro pas, esta
situacin se evidenci en la crisis del sistema financiero de 1999, que sacudi todos los
sectores, sin que se haya dado ejemplar castigo a los culpables, tanto del sector privado
como pblico.
Las personas pueden implicarse en actos deshonestos, ilegales o no ticos, simplemente

porque la entidad y el entorno les proporcionan importantes incentivos o tentaciones pa-
ra hacerlo. Un nfasis indebido sobre los resultados, particularmente a corto plazo y las
ambiciones personales, pueden fomentar un ambiente interno de control inadecuado.
Centrarse en los resultados sin responsabilidad social corporativa y, en los intereses per-
sonales, a menudo generan ilcitos y actos que perjudican a la sociedad en su conjunto.
La existencia de un cdigo escrito de conducta, de documentacin donde conste que los

empleados lo han recibido y entendido y un adecuado canal de comunicaciones no ase-
guran por s mismos que el cdigo se est cumpliendo. Para su cumplimiento es necesa-
rio que se contemplen sanciones resultantes para directivos y empleados que violen el
cdigo, acompaado de los mecanismos que animen denunciar presuntas violaciones y
las acciones disciplinarias contra quienes conscientemente no denuncien las infraccio-
nes.
b. Puntos a evaluar
Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

calidad con que se disearon y operan los elementos de este componente, se deben con-
siderar como mnimo los siguientes puntos:
La existencia e implantacin de cdigos de conducta u otras polticas relacionadas

con las prcticas profesionales aceptables, incompatibilidades o pautas esperadas de
comportamiento tico y moral.
El grado de compromiso de la alta direccin para cumplir los cdigos de conducta,
mediante el ejemplo y el liderazgo para su aplicacin.
La difusin dada a los cdigos de conducta tanto interno como externo y, el uso en
los procesos de induccin del personal.
La incorporacin de los cdigos de conducta en los procesos y en las evaluaciones de
desempeo.
Las facilidades brindadas para que los funcionarios y empleados presenten denuncias
sin temor a represalias.
La forma en que se llevan a cabo las negociaciones con empleados, proveedores,
clientes, inversores, acreedores, aseguradores, competidores, usuarios de los servi-
cios y auditores (por ejemplo, si la direccin lleva a cabo sus actividades con un alto
nivel tico e insiste que los dems hagan lo mismo, o presta poca atencin a los te-
mas ticos).
21
La presin para alcanzar objetivos de rendimiento poco realistas, sobre todo en cuan-
to a los resultados a corto plazo y en qu medida la remuneracin est basada en la
consecucin de dichos objetivos.
a. Fundamentos
La filosofa y estilo de la alta direccin refleja los valores de la entidad, influye en su

cultura y estilo operativo y afecta la aplicacin de todos los componentes del CORRE,
incluyendo la identificacin de riesgos, los tipos de riesgos aceptados y cmo son ges-
tionados. Los directivos de algunas unidades pueden estar preparados para asumir un
mayor riesgo, mientras que otros pueden ser ms conservadores, de acuerdo con su filo-
sofa y estilo de direccin.
Una organizacin que ha logrado el xito a partir de asumir riesgos importantes, puede
tener una perspectiva diferente sobre el CORRE, en comparacin a una administracin
que haya pasado situaciones adversas. Dos ejemplos pueden explicar mejor este tema:
asumir riesgos otorgando crditos con dbiles garantas o, registrando gastos recurrentes
como activos diferidos para mantener condiciones financieras aceptables de operacin.
La filosofa y estilo de la alta direccin se reflejan; entre otros, en los siguientes aspec-
tos: la forma en que establece las polticas, objetivos, estrategias, su difusin y la res-
ponsabilidad de informar sobre su cumplimiento; el compromiso hacia el cumplimiento
de leyes, normas y otras regulaciones aplicables; los niveles de riesgos que acepta; pre-
sentacin amplia de la informacin financiera y de gestin; la seleccin de alternativas
en cuanto a la aplicacin de los Principios de Contabilidad Generalmente Aceptados o
las Normas Internacionales de Informacin Financiera (NIIF); la prudencia utilizada en
la determinacin de las estimaciones; y, la comunicacin amplia con el personal de la
organizacin y con terceros relacionados.
Esta filosofa se refleja en casi todo el quehacer de la direccin para gestionar la entidad.
Lo crticamente importante es que desde ella se potencia la filosofa, no slo con pala-
bras sino con acciones diarias.
b. Puntos a evaluar

calidad de los elementos de este componente, se deben considerar como mnimo los si-
guientes puntos:
La naturaleza de los riesgos empresariales aceptados, por ejemplo, si participa la di-

reccin a menudo en operaciones de alto riesgo o es extremadamente prudente a la
hora de aceptar riesgos.
La forma en que la alta direccin incentiva a su personal para el cumplimiento de las
leyes y otras normativas.
El cuidado que tiene la gerencia para cuidar la imagen institucional mediante el res-
peto a los contratos o acuerdos alcanzados.
22
La frecuencia con que se llevan a cabo los contactos entre la alta direccin y las di-
recciones operativas, sobre todo cuando estn ubicadas en zonas geogrficas diferen-
tes.
Las actitudes y actuaciones de la direccin respecto a la presentacin de informacin
financiera, incluyendo las discusiones acerca de la aplicacin de los tratamientos
contables (por ejemplo, eleccin de polticas contables prudentes o arriesgadas, si las
polticas contables han sido incorrectamente aplicadas o se ha excluido informacin
financiera importante, o si los registros han sido manipulados o falsificados).
a. Fundamentos
El consejo de administracin (junta directiva, directorio u otras denominaciones) de una

entidad es una parte crtica del mbito interno e influye de modo significativo en sus
componentes. Su independencia frente a la direccin, la experiencia y reputacin de sus
miembros, su grado de implicacin y supervisin de las actividades y la adecuacin de
sus acciones, juegan un papel muy importante para el diseo y funcionamiento del CO-
RRE de una organizacin.
El alcance con que se plantean y persiguen, junto con la direccin, cuestiones difciles
relativas a estrategias, planes y rendimientos y su interaccin o la del comit de auditora
con los auditores internos y externos, es clave para un adecuado funcionamiento del
CORRE.
Dado que el consejo tiene que estar preparado para cuestionar y evaluar las actividades
de la direccin, presentar enfoques alternativos y actuar frente a prctica ilcitas, contar
con consejeros externos, es una prctica corporativa a considerarla en nuestro pas.
La funcin de auditora interna ha tomado un papel relevante, con el apoyo del consejo
directivo, del Comit de Auditora y la colaboracin de la direccin ejecutiva de la or-
ganizacin. El funcionamiento de los comits de adquisiciones, administracin del capi-
tal humano y tecnologas de informacin, apoyan el compromiso adquirido por el Con-
sejo de Administracin frente a los controles y la gestin de riesgos.
El Comit de Auditora es uno de los que ms se ha desarrollado en los ltimos tiempos,

principalmente para cumplir con lo que dispone la Ley General de Instituciones del Sis-
tema Financiero del Ecuador. Su eficacia debe ser evaluada a travs de la calidad del
CORRE institucional, el adecuado funcionamiento de las unidades de auditora interna,
la independencia y profesionalismo de los auditores externos, la confiabilidad de la in-
formacin financiera, el grado de cumplimiento de los planes de trabajo de los auditores
internos y externos, el cumplimiento de las observaciones y recomendaciones formula-
das y, la gestin de los riesgos por parte de la administracin superior.
Los Comits de Auditora han sido integrados de diferente forma en las organizaciones.
Sin embargo, la independencia y profesionalismo, es el factor comn que debe ser apli-
cado a todas. Es conveniente que el Comit de Auditora est integrado por miembros
del directorio, junta directiva o cuerpo colegiado del ms alto nivel dentro de la organi-
zacin, que no asuman funciones administrativas, operativas o de negocio. Esto protege
la independencia y posibles conflictos de intereses. A estos miembros internos de la or-
23
ganizacin se debe integrar a miembros externos, con altas calificaciones profesionales
en finanzas, auditora y con probada capacidad de anlisis. Los auditores internos y,
eventualmente los auditores externos, pueden integrarse al Comit, con voz pero sin vo-
to. Su participacin puede limitarse a asesorar en algunos aspectos especficos. Frente a
este criterio, existen pronunciamientos en el sentido de que el Comit de Auditora est
integrado, totalmente, por miembros externos de la organizacin. En todo caso, los fac-
tores que ms importan son: la independencia y la posibilidad de tener acceso directo a
la mxima autoridad de la organizacin.
El Comit de Auditora es el nexo profesional en materia de control entre auditores in-

ternos y externos y el directorio. De esta manera se asegura un tratamiento equitativo de
los resultados de las auditoras y la posibilidad de tener el respaldo apropiado y el cum-
plimiento de observaciones y recomendaciones formuladas. Con este mecanismo la po-
sibilidad de fortalecer los controles internos, la gestin de los riesgos corporativos, los
valores instituciones y de alcanzar objetivos y metas, se ampla de manera considerable.
b. Puntos a evaluar

guientes puntos:
La independencia de los miembros de los que integran el Consejo de Administracin

y de los comits.
La reputacin, mritos profesionales de los miembros del Consejo de Administracin
y los comits.
La atencin que brindan las autoridades a novedades importantes y a los informes de
posibles violaciones a los cdigos de conducta.
La frecuencia y oportunidad de las reuniones con el director financiero y/o contable,
auditores internos y externos.
La suficiencia y oportunidad en que se facilita informacin a los miembros del con-
sejo o comit de auditora que permita supervisar los objetivos y las estrategias, la si-
tuacin financiera, as como los resultados alcanzados por la entidad.
La suficiencia y oportunidad con que se comunica al Consejo o Comit de Auditora
la informacin confidencial, los datos sobre investigaciones realizadas y las actua-
ciones incorrectas (por ejemplo, gastos de viaje de altos directivos, litigios significa-
tivos, investigaciones por parte de las autoridades competentes, desfalcos, uso inde-
bido de fondos o uso incorrecto de los activos de la sociedad, abusos de informacin
privilegiada, pagos a polticos, pagos ilegales, etc.).
a. Fundamentos
La adecuacin de la estructura organizativa de una institucin en gran medida depende

de la naturaleza de sus actividades, el tamao de sus operaciones y su independencia.
La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar,

controlar y supervisar sus actividades. Una estructura organizativa incluye la definicin
24
de reas claves de autoridad y responsabilidad y el establecimiento de lneas adecuadas
de informacin y comunicacin para facilitar la coordinacin.
Sobre la base de la estructura orgnica se deben establecer los manuales de funciones y

de procesos para darle operatividad. Cada gerencia, divisin o unidad debe tener finali-
dades, objetivos, funciones, niveles a los que reporta y de quien recibe informacin. Para
asegurar la calidad de los productos o servicios, se debe contar con el diseo de los pro-
cesos que deben incorporar los controles necesarios para disminuir los riesgos en trmi-
nos razonables. Con base en los procesos se realizarn los controles de calidad de acuer-
do con los estndares seleccionados.
Una entidad desarrolla una estructura organizativa ajustada a sus necesidades. Algunas
son centralizadas y otras descentralizadas. Unas presentan relaciones directas de depen-
dencia, mientras que otras tienen una organizacin de tipo matricial. Ciertas entidades
estn organizadas por sector de actividad o lnea de producto, por ubicacin geogrfica,
por un modo concreto de distribucin o por una determinada red comercial. Otras enti-
dades, incluyendo muchos organismos gubernamentales, estatales o locales, y entidades
sin fines de lucro, estn organizadas por funciones.
La actualizacin de las estructuras, funciones y procesos es responsabilidad de quienes

dirigen los diferentes niveles de la organizacin con el apoyo interno o externo que sea
necesario a fin de que respondan a las exigencias presentes de la institucin.
b. Puntos a evaluar

guientes puntos:
La existencia e idoneidad de la estructura orgnica y funcional.

La existencia de manuales de procesos para actividades sustantivas y adjetivas.
El grado de actualizacin de los documentos citados y las facilidades de acceso.
La idoneidad de la estructura organizativa de la entidad para proporcionar el flujo de
informacin necesario para gestionar sus actividades.
La claridad con la que se identifican los niveles de autoridad y responsabilidad.
La facilidad que brindan para la coordinacin institucional y la supervisin que se
debe ejercer.
El grado de comunicacin y divulgacin interna y externa por los medios disponi-
bles.
a. Fundamentos
La responsabilidad que asume un funcionario o empleado de la organizacin siempre es-

tar relacionada con la autoridad asignada. A mayor grado de autoridad mayor ser el
grado de responsabilidad de los funcionarios y empleados.
25
La alineacin de la autoridad y la responsabilidad a menudo se efecta para animar las
iniciativas individuales dentro de lmites. La delegacin de autoridad significa traspasar
el control central de algunas decisiones hacia niveles inferiores, es decir, a los individuos
que estn ms cerca de las transacciones empresariales cotidianas.
Un reto crtico ser delegar la autoridad slo en la cuanta requerida para alcanzar obje-
tivos, lo que implica asegurar que la toma de decisiones se basa en prcticas slidas de
control que respondan de manera eficaz a los riesgos aceptados.
La asignacin de mayor responsabilidad puede fomentar la creatividad, la toma de ini-

ciativas y la reduccin de los tiempos de respuesta, dando como resultado la competiti-
vidad y la satisfaccin del cliente, usuarios y otros terceros vinculados. Tambin exige
procedimientos efectivos para que la direccin controle los resultados.
b. Puntos a evaluar

guientes puntos:
La asignacin de responsabilidad y delegacin de autoridad para hacer frente a los

objetivos, funciones operativas y requisitos reguladores, incluyendo la responsabili-
dad en cuanto a los sistemas de informacin y la autorizacin de cambios.
La suficiencia de las normas y procedimientos relacionados con el control, incluyen-
do las descripciones de puestos de trabajo.
El adecuado nmero de personas, sobre todo en relacin con las funciones de proce-
samiento de datos y contabilidad, respecto al nivel necesario, teniendo en cuenta el
tamao de la entidad as como la naturaleza y complejidad de sus actividades y sis-
temas.
a. Fundamentos
El recurso ms importante en cualquier organizacin pblica o privada, es el personal

que la conforma. El ambiente de control estar totalmente fortalecido si la organizacin
administra de manera eficiente y eficaz este recurso.
El proceso tcnico definido para la administracin del recurso humano parte de la inte-
gridad, el comportamiento tico y la competencia profesional, aspectos a ser demostra-
dos con relacin a las funciones que deben ejecutar y los productos a generar.
La definicin de normas de operacin y su aplicacin en la administracin del recurso

humano estn relacionadas de manera primaria con las acciones de clasificacin, valora-
cin, reclutamiento, seleccin, contratacin, formacin, evaluacin, remuneracin y es-
tmulos del personal.
En la definicin del perfil profesional para desempear las posiciones funcionales de una
organizacin, se debe considerar la naturaleza y el grado de juicio profesional aplicables
26
a un trabajo especfico. Adems, se debe buscar el equilibrio entre la capacidad exigida
al profesional y el nivel de supervisin a ser aplicado.
Los traslados y promociones originados por evaluaciones objetivas peridicas demues-

tran el compromiso de la organizacin en el progreso del personal calificado. El funcio-
namiento de un Comit de Recursos Humanos es importante para promover el manejo
justo y equitativo de las contrataciones y los resultados del desempeo. En este mismo
sentido, las sanciones disciplinarias transmiten el mensaje de que no sern toleradas las
violaciones de la conducta esperada.
Es esencial que los empleados estn preparados para enfrentarse a nuevos retos a medida
que los temas y riesgos cambian en la entidad y se hacen ms complejos. No es sufi-
ciente la contratacin de personas competentes a las que se les proporciona solo forma-
cin en el momento inicial. El proceso formativo debe ser continuo, las polticas de
formacin pueden potenciar los niveles esperados de rendimiento y conducta mediante
la comunicacin de los papeles y responsabilidades futuras.
La competencia profesional y la evaluacin del desempeo individual de los funciona-

rios y empleados de la organizacin contribuyen ampliamente para que el ambiente de
control se constituya en una garanta de mayor grado para la obtencin de los objetivos
de la organizacin.
b. Puntos a evaluar

guientes puntos:
La existencia de un sistema de gestin del recurso humano.

La existencia de descripciones de puestos de trabajos formales u otras formas de de-
finir las tareas que componen trabajos especficos.
El anlisis de los conocimientos, la experiencia y las habilidades necesarias para lle-
var a cabo el trabajo adecuadamente.
La medida en que estn actualizadas y son aplicadas las polticas y procedimientos
adecuados para la contratacin, formacin, promocin y remuneracin de los em-
pleados.
La suficiencia de las acciones disciplinarias tomadas como respuesta a las desviacio-
nes de las polticas y procedimientos aprobados.
La existencia del comit de recursos humanos y la forma en que opera.
La idoneidad de la revisin de los expedientes de los candidatos a puestos de trabajo,
sobre todo en relacin con acciones o actividades no admitidas en el seno de la enti-
dad.
La idoneidad de los criterios para retener y promocionar a los empleados y de las
tcnicas de obtencin de datos sobre el personal (por ejemplo, las evaluaciones del
rendimiento) y su relacin con el cdigo de conducta y otras pautas de comporta-
miento.
El grado de difusin y comunicacin de las polticas, sistemas, procedimientos para
la gestin del capital humano.
27
7. Respondabilidad y Transparencia
a. Fundamentos
Respondabilidad significa la obligacin de los funcionarios pblicos o privados de: res-

ponder, reportar, explicar o justificar ante una autoridad superior, por recursos recibidos
y administrados y/o por los deberes y funciones asignados y aceptadas. Para fines de este
estudio se utiliz respondabilidad para mantener el alcance original de su significado,
que supera la tradicional rendicin de cuantas entendida como la responsabilidad de in-
formar lo que se ha realizado.
La respondabilidad es un proceso continuo y no un resultado en s mismo. Se logra a

travs del proceso administrativo: con la planificacin participativa que establece objeti-
vos generales y especficos, con los indicadores de rendimientos o de gestin y los me-
dios de verificacin. Contina con la asignacin de recursos y el establecimiento de au-
toridad y responsabilidad para cada uno de los niveles de la organizacin. Para la ejecu-
cin de los planes y proyectos se disean y ponen en prctica polticas, sistemas y pro-
cedimientos que procesan las operaciones administrativas, financieras y operativas para
generar informacin interna y externa con la desagregacin que corresponda, para ser
comunicado con oportunidad y transparencia. En todos estos procesos est inmerso el
CORRE que ser objeto de evaluaciones y revisiones internas y externas.
Uno de los medios para cumplir con la respondabilidad es presentar informes peridicos
dirigidos a la autoridad que tenga la facultad de recibir esa informacin y de tomar deci-
siones. Esos informes deben comparar la relacin que existe entre lo planificado y lo
ejecutado; la explicacin de variaciones significativas con el sealamiento de las causas
de responsabilidades por errores o irregularidades.
En el sector pblico, el principal destinatario del proceso de respondabilidad es la ciuda-

dana por su condicin de principal accionista de la empresa llamada Estado. La ciuda-
dana tiene derecho a estar informada de la forma en que sus mandatarios han cumplido
con la autoridad otorgada y la responsabilidad asumida. En este sentido, todo servidor
pblico, empezando por las ms altas autoridades, estn obligados a responder, reportar,
explicar o justificar su gestin. Para transparentar su gestin, deben cumplir con las le-
yes y otras regulaciones que establecen la calidad, cantidad y periodicidad de informa-
cin que deben poner en conocimiento de sus mandantes y otros usuarios internos y ex-
ternos. Para su cabal aplicacin, el control de la ciudadana organizada y con representa-
cin suficiente, es fundamental y complementa la que deben ejecutar organismos pbli-
cos encargados de vigilar que haya respondabilidad en todos los niveles.
La respondabilidad aplica a todos los sectores y todo tipo de organizacin, sin importar
su complejidad y volumen de recursos que administra. Lo que puede variar es la tecno-
loga utilizada y los niveles en los que se aplica. En el sector privado la respondabilidad
se aplica por parte del consejo de administracin para con los accionistas; la direccin o
gerencia para con el consejo de administracin y, desde todos los niveles inferiores,
hacia la direccin. Las empresas, por su parte, debern informar a instituciones pblicas
reguladoras o de control sobre los asuntos que les corresponda.
28
La auditora interna y externa constituye otro elemento de la respondabilidad de la orga-
nizacin, para evaluar la calidad del CORRE establecido y la eficiencia y eficacia de la
gestin de los administradores.
La siguiente informacin debe estar disponible para los niveles de la organizacin que
corresponda:
Informar sobre el cumplimiento de objetivos as como la explicacin de variaciones

entre lo planificado y ejecutado y la responsabilidad que cada nivel de la organiza-
cin asume.
Los estados y otros informes financieros publicados deben ser comparativos con los
de igual perodo y con criterio, como los presupuestos.
Las notas aclaratorias a los estados financieros son obligatorias y deben incluir la in-
formacin mnima establecida en las Normas Internacionales de Informacin Finan-
ciera, (NIIF).
El dictamen de los auditores externos respecto a la presentacin de los estados finan-

cieros y sobre el funcionamiento del CORRE en una institucin.
Los informes de auditora interna y del Comit de Auditora, por cada revisin o un
resumen consolidado de stos.
El informe de gestin sobre los resultados operativos, emitidos por la direccin para
conocimiento del consejo de administracin.
En el sector pblico, la mxima autoridad debe propiciar que todos los niveles de la
organizacin pongan a disposicin de la ciudadana y otros usuarios internos y exter-
nos, la informacin que manda la Ley Orgnica de Transparencia y Acceso a la In-
formacin Pblica.
b. Puntos a evaluar

guientes puntos:
La cultura institucional dirigida a la respondabilidad.

Establecimiento de objetivos con indicadores de rendimiento y medios de verifica-
cin objetiva.
Establecimiento de polticas de respondabilidad en todos los niveles de la organiza-
cin y verificacin permanente de su cumplimiento.
Incluir en todos los procesos mecanismos de respondabilidad.
La produccin de informes comparativos entre lo planificado y lo ejecutado.
La disposicin de alta direccin y de otros niveles de la organizacin, para analizar
las variaciones y otras novedades relativas al cumplimiento de los objetivos y la
aplicacin del CORRE establecido.
29
Facilidades de acceso a la informacin y estilo de comunicacin.
La calidad y periodicidad de las revisiones internas y externas a los informes finan-
cieros y de gestin.
30
V. ESTABLECIMIENTO DE OBJETIVOS
Los objetivos deben establecerse antes que la direccin pueda identificar potenciales
eventos que afecten a su consecucin. El consejo de administracin debe asegurarse que
la direccin ha establecido un proceso para fijar objetivos y que los objetivos seleccio-
nados estn en lnea con la misin/visin de la entidad, adems de ser consecuentes con
el riesgo aceptado.
Es a partir de los objetivos que se facilita la gestin de los riesgos empresariales median-
te la identificacin de los eventos externos e internos; la evaluacin de los riesgos; la
respuesta a los riesgos; y, el diseo de actividades de control.
ESTABLECIMIENTO DE OBJETIVOS
IDENTIFICACIN DE EVENTOS
EVALUACIN DE RIESGOS
RESPUESTA A LOS RIESGOS
ACTIVIDADES DE CONTROL
Los siguientes factores integran este componente:
3. Relacin entre Objetivos y Componentes del CORRE
31
ESTABLECIMIENTO DE OBJETIVOS
a. Fundamentos
La misin de una entidad establece en amplios trminos su razn de ser y lo que se aspi-
ra alcanzar. En el sector pblico y en organizaciones sin fines de lucro, la finalidad o la
misin generalmente constan en la norma de su creacin. Sea cual sea el trmino em-
pleado, como misin, o finalidad, es importante que la direccin con la supervi-
sin del consejo de administracin establezca expresamente la razn de ser de la enti-
dad en trminos generales. A partir de esto, la direccin fija los objetivos estratgicos,
formula las estrategias y establece los correspondientes objetivos operativos, de infor-
macin y de cumplimiento para la organizacin.
Aunque la misin de una entidad y sus objetivos estratgicos sean generalmente esta-
bles, su estrategia y muchos objetivos relacionados con ella son ms dinmicos y se ade-
cuan a las cambiantes condiciones internas y externas.
Los objetivos estratgicos son de alto nivel, estn alineados con la misin de la entidad y
le dan su apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la en-
tidad crear valor para sus grupos de inters.
En la actualidad, la elaboracin de planes estratgicos es muy utilizado por las organiza-

ciones para establecer la misin, visin, objetivos, estrategias, valores y otros elementos.
32
Tambin se utilizan herramientas administrativas como el marco lgico para elaborar
proyectos con indicadores de gestin, los medios de verificacin objetiva y los supuestos
establecidos. Cualquiera sea la metodologa utilizada, es indispensable que la direccin
establezca los objetivos estratgicos respecto de los que asume la responsabilidad de
gestionar su cumplimiento evitando los riesgos correspondientes.
b. Puntos a evaluar

guientes puntos:
Existencia formal de la misin o finalidad aprobada por el consejo de administra-

cin.
Hasta qu punto los objetivos de los organismos e instituciones expresan clara y
completamente lo que la entidad desea conseguir y la forma en que prev conseguir
teniendo en cuenta sus particularidades.
Grado de vinculacin de los diferentes niveles de la organizacin en el estableci-
miento de objetivos estratgicos y de las estrategias.
La eficacia con que los objetivos de los organismos e instituciones se comunican a
sus miembros.
Establecimiento de la viabilidad de cumplimiento de los objetivos.
Fijacin de tiempos, responsables, indicadores de rendimiento, supuestos o eventua-
lidades, recursos, informes o reportes.
a. Fundamentos
Al enfocar primero los objetivos estratgicos y la estrategia, una entidad est en posicin
de establecer objetivos de menor jerarqua vinculados con las operaciones y actividades,
cuya consecucin crear y conservar valor para las partes relacionadas. Los objetivos
estratgicos de la empresa estn vinculados y se integran con otros objetivos ms espec-
ficos, que repercuten en cascada en la organizacin hasta llegar a las diversas activida-
des.
Al fijar los objetivos para los distintos niveles y actividades de la entidad, la organiza-
cin puede identificar factores crticos de xito. Estos factores crticos de xito afectan a
la entidad, a cada unidad, funcin o departamento y a sus integrantes. Estos factores cr-
ticos de xito se representan en indicadores de gestin o estndares para medir el rendi-
miento.
Los objetivos deben ser fcilmente entendibles y medibles. Deben fijar como mnimo:
tiempo/perodo, responsables, recursos, productos, factores crticos de xito, formas de
medicin, informes, impactos, entre otros. La gestin de riesgos corporativos exige que
el personal en todos los niveles alcance suficiente entendimiento de los objetivos de la
entidad. Todas las personas, en los diferentes niveles de la organizacin, deben tener una
comprensin mutua de lo que se ha de lograr y de los medios para medir lo que se consi-
ga.
33
Segn el estudio COSO II, a pesar de existir diversidad de objetivos entre entidades, se
pueden establecer algunas categoras amplias como las siguientes:
Objetivos operativos
Representan la eficacia y eficiencia de las operaciones de la entidad, incluyendo los ob-

jetivos de rendimiento y rentabilidad y de salvaguardia de recursos frente a prdidas o
usos indebidos.
Los objetivos operativos deben reflejar los entornos empresarial o institucional, sectorial
y econmico en los que acta la entidad.
Objetivos de informacin
Relativos a la fiabilidad de la informacin. Incluyen informacin interna y externa, tan-

to financiera como no financiera.
La informacin tambin est relacionada con los documentos preparados para su difu-
sin externa, como es el caso de los estados financieros y sus notas de detalle, los co-
mentarios y anlisis de la direccin y los informes presentados a entidades reguladoras.
Objetivos de cumplimiento
Se refieren al cumplimiento de leyes y normas. Ciertos objetivos dependen del tipo de

actividad de la entidad. El historial de cumplimientos de una entidad puede afectar de
modo significativo positiva o negativamente - a su reputacin en la comunidad y su
entorno.
Resulta til desagregar estas categoras de objetivos, para facilitar la comunicacin in-
terna y externa sobre temas ms especficos.
b. Puntos a evaluar

guientes puntos:
Conexin de los objetivos especficos con los objetivos y planes estratgicos de la

entidad.
Coherencia entre los objetivos especficos para facilitar la coordinacin y evitar du-
plicacin de esfuerzos y uso de recursos.
Relacin de los procesos con los objetivos.
Cantidad y calidad de los recursos en relacin con los objetivos.
Identificacin de factores crticos de xito, indicadores de gestin, medios de verifi-
cacin objetiva, impactos.
Participacin en la determinacin de objetivos de los empleados que ocupan puestos
de responsabilidad a todos los niveles, y grado de compromiso con la consecucin de
los mismos.
34
Mtodos utilizados para informar los objetivos a los miembros de la organizacin.
3. Relacin entre objetivos y componentes del CORRE
a. Fundamentos
Se destaca que el logro de los objetivos estratgicos y operativos, pueden estar sujeto a
acontecimientos externos no siempre bajo control de la organizacin, lo que obliga a es-
tablecer mecanismos para que la direccin y el consejo de administracin en su papel de
supervisin, estn siendo informados oportunamente sobre estos eventos.
Existe una relacin directa entre los objetivos que la entidad desea lograr y los compo-
nentes del CORRE, que facilitan su logro. La relacin se representa en la siguiente ma-
triz tridimensional, en forma de cubo.
Las cuatro categoras de objetivos: estratgico o de estrategia, operaciones, informacin

y cumplimiento estn representadas por columnas verticales; los ocho componentes es-
tn por filas horizontales; y, las unidades de la entidad, en la tercera dimensin del cubo,
donde se destaca que los componentes deben ser considerados de manera integral en to-
da la organizacin para alcanzar los objetivos. Este grfico refleja la capacidad de cen-
trarse sobre la totalidad de una entidad o bien por categora de objetivos, componente,
unidad o cualquier subconjunto deseado, sin perder de vista la totalidad de la organiza-
cin.
35
b. Puntos a evaluar

guientes puntos:
La visin integral que tenga la entidad sobre los objetivos estratgicos, de operacin,
de informacin y de cumplimiento con los componentes del CORRE, en todos los
niveles de la organizacin.
Compromiso de la alta direccin y de todos los niveles de la organizacin para al-
canzar los objetivos cumpliendo los controles y la gestin de los riesgos.
Grado de conocimiento de todos los niveles de la organizacin de los elementos del
CORRE establecidos y de los objetivos que se espera alcanzar.
Relacin de los objetivos y componentes con la estructura orgnica de la entidad.
a. Fundamentos
36
El Consejo de Administracin y todos los niveles de la organizacin, asumen la respon-
sabilidad de alcanzar los objetivos con eficiencia y honestidad.
El CORRE proporciona una seguridad razonable de que la direccin y el consejo, en su

papel de supervisin, estn informados oportunamente del progreso de la entidad en su
camino hacia el logro de dichos objetivos. En su orden, quienes dirigen las unidades
operativas o productivas as como de apoyo, deben estar seguros de que se estn cum-
pliendo las polticas, las tcnicas y los procesos establecidos con eficiencia, tica y dili-
gencia para alcanzar los objetivos especficos. Actuando as, todos los miembros de la
organizacin apuntan hacia el cumplimiento de los objetivos dentro de sus especficas
competencias. La supervisin oportuna y proactiva crea las condiciones necesarias para
que se produzca informacin confiable como resultado de cada uno de los procesos.
En todos los niveles de la organizacin debe existir el compromiso de cumplir con las
normas establecidas. Para asegurarse de su cumplimiento, nuevamente la supervisin
oportuna y de calidad, es de importancia.
A diferencia de los objetivos estratgicos y de operacin que estn expuestos a eventos

externos, los de informacin y cumplimiento tienen un entorno altamente interno. Por
esa razn dependen del compromiso del consejo de administracin y de todos los miem-
bros de la organizacin para que se cumplan los objetivos de esta categora.
Por la misma razn anotada, los objetivos estratgicos y de operacin requieren atencin
de los acontecimientos externos para actuar con oportunidad frente a los eventos que
puedan afectar su cumplimiento. Se destaca que el logro de este tipo de objetivos es ms
complejo porque la gestin de sus riesgos no depende de la actitud de los miembros de la
organizacin sino de una serie de factores sobre los que no se tiene control, razn por la
que es necesario una amplia vinculacin de la alta direccin para poder tener acceso a la
informacin en forma oportuna y permanente.
b. Puntos a evaluar

guientes puntos:
La calidad de la informacin sobre eventos externos relacionados con los objetivos,

principalmente los estratgicos y de operacin.
Disposicin de la alta direccin para conocer y analizar los informes de cumplimien-
to de objetivos.
Calidad de la supervisin en todos los niveles.
Incorporacin de controles en los procesos que aseguren el cumplimiento de las
normas establecidas.
Conocimiento y actualizacin de las polticas, normas y procedimiento por parte de
los todos los miembros de la organizacin.
Idoneidad de los indicadores de rendimiento.
Informes de cumplimiento de indicadores y estndares.
37
Apoyo de la alta direccin a los informes de auditores internos, principalmente en lo
relativo a deficiencias y recomendaciones.
a. Fundamentos
Segn COSO II, El riesgo aceptado es el volumen de riesgo, a un nivel amplio, que
una entidad est dispuesta a aceptar en su bsqueda de valor. Refleja la filosofa
de gestin de riesgo de la entidad e impacta a su vez en su cultura. Es conveniente
destacar que el riesgo aceptado puede ser establecido de manera altamente subjetiva o
con un mayor grado de precisin, dependiendo del grado de tecnologa que se utilice. En
todo caso, siempre depender del criterio y del estilo de gestin de la direccin.
El riesgo aceptado se debe tener en cuenta al fijar la estrategia, pues el rendimiento de-
seado de la estrategia deber estar alineado con el riesgo aceptado de la entidad.
Las entidades pueden considerar el riesgo aceptado de un modo cualitativo, usando ca-
tegoras como alto, moderado o bajo, o bien optar por un enfoque cuantitativo, que re-
fleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
El riesgo aceptado conocido tambin como apetencia de riesgo, establecido por la di-
reccin bajo control del consejo de administracin, es una orientacin para establecer los
objetivos. Algunas entidades, como las organizaciones sin fines de lucro, expresan su
riesgo aceptado como el nivel de riesgo que aceptaran a cambio de crear valor para sus
grupos de inters.
Existe una relacin entre el riesgo aceptado de una entidad y su estrategia. Si la estrate-
gia no est alineada con el riesgo aceptado por la entidad, se revisa la estrategia, lo que
puede ocurrir cuando la direccin formula inicialmente una estrategia que exceda el ni-
vel de riesgo aceptado.
La direccin busca alinear la organizacin, el personal, los procesos y la infraestructura

para facilitar la implantacin de la estrategia con xito y capacitar a la entidad a mante-
nerse dentro de los lmites de su riesgo aceptado.
Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la conse-
cucin de objetivos.
Las medidas de rendimiento ayudan a asegurar que los resultados reales se ajusten a los
niveles establecidos de tolerancia al riesgo. Por ejemplo, una empresa fija un objetivo
del 98% de puntualidad para sus entregas, con un riesgo aceptable de error entre el 1% y
el 3%; y espera que el personal responda a todos los reclamos de los clientes en un plazo
de 24 horas, pero acepta que hasta un 25% de ellos se atiendan entre 24 y 26 horas.
38
b. Puntos a evaluar

guientes puntos:
Estilo de la direccin para la fijacin del riesgo aceptado para de los objetivos esta-
blecidos.
Inters de la alta direccin para apoyar la necesidad de determinar el nivel de riesgo
aceptable y su tolerancia.
Grado de comprensin de lo que implica la responsabilidad de aceptar niveles de
riesgo y su correspondiente tolerancia.
Evidencia de las acciones realizadas por la organizacin para determinar los niveles
de aceptacin de riesgo y su tolerancia relacionada.
Supervisin y evaluaciones internas para medir la razonabilidad de los niveles de
riesgo aceptado as como su tolerancia, con base en los resultados obtenidos.
Calidad de los sistemas de informacin para medir la forma en que se alcanzan los
estndares y su relacin con el cumplimiento de los objetivos institucionales.
Atencin de los niveles directivos a los cambios ocurridos entre el riesgo aceptado y
los resultados.
39
VI. IDENTIFICACIN DE EVENTOS
Antes de profundizar en el estudio sobre la gestin de los riesgos, en necesario citar la

siguiente definicin tomado del informe de COSO II:
La gestin de riesgos corporativos es un proceso efectuado por el consejo de ad-

ministracin de una entidad, su direccin y personal restante, aplicable a la defini-
cin de estrategias en toda la empresa y diseado para identificar eventos potencia-
les que puedan afectar a la organizacin, gestionar sus riesgos dentro del riesgo
aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.
Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos cor-
porativos:
Es un proceso continuo que fluye por toda la entidad.

Es realizado por su personal en todos los niveles de la organizacin.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una
perspectiva del riesgo a nivel conjunto de la entidad.
Est diseado para identificar acontecimientos potenciales que, de ocurrir,
afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo
aceptado.
Es capaz de proporcionar una seguridad razonable al consejo de adminis-
tracin y a la direccin de una entidad.
Est orientada al logro de objetivos.
Se entiende por riesgo a la posibilidad de que un evento ocurra y afecte adversamente el

cumplimiento de los objetivos. Los riesgos tambin siempre se clasifican de alguna ma-
nera; en general, en cuatro grandes tipos: el riesgo de reputacin, el riesgo de mercado,
el riesgo de crdito y el riesgo operacional con sus divisiones.
Al identificar eventos, la direccin reconoce que existen incertidumbres, por lo que no

sabe si alguno en particular tendr lugar y, de tenerlo, cundo ser, ni su impacto exacto.
La direccin considera inicialmente una gama de eventos potenciales, derivados de fuen-
tes internas o externas, sin tener que centrarse necesariamente sobre si su impacto es po-
sitivo o negativo.
Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo que no
trae mayores consecuencias a lo muy significativo.
Este componente ser tratado con los siguientes elementos:

40
IDENTIFICACIN DE EVENTOS
a. Fundamentos
Son muchos los factores externos e internos que provocan eventos que afectan a la im-
plantacin de la estrategia y la consecucin de objetivos. Por esa razn, la direccin re-
conoce la importancia de entender dichos factores y el tipo de evento que puede derivar-
se de ellos. Segn COSO II, los factores externos ms importantes, son los siguientes:
Econmicos
Eventos tales como los cambios de precios, la disponibilidad de capital que gene-
ran mayores o menores costos de capital, nuevos competidores.
Medioambientales
41
Incluyen las inundaciones, sequas, incendios y terremotos, que provocan daos a
las instalaciones o edificios, un acceso restringido a las materias primas o la pr-
dida de capital humano.
Polticos
Incluyen la eleccin de gobiernos con nuevos programas polticos, leyes y nor-

mas, que provocan, por ejemplo, nuevas restricciones o aperturas en el acceso a
mercados extranjeros o impuestos mayores o menores.
Sociales
Relacionados con los cambios demogrficos, costumbres sociales, estructuras

familiares, prioridades trabajo/ocio y actividades terroristas, que tienen como re-
sultado cambios en la demanda de productos o servicios, nuevos puntos de venta,
aspectos relacionados con recursos humanos y paros en la produccin.
Tecnolgicos
Relativos a los nuevos medios de comercio electrnico, que generan una mayor
disponibilidad de datos, reducciones de costes de infraestructura y un mayor au-
mento en la demanda de servicios basados en la tecnologa.
Segn el mismo estudio, los factores internos, son los siguientes:
Infraestructura
Eventos como el incremento de asignacin de capital para mantenimiento pre-

ventivo y el apoyo a los centros de atencin al cliente reducen el tiempo de inac-
tividad del equipo y se mejora la satisfaccin del cliente.
Personal
Eventos como los accidentes laborales, las actividades fraudulentas y el venci-

miento de convenios colectivos, causan prdidas daos de imagen y paros en la
produccin.
Procesos
Eventos como la modificacin de procesos sin adecuadas estrategias de comuni-

cacin para la gestin de los cambios, los errores en la gestin de entrega al
cliente, provocan prdidas de cuota de mercado, ineficiencias e insatisfaccin y
prdida de clientes.
42
Tecnologa
Eventos como el aumento de recursos para gestionar fallas de seguridad y la po-

tencial cada de los sistemas dan lugar a atrasos en la produccin, transacciones
fraudulentas e incapacidad para continuar las operaciones del negocio.
Una vez que se han identificado los principales factores externos e internos, la direccin
puede considerar su relevancia y centrarse en los eventos que puedan afectar al logro de
objetivos.
b. Puntos a evaluar

guientes puntos:
Compromiso de la direccin en apoyo a las acciones para la determinacin de facto-

res de riesgo externos e internos.
Idoneidad de los mecanismos para identificar eventos de riesgos externos.
Idoneidad de los mecanismos para identificar eventos de riesgos de origen interno.
Identificacin de todos los riesgos importantes que pueden impactar sobre cada obje-
tivo relevante establecido para las distintas actividades.
Evidencias de las acciones efectuadas para conocer los factores de riesgo.
El grado de participacin de los funcionarios y empleados clave en la determinacin
de los factores de riesgo.
El uso dado a los resultados y el grado de coherencia con las decisiones adoptadas.
El grado de comunicacin de los estudios realizados.
a. Fundamentos
La metodologa de identificacin de eventos de una entidad puede comprender una com-

binacin de experiencias y tcnicas, junto con herramientas de apoyo. Por ejemplo, la
direccin puede usar talleres interactivos de trabajo como parte de dicha metodologa,
con un monitor que emplee alguna herramienta tecnolgica altamente especializada pa-
ra ayudar a los participantes.
Las tcnicas de identificacin de eventos se aplican tanto al pasado como el futuro.

Aquellas centradas en eventos y tendencias pasadas consideran temas tales como histo-
riales de crditos incobrables, cambios en los precios de los bienes y accidentes que pro-
vocan prdidas de tiempo, comportamiento de los usuarios de servicios frente a los pla-
zos para cumplir algn requisito. Las tcnicas que se centran en los riesgos futuros con-
sideran temas tales como cambios demogrficos, nuevas condiciones de mercado y ac-
ciones de los competidores.
43
Las tcnicas varan ampliamente en su nivel de sofisticacin. Aunque muchas de las
ms sofisticadas corresponden a sectores especficos, la mayora se derivan de un enfo-
que de uso comn. Por ejemplo, tanto los servicios financieros como los del sector de la
seguridad e higiene utilizan tcnicas de rastreo e identificacin de eventos que generen
prdidas.
Las empresas ms avanzadas en la gestin de riesgos corporativos normalmente aplican

una combinacin de tcnicas que contemplan a la vez eventos pasados y futuros poten-
ciales.
COSO II, cita los siguientes ejemplos de tcnicas para la identificacin de eventos:
Inventario de eventos
Son relaciones detalladas de acontecimientos potenciales comunes a empresas de
un sector determinado o a un proceso o actividad especfica que se da en diversos
sectores. Las aplicaciones de software pueden generar relaciones relevantes de
eventos genricos potenciales, que algunas entidades usan como punto de partida
para la identificacin de eventos.
Anlisis interno
Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planifica-
cin empresarial, normalmente mediante reuniones del personal de la unidad de
negocio. El anlisis interno utiliza a veces la informacin procedente de grupos
de inters de dicha unidad (clientes, proveedores y otras unidades de negocio) o
de expertos en el tema ajenos a ella (expertos funcionales internos o externos o la
auditora interna). Por ejemplo, una empresa que est considerando introducir un
nuevo producto, usa su propia experiencia histrica, junto con investigacin ex-
terna de mercado que identifique eventos que hayan afectado al xito de produc-
tos de los competidores.
Talleres de trabajo y entrevistas

Estas tcnicas identifican los eventos aprovechando el conocimiento y la expe-
riencia acumulada de la direccin, el personal y los grupos de inters, a travs de
discusiones estructuradas. Un monitor lidera y facilita la discusin sobre los
eventos que pueden afectar a la consecucin de objetivos de la entidad o alguna
de sus unidades. Al combinar los conocimientos y experiencia de los miembros
del equipo, se identifican eventos importantes que de otro modo podran haberse
olvidado.
Anlisis del flujo del proceso

Esta tcnica considera la combinacin de entradas, tareas y responsabilidades, sa-
lidas de un proceso.
Identificar eventos con prdidas

Los archivos de datos sobre eventos individuales con prdidas en el pasado son
una fuente til de informacin para identificar tendencias y causas principales.
44
Frecuentemente, los eventos no ocurren de forma aislada. Un acontecimiento puede
hacer que se desencadene otro, por lo que pueden ocurrir de forma concurrente. En la
identificacin de eventos, la direccin debera entender cmo stos se relacionan entre
s. Evaluando estas relaciones, se puede determinar dnde mejor deberan aplicarse los
esfuerzos en la gestin de riesgos.
b. Puntos a evaluar

guientes puntos:
Existencia de mecanismos dentro de la organizacin, para identificar acontecimien-

tos o eventos relacionados con sus objetivos.
Confiabilidad de la metodologa utilizada para identificar eventos que puedan afectar
el logro de los objetivos.
Grado de apoyo de la direccin a las acciones orientadas a identificar eventos y otros
asuntos relacionados.
Nivel de participacin de los miembros de la organizacin en la identificacin de
eventos.
Los mecanismos de difusin diseados para la identificacin de eventos.
Mecanismos de actualizacin e investigacin de nuevos acontecimientos.
a. Fundamentos
Algunas entidades desarrollan categoras de eventos basadas en la clasificacin de sus

objetivos por categoras, usando una jerarqua que empieza con los objetivos de alto ni-
vel y luego, en cascada hasta los objetivos relevantes para las unidades organizativas,
funciones o procesos de negocio. Agrupar los eventos de tal forma que horizontalmente
conste toda la entidad y verticalmente las unidades operativas, la direccin desarrolla un
entendimiento de las relaciones entre eventos, obteniendo una mejor informacin como
base para la evaluacin de los riesgos. Mediante esta agregacin de eventos similares, la
direccin puede determinar mejor las oportunidades y riesgos.
En el siguiente cuadro tomado de COSO II se muestra el enfoque usado para establecer

las categoras de eventos dentro de un contexto de amplios factores internos y externos
CATEGORAS DE EVENTOS
FACTORES EXTERNOS FACTORES INTERNOS
Econmicos Infraestructura
Disponibilidad del capital Disponibilidad de activos
Emisin de deuda, impago Capacidad de los activos
45
CATEGORAS DE EVENTOS
FACTORES EXTERNOS FACTORES INTERNOS
Concentracin Acceso al capital

Liquidez Complejidad
Mercados Financieros
Desempleo
Competencia
Fusiones /Adquisiciones
Medioambiente Personal
Emisiones y residuos Capacidad del personal
Energa Actividad fraudulenta
Catstrofes naturales Seguridad e higiene
Desarrollo sostenible
Polticos Procesos
Cambios de gobierno Capacidad
Legislacin Diseo
Polticas pblicas Ejecucin
Regulacin Proveedores / Subordinados
Sociales Tecnologa
Demografa Integridad de datos
Comportamiento del consumidor Disponibilidad de datos y sistemas
Responsabilidad social corporativa Seleccin de sistemas
Privacidad Desarrollo
Terrorismo Despliegue
Mantenimiento
Tecnolgicos
Interrupciones
Comercio electrnico
Datos externos
Tecnologa emergente
b. Puntos a evaluar

guientes puntos:
Grado de apoyo de la direccin a las acciones orientadas a categorizar los eventos re-
lacionados con la misin de la entidad.
46
Idoneidad de la metodologa utilizada para sistematizar y ordenar los eventos identi-
ficados.
Relacin existente entre las categoras de eventos con los objetivos.
Polticas y procedimientos utilizados para informar a los miembros de la organiza-
cin sobre las categoras de eventos y su relacin con los objetivos.
47
VII. EVALUACIN DE LOS RIESGOS
La evaluacin de los riesgos permite a una entidad considerar la forma en que los even-
tos potenciales impactan en la consecucin de objetivos. La direccin evala estos acon-
tecimientos desde una doble perspectiva probabilidad e impacto y normalmente usa
una combinacin de mtodos cualitativos y cuantitativos. Los impactos positivos y ne-
gativos de los eventos potenciales deben examinarse, individualmente o por categora,
en toda la entidad. Los riesgos se evalan con un doble enfoque: riesgo inherente y ries-
go residual.
El Riesgos Inherente es aqul al que se enfrenta una entidad en ausencia de acciones de

la direccin para modificar su probabilidad o impacto; es decir, siempre existirn haya o
no controles, debido a la naturaleza de las operaciones. El riesgo residual es el que
permanece despus de que la direccin desarrolle sus respuestas a los riesgos.
Este componente incluye los siguientes factores:

48
a. Fundamentos
La incertidumbre de los eventos potenciales se evala desde dos perspectivas: probabili-

dad e impacto. La primera representa la posibilidad de que ocurra un evento determina-
do, mientas que la segunda refleja su efecto.
La estimacin de probabilidades e impactos puede comprender una combinacin de ex-

periencias y tcnicas, junto con herramientas de apoyo; sin embargo, se destaca el uso de
tecnologa especializada que facilita el trabajo y permite mayor eficacia y eficiencia en
la gestin de los riesgos.
Generalmente, no merece mayor consideracin un riesgo con poca probabilidad de ocu-

rrencia y escaso impacto potencial. Es importante que el anlisis sea ms profundo y se
utilicen herramientas tecnolgicas apropiadas para los riesgos de mayor impacto poten-
cial y alta posibilidad de ocurrencia.
El horizonte temporal o sea el perodo usado para evaluar los riesgos debera ser conse-
cuente con el horizonte temporal de la estrategia y objetivos correspondientes. Como es-
tos dos conceptos apuntan en muchas entidades a horizontes de tiempo entre el corto y
mediano plazo, la direccin se centra naturalmente en los riesgos asociados con estos
plazos de tiempo. Sin embargo, algunos aspectos de la orientacin y objetivos estratgi-
cos se extienden hasta el largo plazo.
La direccin usa a menudo estndares de funcionamiento para determinar el grado de

consecucin de objetivos y normalmente aplica la misma unidad de medida, u otra con-
gruente con ella, que la utilizada para considerar el impacto potencial de un riesgo sobre
la consecucin de un objetivo concreto.
A menudo, las estimaciones de la probabilidad del riesgo y su impacto se determinan

usando datos procedentes de eventos anteriores, que proporcionan una base ms objetiva
que las estimaciones totalmente subjetivas.
Los datos generados internamente a partir de la experiencia propia de la entidad pueden

reflejar un menor sesgo subjetivo personal y proporcionan mejores resultados que los da-
tos procedentes de fuentes externas.
Se debe ser cauto cuando se usan eventos pasados para establecer previsiones futuras, ya
que los factores que influyen en los eventos pueden cambiar con el tiempo. Igual que
otros temas tratados en la gestin de riesgos, el uso de tecnologa especializada es reco-
mendable en organizaciones que tienen recursos y procesos complejos.
b. Puntos a evaluar

guientes puntos:
49
Idoneidad de la metodologa y recursos utilizados para establecer las probabilidades
y los impactos.
Apoyo de la direccin para planeacin y ejecucin de los estudios de probabilidades
e impactos de los riesgos.
Calidad de la evidencia recopilada de los estudios efectuados.
a. Fundamentos
La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de

tcnicas cualitativas y cuantitativas. La direccin aplica a menudo tcnicas cualitativas
cuando los riesgos no se prestan a la cuantificacin o cuando no estn disponibles datos
suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlisis de ellos
no resulte eficaz por su costo.
Las tcnicas cuantitativas tpicamente aportan ms precisin y se usan en actividades

ms complejas y sofisticadas, para complementar las tcnicas cualitativas. De acuerdo
con el estudio COSO II, los siguientes son ejemplos de tcnicas cuantitativas de evalua-
cin de riesgos que pueden afectar el cumplimiento de los objetivos:
Benchmarking
Es un proceso comparativo entre entidades, que enfoca eventos o procesos con-
cretos, compara medidas y resultados mediante mtricas comunes e identifica
oportunidades de mejora.
Modelos probabilsticos
Sobre la base de ciertas hiptesis. Los modelos probabilsticos relacionan una
gama de eventos con su probabilidad de ocurrencia e impacto resultante.
Modelos no probabilsticos
Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el im-
pacto de eventos sin una probabilidad asociada cuantificada.
Para conseguir un consenso sobre la probabilidad e impacto usando tcnicas cualitativas

de evaluacin, las entidades pueden aplicar el mismo enfoque que usan en la identifica-
cin de eventos, tales como las entrevistas y grupos de trabajo. Al identificar y evaluar
los riesgos al nivel de proceso, una unidad usa cuestionarios de autoevaluacin, mientras
que otra utiliza grupos de trabajo.
Cuando los eventos potenciales no estn relacionados entre s, la direccin los evala in-
dividualmente. Pero cuando existe correlacin entre los eventos o stos se combinan e
interaccionan para crear probabilidades o impactos significativamente diferentes, la di-
reccin los evaluar en conjunto. Aunque el impacto de un solo evento pueda ser ligero,
el impacto en secuencia o combinacin de eventos puede ser ms significativo.
50
Cuando sea probable que los riesgos afecten a mltiples unidades de negocio, la direc-
cin puede agruparlos en categoras comunes de eventos y despus, considerarlos prime-
ro segn unidad y luego conjuntamente para toda la entidad.
b. Puntos a evaluar

guientes puntos:
Uso de la informacin provista por el establecimiento de objetivos e identificacin

de eventos para evaluar los riesgos.
Idoneidad de la metodologa y recursos utilizados para establecer y para evaluar los
riesgos.
Involucramiento de la direccin en la evaluacin de los riesgos.
Calidad de la documentacin recopilada de los estudios efectuados.
Transparencia de la informacin sobre los resultados de la evaluacin del riesgo.
Los cambios generados en el entorno de la organizacin y en las actividades desarrolla-

das por las organizaciones hacen que el CORRE establecido no se constituya en la res-
puesta adecuada para estimular el logro de los objetivos con un razonable riesgo de que
existan errores e irregularidades.
En esas circunstancias es indispensable que la organizacin cuente con mecanismos

apropiados de investigacin e informacin sobre los cambios que se operan en el mundo
y, particularmente, los relacionados con sus operaciones para preparar los niveles de res-
puesta que disminuyan el riesgo de perder vigencia en un mundo de alta competencia.
El cambio de tecnologa en los procesos de produccin, normativa y reglamentaciones e

instituciones que presten los mismos servicios son puntos de referencia.
El impacto potencial de algunos elementos requiere de una atencin especial y los prin-
cipales son:
Cambios en el entorno operacional. Los cambios en el contexto econmico, legal

y social pueden generar nuevos riesgos para la organizacin.
Nuevo personal. Principalmente en los niveles directivos que no se integren en la
filosofa y enfoque de la organizacin.
Sistemas de informacin nuevos o modernizados. Los nuevos sistemas deterio-
ran los controles claves que en el pasado funcionaban.
Rpido crecimiento de la organizacin. El personal y los sistemas se ven someti-
dos a requerimientos adicionales y los procedimientos de control son menos exi-
gentes.
Tecnologas modernas. Requieren modificaciones en los controles internos, mu-
chos de los cuales se integran en los programas de computacin.
51
Nuevos servicios y actividades. Es necesario adecuar los controles internos a las
nuevas actividades y que por lo regular incluirn tecnologa moderna para su
operacin.
Reestructuraciones internas. Ajustes para equilibrar los resultados de operaciones
debido a requerimientos de los propietarios. Esto puede debilitar el CORRE por
limitaciones de recursos humanos y financieros.
Actividades en el extranjero. Estas operaciones llevan un grado de riesgo mayor,
debido a la cultura del pas donde se opere, las disposiciones legales y el enfoque
de la gestin local.
a. Puntos a evaluar

guientes puntos:
Apoyo de la direccin para conocer o investigar posibles acontecimientos internos y

externos.
Existencia de mecanismos para identificar y reaccionar ante los cambios que pueden
afectar a la entidad de una forma ms dramtica y duradera, y que pueden requerir la
intervencin de la alta direccin.
Forma en que se utiliza informacin interna y externa para conocer los hechos que
pueden generar cambios.
Calidad de los sistemas de informacin y comunicacin.
52
VIII. RESPUESTA A LOS RIESGOS
La direccin para decidir la respuesta a los riesgos evala su efecto sobre la probabilidad
e impacto del riesgo, as como los costos y beneficios, y selecciona aquella que site el
riesgo residual dentro de la tolerancia del riesgo establecida. En la perspectiva de riesgo
global de la entidad (cartera de riesgos), la direccin determina si el riesgo residual glo-
bal concuerda con el riesgo aceptado por la entidad.
1. Categora de Respuestas
1. Categoras de Respuestas
a. Fundamentos
COSO II, establece las siguientes categoras de respuestas respecto de los riesgos identi-
ficados, cuyo anlisis previo a la decisin se puede realizar con mayor o menor uso de
tecnologa especializada:
Evitar (los riesgos)

Supone salir de las actividades que generen riesgos porque no se identific algu-
na opcin de respuesta que redujera el impacto y probabilidad hasta un nivel
aceptable. Evitar el riesgo puede implicar el cese de una lnea de producto o de
actividad, frenar la expansin hacia un nuevo mercado geogrfico o la venta de
una divisin.
53
Reducir (los riesgos)
Implica llevar a cabo acciones para reducir la probabilidad o el impacto del ries-
go o ambos conceptos a la vez. Significa reducir el riesgo residual para ubicarle
en lnea con la tolerancia de riesgo deseada.
Compartir (los riesgos)

La probabilidad o el impacto del riesgo se reduce trasladando o, de otro modo,
compartiendo una parte del riesgo. Igual que la opcin de compartir, significa re-
ducir el riesgo residual para ubicarlo en lnea con la tolerancia de riesgo deseada.
Las tcnicas comunes incluyen la contratacin de seguros, la tercerizacin de

una actividad sustantiva o adjetiva como una parte de la gestin del recurso
humano.
Aceptar (los riesgos)

No se emprende ninguna accin que afecte la probabilidad o el impacto del ries-
go. (Los riesgos se aceptarn como se identificaron).
b. Puntos a evaluar

guientes puntos:
Existencia de mecanismos para analizar las alternativas para apoyar la adopcin

de decisiones.
Confiabilidad de la metodologa utilizada para respaldar el anlisis.
Calidad de la evidencia que respalda el anlisis de alternativas.
El grado de participacin de los niveles de organizacin que tienen conocimien-
tos especializados de las diferentes reas de negocio.
El apoyo de la direccin a las acciones orientadas al estudio de alternativas.
La forma en que se comunican a los diferentes miembros de la organizacin, los
resultados obtenidos.
a. Fundamentos
Segn COSO II, para decidir la respuesta a los riesgos, la direccin debera tener en
cuenta lo siguiente:
Los costos y beneficios de las respuestas potenciales.
Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va

ms all del tratamiento de un riesgo concreto.
Generalmente, es ms fcil tratar los costos, pues en muchos casos pueden cuantificarse
con bastante detalle. Normalmente, se tienen en cuenta todos los costos directos rela-
54
cionados con la implantacin de una respuesta y los costos indirectos que se puedan me-
dir de un modo prctico. Algunas entidades tambin incluyen los costos de oportunidad
relativos al uso de recursos.
El lado de los beneficios implica a menudo valoraciones mucho ms subjetivas. Por

ejemplo, las ventajas de los programas de formacin son normalmente evidentes, pero
son difciles de cuantificar. En muchos casos, sin embargo, el beneficio de una respues-
ta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la consecucin
del objetivo correspondiente.
Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse exclusi-
vamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la
consideracin de nuevas oportunidades para la entidad.
Una vez que la direccin selecciona una respuesta, es posible que necesite desarrollar un
plan de implantacin para ejecutarla. Una parte crtica de dicho plan es el estableci-
miento de acciones de control (desarrolladas en el siguiente captulo) para asegurar que
se lleva a cabo la respuesta a los riesgos.
Normalmente, la direccin elige un enfoque en que primero se contemplan los riesgos de

cada unidad de negocio, departamento o funcin y luego su director responsable desarro-
lla una evaluacin integral de ellos. Cuando se requiere un grado de mayor precisin y
respaldo por parte de la direccin y otros miembros de la organizacin se puede decidir
por aplicar tecnologa especializada con la participacin de expertos en los diferentes
temas a tratar.
b. Puntos a evaluar

guientes puntos:
Existencia de mecanismos para apoyar las decisiones.

Confiabilidad de la metodologa utilizada para respaldar las decisiones.
Calidad de la evidencia que respalda las decisiones tomadas.
El grado de participacin de los niveles de organizacin que tienen conocimien-
tos especializados de las diferentes reas de negocio.
La forma en que se comunican a los diferentes miembros de la organizacin, las
decisiones adoptadas.
55
IX. ACTIVIDADES DE CONTROL
Las actividades de control son las polticas y procedimientos establecidos por la direc-
cin y otros miembros de la organizacin con autoridad para emitirlos, como respuesta a
los riesgos que podran afectar el logro de los objetivos. Los procedimientos son las ac-
ciones de las personas para implantar las polticas, directamente o a travs de la aplica-
cin de tecnologa, y ayudar a asegurar que se llevan a cabo las respuestas de la direc-
cin a los riesgos.
Las actividades de control pueden ser clasificadas por la naturaleza de los objetivos de la
entidad con la que estn relacionadas: estrategia, operaciones, informacin y cumpli-
miento.
Debido a que cada entidad tiene su propio conjunto de objetivos y enfoques de implanta-
cin, existirn diferencias en las respuestas al riesgo y las actividades de control relacio-
nadas.
Cada entidad est gestionada por personas diferentes que tienen criterios individuales di-
ferentes en la aplicacin de controles. Es ms, los controles reflejan el entorno y sector
en que opera una entidad, as como su dimensin y complejidad de organizacin, la na-
turaleza y alcance de sus actividades y sus antecedentes y cultura. Por resta razn las ac-
tividades de control no pueden generalizarse y debern ser la respuesta a la medida
de las necesidad de los objetivos y los riesgos de cada organizacin.
El componente actividades de control establece los siguientes factores:

3. Controles sobre los Sistemas de Informacin
56
ACTIVIDADES DE CONTROL
a. Fundamentos
Despus de haber seleccionado las respuestas al riesgo, la direccin establece activida-

des de control necesarias para disminuir los riesgos y alcanzar los objetivos en sus dife-
rentes categoras.
Establecer una matriz que relacione los riesgos seleccionados con los controles estable-
cidos por la organizacin, brindar una seguridad razonable de que los riesgos se mitigan
y de que los objetivos se alcanzarn con razonable seguridad de que no existan errores o
irregularidades. Ser recomendable que esta matriz u otro documento relacionen los ries-
gos y los controles con los objetivos en sus diferentes jerarquas.
b. Puntos a evaluar

guientes puntos:
Grado en que las actividades de control guardan relacin con los objetivos y las
decisiones adoptadas por la direccin sobre los riesgos.
Calidad de la informacin y comunicacin sobre las decisiones adoptadas por la
direccin sobre el estudio de los riesgos.
57
a. Fundamentos
Se han propuesto muchas descripciones diferentes de los tipos de actividades de control,

incluyendo los controles de prevencin, deteccin, manuales, informticos y de direc-
cin. Estas actividades de control deben enmarcarse en polticas y procedimientos emiti-
dos por la direccin y otros niveles de la organizacin encargados de ejecutarlos. La po-
ltica establece lo que debe hacerse y los procedimientos la forma para llevarla a cabo.
Las actividades de control incluyen controles preventivos, para detener ciertas transac-
ciones riesgosas antes de su ejecucin, y, controles de deteccin, para identificar aque-
llas que tienen posibles errores o irregularidades.
Las actividades de control combinan controles informticos y manuales, incluyendo

aquellos automatizados que aseguran la captacin correcta de la informacin, y proce-
dimientos de autorizacin y aprobacin de las decisiones de inversin por parte de las
personas responsables.
A continuacin se presentan las siguientes actividades de control como una ilustracin

general, que no debe ser considerada exhaustiva:
Revisiones y supervisiones
La alta direccin revisa el funcionamiento real en contraste con presupuestos,
previsiones y datos de perodos previos y de competidores. Tambin se supervi-
sa la implantacin de planes financieros o de otro tipo.
Gestin directa de funciones o actividades

Los directivos que gestionan las funciones o actividades revisan los informes de
rendimiento. Estos directores tambin se centran en temas de cumplimiento, revi-
sando los informes que requieren los reguladores sobre nuevos depsitos que su-
peren unos importes especficos.
Procesamiento de la informacin
Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y
autorizacin de las transacciones. Se aceptar el pedido de un cliente, slo des-
pus de verificar con un fichero de clientes y el lmite de crdito autorizado.
Repeticin
Las acciones aplicadas durante el procesamiento de las operaciones se repiten
por otra persona para validar los datos y los controles aplicados.
Validacin
Mediante la autorizacin, comparacin y verificacin de la pertinencia y la lega-
lidad de la transaccin.
Aseguramiento
58
Mediante la aplicacin de los controles establecidos para reducir los riesgos y los
errores en la ejecucin de las actividades.
Especializacin funcional
Se insertan en la estructura de la organizacin como la separacin de funciones,
la supervisin de los procesos, las evaluaciones ejecutadas por la Auditora Inter-
na y otras.
Controles fsicos
Los equipos, existencias, valores, efectivo y dems activos estn fsicamente
asegurados, se someten peridicamente a recuentos y se contrastan con los im-
portes de los registros de control.
Indicadores de rendimiento
El contraste entre s de diferentes conjuntos de datos operativos o financieros-
junto con el anlisis de relaciones y las acciones de investigacin y correccin,
constituye una actividad de control.
Segregacin de funciones
Las funciones se dividen o segregan entre diferentes personas para reducir el
riesgo de error o fraude.
b. Puntos a evaluar

calidad de los controles de este componente, se deben considerar como mnimo los si-
guientes puntos:
Apoyo de la alta direccin para el diseo y aplicacin de los controles en funcin

de los riesgos.
Forma en que los controles se incorporan a los procesos.
Relacin de las actividades de control seleccionadas, con los objetivos y con los
riesgos.
Existencia de mecanismos para analizar las alternativas de controles a seleccio-
nar.
Grado de comprensin de los funcionarios involucrados en el diseo de los pro-
cesos para incorporar controles apropiados que guarden una relacin adecuada de
costos con beneficios.
Calidad de los sistemas de informacin y comunicacin.
3. Controles sobre los Sistemas de Informacin
a. Fundamentos
Pueden usarse amplios grupos de actividades de control de los sistemas de informacin.

El primero lo forman los controles generales, que se aplican a muchos de esos sistemas,
si no a todos, y ayudan a asegurar que siguen funcionando continua y adecuadamente.
El segundo son los controles de aplicacin, que incluyen fases informatizadas dentro del
software para controlar el proceso.
59
Ambos tipos de controles, combinados con controles manuales de proceso cuando sea
necesario, operan juntos para asegurar la integridad, exactitud y validez de la informa-
cin.
Controles Generales
Los controles generales incluyen controles sobre la gestin de la tecnologa de informa-

cin, su infraestructura, la gestin de seguridad y la adquisicin, desarrollo y manteni-
miento del software.
Se presentan a continuacin algunos ejemplos de controles comunes dentro de estas ca-

tegoras.
Gestin de la tecnologa de informacin

Un comit de trabajo proporciona supervisin, seguimiento e informacin de las
actividades de tecnologa informtica y las iniciativas para su mejora.
Infraestructura de la tecnologa de informacin

Los controles se aplican a la definicin, adquisicin, instalacin, configuracin
integracin y mantenimiento de los sistemas.
Gestin de la seguridad
Son controles de acceso lgico tales como contraseas seguras de restriccin de
accesos a la red, bases de datos y aplicaciones.
Adquisicin, desarrollo y mantenimiento del software

Los controles sobre la adquisicin e implantacin del software se incorporan a un
proceso establecido para gestionar el cambio, incluyendo los requisitos de docu-
mentacin, la comprobacin de la aceptacin del usuario, las pruebas de carga y
las evaluaciones del riesgo de proyectos.
Controles de Aplicacin
Los controles de aplicacin se centran directamente en la integridad, exactitud, autoriza-

cin y validez de la captacin y procesamiento de datos. Ayudan a asegurar que los da-
tos se captan o generan en el momento de necesitarlos, que las aplicaciones de soporte
estn disponibles y que los errores de interfaz se detecten rpidamente.
Un objetivo importante de los controles de aplicacin es prevenir que los errores se in-
troduzcan en el sistema, as como detectarlos y corregirlos una vez introducidos en l.
Se resumen algunos ejemplos de controles de aplicacin contenidas en el estudio COSO

II.
Equilibrar las actividades de control

Detectar los errores en la captacin de datos, mediante la conciliacin entre los
importes introducidos, manual o automticamente, y un total de control.
60
Dgitos de control
Validan los datos mediante clculos. La numeracin de los repuestos de una em-
presa contiene un dgito de control que detecta y corrige pedidos inexactos a sus
proveedores.
Listados predefinidos de datos

Proporcionan al usuario listas preestablecidas de datos aceptables.
Pruebas de razonabilidad de datos

Comparan los datos captados con una pauta existente o aprendida de razonabili-
dad.
Pruebas lgicas
Incluyen el uso de lmites de rango o pruebas alfanumricas o de valor.
b. Puntos a evaluar

guientes puntos:
Existencia de un plan estratgico de tecnologas de informacin que guarde rela-

cin con los objetivos institucionales y la gestin de los riesgos.
Existencia y apoyo para el desarrollo de tecnologa de informacin relacionada
con los controles y la gestin de los riesgos.
Apoyo de la direccin a la implantacin de los planes estratgicos de tecnologa
de informacin.
Idoneidad de la metodologa para integrar las estrategias, las operaciones, los re-
querimientos de informacin y comunicacin y el cumplimiento de las normas,
con el desarrollo tecnolgico de la institucin.
La calidad de la informacin y comunicacin sobre los planes y los avances so-
bre tecnologa de informacin.
61
X. INFORMACIN Y COMUNICACIN
El componente dinmico del CORRE es la informacin y comunicacin, que por su

ubicacin en la pirmide comunica el ambiente de control interno (base) con la supervi-
sin (cima), con la evaluacin del riesgo y las actividades de control, conectando en
forma ascendente a travs de la informacin y descendente mediante la calidad de co-
municacin generada por la supervisin ejercida.
Es necesario identificar, procesar y comunicar la informacin relevante en la forma y en

el plazo que permita a cada funcionario y empleado asumir sus responsabilidades. Di-
chos informes contemplan, no solo, los datos generados en forma interna, sino tambin
la informacin sobre las incidencias, actividades y condiciones externas, necesarias para
la toma de decisiones y para formular los informes financieros y de otro tipo.
Es importante el establecimiento de una comunicacin eficaz en un sentido amplio, que

facilite una circulacin de la informacin (formal e informal) en varias direcciones, es
decir ascendente, transversal, horizontal y descendente. La direccin superior debe
transmitir un mensaje claro a todo el personal sobre la importancia de las responsabili-
dades de cada uno en materia de compartir la informacin con fines de gestin y control.
Los informes deben contener datos relevantes para posibilitar la gestin eficaz de la ge-
rencia y reunir los siguientes atributos:
Cantidad suficiente para la toma de decisiones.

Informacin disponible en tiempo oportuno.
Datos actualizados y que corresponden a fechas recientes.
Los datos incluidos son correctos.
La informacin es obtenida fcilmente por las personas autorizadas.
Los principales factores que integran el componente informacin y comunicacin son:

62
INFORMACIN Y COMUNICACIN
Informacin
La informacin se necesita en todos los niveles de la organizacin para identificar, eva-

luar y responder a los riesgos y por otro parte dirigir la entidad y conseguir sus objetivos.
La informacin operativa de fuentes internas y externas, tanto financiera como no finan-

ciera, es relevante para mltiples objetivos de negocio. La informacin financiera, por
ejemplo, se usa para elaborar los estados financieros con fines de informacin y tambin
para tomar decisiones operativas, tales como la supervisin del funcionamiento y la
asignacin de recursos.
Los sistemas de informacin pueden ser formales o informales. Las conversaciones con
clientes, proveedores, reguladores y personal de la entidad a menudo proporcionan in-
formacin crtica necesaria para identificar riesgos y oportunidades. De igual manera, la
asistencia a seminarios profesionales o del sector y la participacin en asociaciones mer-
cantiles o de otro tipo puede ser una fuente de informacin valiosa.
a. Fundamentos
La informacin relevante como resultado de las operaciones sustantivas y adjetivas se

produce peridicamente, es difundida en forma sistemtica a los niveles responsables de
las unidades de produccin y administracin y, luego, distribuida al resto del personal
bajo su direccin.
El conocimiento de los resultados de la gestin formalizados en la informacin de las di-

ferentes unidades y consolidada para uso de la direccin superior en todos los niveles de
63
la empresa, sensibiliza al personal sobre la necesidad de contribuir en el cumplimiento
de los objetivos de sus unidades de operacin y en forma acumulada los objetivos de la
organizacin.
Es importante comunicar al personal de la empresa sobre los resultados peridicos de las

unidades de operacin para lograr su apoyo, ya que es el recurso ms importante para el
funcionamiento del CORRE y la consecucin de los objetivos de las unidades y de la
institucin.
La documentacin de las acciones generadas a partir de la informacin recibida, analiza-

da y aprobada en los diferentes niveles de la organizacin es un requerimiento importan-
te del CORRE, ya que posibilita la reorientacin y mejor utilizacin de los recursos de la
empresa.
b. Puntos a evaluar

guientes puntos:
Existencia de polticas institucionales relativas a la informacin y comunicacin

as como su difusin en todos los niveles.
Grado de compromiso de la alta direccin para cumplir con las polticas y las
normas relativas a la provisin de informacin y a la comunicacin interna y ex-
terna.
Supervisin interna y evaluaciones externas para verificar el cumplimiento de las
normas aplicables.
a. Fundamentos
El principal objetivo de la informacin y la comunicacin de los resultados obtenidos

por la organizacin es constituirse en una herramienta prctica, detallada, confiable y
oportuna para la supervisin en los diferentes niveles de un organismo.
Existen varios niveles en los que se utiliza la informacin como la principal herramienta
de supervisin, ya que es la pauta para conocer la forma en que se han ejecutado las ac-
tividades, se han logrado los objetivos, se han alcanzado las metas e indicadores y se han
utilizado los recursos de la organizacin.
La informacin es una herramienta fundamental para la supervisin aplicada por los ni-
veles directivos superiores e intermedios para apoyar el cumplimiento de los objetivos
programados y la generacin de acciones que permitan controlar los riesgos en el cum-
plimiento de los objetivos de la organizacin.
64
b. Puntos a evaluar

guientes puntos:
Idoneidad de las polticas y procedimientos para el establecimiento de los niveles

de autoridad y responsabilidad y su relacin con la informacin que debe recibir.
Grado de anlisis por parte de la direccin en sus diferentes niveles con base en
la informacin recibida.
El suministro de informacin a las personas adecuadas, con el suficiente detalle y
oportunidad, permitindoles cumplir con sus responsabilidades de forma eficaz y
eficiente.
El desarrollo o revisin de los sistemas de informacin para lograr tanto los ob-
jetivos generales de la entidad como los de cada actividad.
Atencin que brindan los diferentes niveles directivos de la organizacin a los in-
formes de las unidades a su cargo.
a. Fundamentos
Las empresas se han hecho ms colaboradoras con los clientes, proveedores y socios de
negocio y se integran ms con ellos, la divisin entre la arquitectura de los sistemas de
informacin de una entidad y la de terceros es cada vez ms tenue.
En tales casos, la arquitectura de los sistemas de informacin de una organizacin debe

ser suficientemente flexible y gil como para integrarse eficazmente con los terceros
vinculados.
El diseo de una arquitectura de sistemas de informacin y la adquisicin de la tecnolo-

ga son aspectos importantes de la estrategia de una entidad y las decisiones respecto a la
tecnologa pueden resultar crticas para lograr los objetivos.
Los sistemas de informacin a menudo estn totalmente integrados en la mayora de los

aspectos de las operaciones. Las transacciones se registran y siguen en tiempo real, per-
mitiendo a los directivos acceder inmediatamente a informacin financiera y operativa
de forma ms eficaz para controlar las actividades del negocio.
La creciente dependencia de los sistemas de informacin a niveles estratgico y operati-

vo genera nuevos riesgos tales como fallas de seguridad o los fraudes informticos- que
deben integrarse en la gestin de riesgos corporativos de la entidad.
b. Puntos a evaluar

guientes puntos:
65
El diseo de los sistemas y procedimientos considerando la integracin de todas
las unidades de la organizacin que tienen relacin con los objetivos.
La existencia de polticas que permitan la integracin de la informacin.
Los planes de tecnologa de informacin que consideren los objetivos institucio-
nales como orientacin de su diseo.
Grado de coordinacin entre las unidades administrativas, financieras y operati-
vas con las de tecnologas de informacin para orientar sus esfuerzos en funcin
de los objetivos institucionales y de las unidades que la integran.
El apoyo de la direccin al desarrollo de los sistemas de informacin necesarios
se pone de manifiesto en la aportacin de los recursos adecuados, tanto humanos
como financieros.
a. Fundamentos
Las decisiones se adoptan con base en la informacin disponible. Por ello es fundamen-
tal que la informacin, adems de oportuna, sea confiable. Esta necesidad se logra me-
diante la aplicacin efectiva del CORRE integrado a los procesos y, la supervisin y va-
lidacin permanente de su aplicacin efectiva. Se debe tener presente que la informa-
cin nace de un proceso de captacin de datos con respaldo suficiente; el proceso de los
mismos a travs de los procedimientos diseados para las actividades sustantivas y adje-
tivas y, la informacin de salida.
Siendo este un objetivo de las organizaciones que depende en amplia medida de su lide-
razgo interno, la identificacin de los riesgos en todos los procesos y la respuesta a tra-
vs de las actividades de control permitir dotar de confiabilidad a la informacin en to-
dos los niveles.
La infraestructura de la informacin busca y capta datos dentro de un marco de tiempo y

con una profundidad consecuente con la necesidad de la entidad de identificar, evaluar, y
responder al riesgo y permanecer dentro de la tolerancia establecida. La oportunidad del
flujo de informacin necesita ser coherente con el ritmo de cambio de los mbitos exter-
no e interno de la entidad.
Con ms datos disponibles a menudo con tiempo real- para ms gente en una organiza-
cin, el reto es evitar la sobrecarga de informacin, asegurando el flujo de la informa-
cin adecuada, en la forma adecuada, al nivel de detalle adecuado, a las personas ade-
cuadas y en el momento adecuado.
La calidad de la informacin incluye averiguar si:
Su contenido es adecuado -Est al nivel correcto de detalle?
Es oportuna -Est disponibles cuando se necesita y dentro de un plazo ade-

cuado?
Est actualizada -Es la ltima informacin disponible?
66
Es exacta -Sus datos son correctos?
Est accesible -Las personas que la necesitan pueden obtenerla fcilmente?
b. Puntos a evaluar

guientes puntos:
El grado en que la entidad ha identificado los riesgos sobre errores o irregulari-

dades en la produccin de informes y la respuesta adoptada para remediarla a
travs de los controles establecidos.
La forma en que los sistemas y procedimientos de las actividades aseguran la
confiabilidad de los datos e informes de entrada, el proceso adecuado y seguro y,
la informacin de salida.
Determinar la calidad de los controles vigentes y su grado de aplicacin por parte
de toda la organizacin.
Frecuencia y calidad de la supervisin efectuada en todos los niveles, respecto
de los procesos y de la informacin.
Calidad de la auditora interna para evaluar los procesos y los sistemas de infor-
macin.
Compromiso de todos los niveles de la organizacin para proveer informacin
con base en los estndares establecidos.
Comunicacin
La comunicacin es inherente a los sistemas de informacin. Estos sistemas deben pro-

porcionar informacin al personal adecuado.
a. Fundamentos
La comunicacin sobre procesos y procedimientos debera alinearse con la cultura de-

seada por la direccin superior y reforzarla mediante la aplicacin real.
La comunicacin deber expresar eficazmente:
Los objetivos de la entidad.
La importancia y relevancia del control interno orientado a disminuir los riesgos

que podran afectar el cumplimiento de los objetivos.
El riesgo aceptado y la tolerancia al riesgo de la entidad.
Un lenguaje comn de los controles frente a los riesgos identificados.
67
Los papeles y responsabilidades del personal al desarrollar y apoyar los compo-
nentes del CORRE.
El personal tambin debe saber cmo sus actividades se relacionan con el trabajo de los
dems y saber qu comportamiento es considerado aceptable o no.
Los empleados de lnea que tratan los temas operativos crticos cada da son a menudo
los mejor situados para reconocer los problemas cuando surgen y los canales de comuni-
cacin deberan asegurar que ese personal puede enviarla a sus superiores.
El personal debe creer que sus superiores realmente quieren conocer los problemas y tra-
tarlos eficazmente.
Es importante que el personal entienda que no habr represalias por comunicar informa-
cin relevante. Se enva un mensaje claro con la existencia de mecanismo que animen a
los empleados a informar las violaciones sospechadas al cdigo de conducta de una enti-
dad o por el trato que se d al personal que presente denuncias.
b. Puntos a evaluar

guientes puntos:
La eficacia de la comunicacin al personal, respecto de sus responsabilidades

frente al CORRE y de la cultura empresarial hacia el control.
El establecimiento de lneas de comunicacin para la denuncia de posibles actos
indebidos.
La sensibilidad de la direccin a las propuestas del personal respecto de formas
de mejorar la productividad, la calidad, etc.
El nivel de apertura y eficacia en las lneas de comunicacin con clientes, pro-
veedores y otros terceros para la captacin de informacin sobre las necesidades
cambiantes de los clientes.
El nivel de comunicacin a terceros de las normas ticas de la entidad.
La realizacin oportuna y adecuada del seguimiento por parte de la direccin de
las informaciones obtenidas de clientes, proveedores, organismos de control y
otros terceros.
a. Fundamentos
Con canales de comunicacin externos abiertos, los clientes y proveedores pueden pro-
porcionar informacin muy significativa sobre el diseo o la calidad de los servicios o
producto, permitiendo a la empresa tratar las demandas o preferencias del cliente en evo-
lucin.
La comunicacin con grupos de inters, reguladores, analistas financieros y otros terce-

ros les proporciona informacin relevante para sus necesidades, pues pueden compren-
der rpidamente las circunstancias y riesgos a los que se enfrenta la entidad. Esta comu-
68
nicacin debera ser significativa, pertinente y oportuna y estar de acuerdo con las dispo-
siciones legales y otras normas aplicables.
La comunicacin puede tomar formas tales como un manual de polticas, escritos inter-
nos, correos electrnicos, novedades en los tablones de anuncios, videos y mensajes en
la pgina web.
Los directivos deberan recordar que sus acciones hablan ms fuerte que sus palabras.
Dichas acciones estn, a su vez influidas por la historia y cultura de la entidad, basadas
en observaciones anteriores de cmo sus mentores trataron situaciones similares.
Una entidad con un historial de integridad operativa y cuya cultura est bien asumida por
las personas de la organizacin, probablemente tenga poca dificultad para comunicar su
mensaje.
b. Puntos a evaluar

guientes puntos:
El compromiso de la direccin superior hacia la transparencia y la forma en que

este compromiso es compartido por los miembros de la organizacin.
El grado de comprensin de los directivos y funcionarios de la organizacin, res-
pecto de la informacin que debe entregar a instituciones reguladoras, de control
o con las que existen intereses relacionados.
El nivel de comunicacin a terceros de las normas ticas de la entidad.
La realizacin oportuna y adecuada del seguimiento por parte de la direccin de
las informaciones obtenidas de clientes, proveedores, organismos de control y
otros terceros.
69
XI. SUPERVISIN Y MONITOREO
Resulta necesario realizar una supervisin de los sistemas de control interno, evaluan-
do la calidad de su rendimiento. Dicho seguimiento tomar la forma de actividades de
supervisin continua, de evaluaciones peridicas o una combinacin de las anteriores.
La supervisin continua se inscribe en el marco de las actividades corrientes y compren-
de unos controles regulares efectuados por la direccin, as como determinadas tareas
que realiza el personal en el cumplimiento de sus funciones. El alcance y la frecuencia
de las evaluaciones puntuales se determinarn principalmente en funcin de una evalua-
cin de riesgos y de la eficacia de los procedimientos de supervisin continua.
Las deficiencias en el sistema de control interno, en su caso, debern ser puestas en co-
nocimiento de la gerencia y los asuntos de importancia sern comunicados al primer ni-
vel directivo y al consejo de administracin. Cita del Informe COSO.
El CORRE diseado y aplicado en la ejecucin de las operaciones de una organizacin

evoluciona con el paso del tiempo y de igual manera los cambios en los mtodos para
ejecutar las operaciones. Procedimientos que fueron eficaces en un determinado mo-
mento, pueden perder su eficacia o simplemente dejan de aplicarse por ser innecesarios,
sin que se introduzcan los mecanismos de reemplazo requeridos.
El componente del CORRE denominado supervisin y monitoreo permite evaluar si ste

contina funcionando de manera adecuada o es necesario introducir cambios. El proce-
so de supervisin comprende la evaluacin, por los niveles adecuados, sobre el diseo,
funcionamiento y manera como se adoptan las medidas para actualizarlo o corregirlo.
El componente supervisin y monitoreo se integra de los siguientes factores:
8. Supervisin Interna
70
a. Fundamentos
La evaluacin del CORRE constituye un proceso en s mismo. Son los directivos de l-

nea o funcin de apoyo quienes llevan a cabo las actividades de supervisin y dan medi-
tada consideracin a las implicaciones de la informacin que reciben.
Hay que establecer polticas y procedimientos para identificar qu informacin se nece-

sita a un nivel determinado para tomar decisiones en forma eficaz. En todo caso, los al-
tos directivos deberan ser informados de las deficiencias de control interno y de la ges-
tin de riesgos que afecten a la entidad o a las unidades especficas de manera significa-
tiva.
Los supervisores definen los procedimientos de informacin para sus subordinados. Las
partes interesadas a las que hay que comunicar las deficiencias a veces proporcionan di-
rectrices concretas respecto a lo que debera comunicarse.
Se dispone de una variedad de metodologas y herramientas de evaluacin, incluyendo

listas de comprobacin, cuestionarios, cuadros de mando y tcnicas de diagramas de flu-
jo.
Se presentan a continuacin algunos ejemplos de actividades de supervisin permanente.
Los directivos que revisan los informes operativos, usados para gestionar las ope-
raciones de modo permanente, pueden detectar inexactitudes o excepciones rela-
tivas a los resultados esperados.
71
Las comunicaciones de terceros corroboran la informacin generada internamen-
te o indican incidencias. De hecho, los clientes contrastan implcitamente los da-
tos de facturacin efectuando su pago. Por otro lado, las reclamaciones de clien-
tes sobre facturas podran indicar deficiencias en el sistema de procesamiento de
las transacciones de ventas.
Los reguladores se comunican con la direccin sobre temas de cumplimiento u

otros que reflejan el funcionamiento de la gestin de riesgos corporativos.
Los auditores y asesores internos y externos facilitan peridicamente recomenda-

ciones para reforzar la gestin de riesgos corporativos.
Los seminarios y otros eventos de formacin, sesiones de planificacin y otras

reuniones proporcionan una retroalimentacin importante a la direccin sobre si
la gestin de riesgos corporativos est siendo eficaz.
Durante el transcurso normal de la gestin de las operaciones, los directivos co-

mentan con el personal temas tales como su entendimiento del cdigo de conduc-
ta de la entidad.
Una estructura organizativa racional que incluya las actividades de supervisin

apropiadas permiten comprobar que las funciones de control se ejecutan y que en
caso de deficiencias importantes sean identificadas.
Una declaracin peridica del personal sobre el conocimiento y cumplimiento

del cdigo de conducta es una prctica recomendable y parte del componente su-
pervisin en el CORRE.
b. Puntos a evaluar

guientes puntos:
Las polticas emitidas por la direccin superior sobre las polticas de comunicacin
de la institucin y la forma en que ha sido comunicada a los miembros de la organi-
zacin.
Los medios por los que el personal que realiza sus actividades normales obtiene evi-
dencia de que el CORRE est funcionando adecuadamente.
En qu medida las comunicaciones procedentes de terceros corroboran la informa-
cin generada internamente o indican problemas.
En qu medida los seminarios de formacin, las sesiones de planificacin y otras
reuniones facilitan informacin a la direccin sobre si el CORRE opera eficazmente.
Comparaciones peridicas entre los importes registrados por el sistema contable con
los activos fsicos.
Receptividad ante las recomendaciones del auditor interno y externo respecto de la
forma de mejorar el CORRE.
El grado de facilidades que tiene el personal para presentar sus denuncias u otra in-
formacin que estima de utilidad institucional.
72
Resultados de encuestas peridicas al personal para medir el grado de aplicacin del
cdigo de conducta de la empresa o institucin y, los impactos en las operaciones.
2. Evaluacin Interna
a. Fundamentos
Adems de las supervisin por parte de la administracin como parte de los procesos es-
tablecidos, las evaluaciones del CORRE ejecutadas por la Auditora Interna es de fun-
damental importancia, porque de manera independiente puede evaluar la calidad de su
diseo y comprobar la forma en que se aplican sus elementos.
Junto con la auditora de gestin y de los procesos, la evaluacin del CORRE es uno de
los importantes servicios de la Auditora Interna, como asesora al consejo de adminis-
tracin. La alarma temprana incorporada en la informacin producida puede dar una se-
al para que la Auditora Interna acte con oportunidad. Por esa razn debe tener acceso
sin restriccin a la informacin que emite la institucin y a la de otras organizaciones re-
lacionadas o de la competencia.
La evaluacin del CORRE tambin puede estar motivada por cambios importantes en la
estrategia o la gerencia, adquisiciones o enajenaciones importantes, modificaciones rele-
vantes en la produccin o en los mtodos de registro y de la informacin financiera. En
este caso, la evaluacin debe centrarse en cada componente del CORRE relacionados
con todas las actividades importantes.
Las evaluaciones internas tambin se realizan mediante auto-evaluaciones. En stas, los

responsables de una determinada unidad o funcin establecen el grado de cumplimiento
de los componentes y elementos del CORRE establecidos en la organizacin. En estas
autoevaluaciones, el auditor interno puede participar como facilitador.
La atencin que la alta direccin y los miembros de la organizacin prestan a los infor-
mes de Auditora Interna revela su filosofa y compromiso hacia el control y la gestin
de los riesgos. El funcionamiento del Comit de Auditora es importante para apoyar la
gestin del la Auditora Interna y para que se implementen, de manera eficaz, los planes
de accin correctiva.
b. Puntos a evaluar

guientes puntos:
Alcance y frecuencia de las evaluaciones puntuales del CORRE.

Idoneidad del proceso de evaluacin.
Lgica y adecuada metodologa para evaluar el sistema.
Existencia de un mecanismo para recoger y comunicar cualquier deficiencia detecta-
da en el CORRE.
Idoneidad de los procedimientos de comunicacin.
Idoneidad de las acciones de seguimiento.
73
Atencin de la alta direccin y de otras unidades de la organizacin a los resultados
de las auditoras practicadas.
Existencia y aplicacin de planes de accin correctiva con base en los resultados de
auditora interna.
Polticas de comunicacin de los resultados de auditora interna.
Calidad del personal de auditora interna y apoyo que recibe de las autoridades supe-
riores.
Forma en que opera el Comit de Auditora de la organizacin.
a. Fundamentos
El diseo del CORRE debe incorporar la necesidad de evaluaciones externas realizadas

en forma peridica, principalmente cuando se ejecutan auditorias de los estados e infor-
mes financieros, sin descartar otro tipo de evaluaciones dirigidas a las operaciones, los
sistemas y los procesos.
La evaluacin del CORRE como parte de una auditoria externa toma como base los pro-
cedimientos aplicados por la administracin de la empresa y sirve para dos importantes
propsitos: (i) para el diseo de las pruebas y el alcance con el que deben aplicar los au-
ditores en el ejercicio de la auditora; y, (ii) para informar a la alta direccin de la orga-
nizacin sobre la existencia de riesgos de errores o irregularidades importantes que no
estn adecuadamente controlados. Este informe, en la actualidad no es exigido por orga-
nismos reguladores de nuestro pas y tiene escasa publicidad. Siguiendo buenas prcticas
y disposiciones internacionales, se espera que en el corto plazo, en nuestro pas, sea de
obligatoria difusin.
La evaluacin del CORRE como parte de la auditora de gestin proyecta un nuevo reto
para las auditoras especializadas, de manera especial al impulsar su evaluacin hacia ac-
tividades que agregan valor para las empresas y organizaciones.
Tambin existen una serie de organismos reguladores o de control externo que vigilan o
monitorean el cumplimiento de normas o disposiciones especficas relacionadas con los
controles internos y la gestin de riesgos, tales como las Superintendencias de Bancos y
Seguros y, de Compaas. Otros organismos reguladores tienen relacin con la adminis-
tracin tributaria, presupuestaria, la administracin del capital humano y el medio am-
biente las que tambin realizan algunas revisiones que pueden tener relacin con el
cumplimiento de leyes que tienen efecto directo o indirecto sobre el CORRE y el logro
de los objetivos.
b. Puntos a evaluar

guientes puntos:
74
Atencin de la direccin superior a los informes de los auditores y organismos regu-
ladores.
Existencia de planes de accin correctiva y el grado de cumplimiento del mismo.
Niveles a los que reportan los auditores y los organismos reguladores.
Grado de coordinacin entre auditores internos y externos.
Los medios utilizados para que conozcan los informes de auditora los miembros de
la organizacin
Reportes de cumplimiento al Comit de Auditoria.
75

Corre 21.02.06 Con Graficos PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Corre 21.02.06 Con Graficos PDF

Cargado por

Copyright:

Formatos disponibles

-MARCO INTEGRADO-

CONTROL DE LOS RECURSOS Y

CONTROL DE LOS RECURSOS Y LOS RIESGOS - ECUADOR-

1. Neologismo que traduce la expresin Accountability que significa la obligacin de

1. Informe del Committee of Sponsoring Organizations (COSO).

El informe elaborado por el COMMITTEE OF SPONSORING ORGANIZATIONS,

El grupo estaba constituido por representantes de las siguientes organizaciones:

American Accounting Association (AAA)

Otros organismos profesionales de los pases industrializados han definido su enfoque

2. Marco Integrado de Control Interno Latinoamericano MICIL

La Conferencia Interamericana de Contabilidad de San Juan, Puerto Rico en 1999 se re-

En la preparacin del MICIL, expertos de varias organizaciones profesionales trabajaron

3. Gestin de Riesgos Corporativos-Marco Integrado (COSO II).

a. Incorpora objetivos ESTRATGICOS como una nueva categora de obje-

b. Incrementa a ocho el nmero de componentes mediante la incorporacin

c. Pone especial nfasis en el establecimiento de estrategias y en la adminis-

COSO II COSO MICIL

Evaluacin de Riesgos Igual Igual

Respuesta a los Riesgos Evaluacin de Riesgos Evaluacin de Riesgos

Actividades de Control Actividades de Control Actividades de Control

Informacin y Comunica- Informacin y Comunica- Informacin y Comunica-

Con pequeas modificaciones al concepto general de COSO, al control interno se define

Un proceso, efectuado por el consejo de administracin,

A continuacin algunas reflexiones para facilitar la comprensin de la definicin:

1. El Control Interno como un Proceso

El control interno es un proceso aplicado en la ejecucin de las operaciones de toda la

2. El Control interno ejecutado por personas

El control interno es ejecutado por personas. La principal responsabilidad del diseo y

3. Aportar un grado de seguridad razonable

El control interno aporta seguridad razonable a la direccin superior de la organizacin,

4. Promover la honestidad y la respondabilidad

El control interno diseado y aplicado adecuadamente es el mejor antdoto contra las

5. Facilitar la consecucin de los objetivos de la organizacin

El control interno facilita la consecucin de los objetivos de la organizacin, con efi-

6. Aplicado en toda la Organizacin

El Control Interno se define como un proceso, efectuado

1. Ambiente Interno de Control

El ambiente interno de control (o entorno de control como lo denomina el informe

1. Integridad y Valores ticos

1. Integridad y Valores ticos

La reputacin de las instituciones pblicas y privadas es muy valiosa y las normas de

Las personas pueden implicarse en actos deshonestos, ilegales o no ticos, simplemente

La existencia de un cdigo escrito de conducta, de documentacin donde conste que los

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

La existencia e implantacin de cdigos de conducta u otras polticas relacionadas

2. Filosofa y Estilo de la Alta Direccin

La filosofa y estilo de la alta direccin refleja los valores de la entidad, influye en su

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

La naturaleza de los riesgos empresariales aceptados, por ejemplo, si participa la di-

3. Consejo de Administracin y Comits

El consejo de administracin (junta directiva, directorio u otras denominaciones) de una

El Comit de Auditora es uno de los que ms se ha desarrollado en los ltimos tiempos,

El Comit de Auditora es el nexo profesional en materia de control entre auditores in-

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

La independencia de los miembros de los que integran el Consejo de Administracin

La adecuacin de la estructura organizativa de una institucin en gran medida depende

La estructura organizativa de una entidad proporciona el marco para planificar, ejecutar,

Sobre la base de la estructura orgnica se deben establecer los manuales de funciones y

La actualizacin de las estructuras, funciones y procesos es responsabilidad de quienes

Para la autoevaluacin por parte de la administracin o la evaluacin independiente de la

La existencia e idoneidad de la estructura orgnica y funcional.

5. Autoridad Asignada y Responsabilidad Asumida

La responsabilidad que asume un funcionario o empleado de la organizacin siempre es-