AMBIENTE INTERNO DE CONTROL

1. INTEGRIDAD Y VALORES TICOS.- La integridad y valores ticos son elementos esenciales del ambiente interno de
control de una organizacin y afectan al diseo, administracin y seguimiento de los otros componentes del CORRE.

La reputacin de las instituciones pblicas y privadas es muy valiosa y las normas de comportamiento deben ir ms all del
cumplimiento de las disposiciones legales.

Los ejemplos recientes de Enron, Worldcom, Tyco, Vivendi, Xerox, Parmalat, entre otras, son evidencias claras de la ausencia
de valores y el incumplimiento de los principios ticos por parte de la direccin superior de las organizaciones. En nuestro pas,
esta situacin se evidenci en la crisis del sistema financiero de 1999, que sacudi todos los sectores, sin que se haya dado
ejemplar castigo a los culpables, tanto del sector privado como pblico.

2 FILOSOFA Y ESTILO DE LA ALTA DIRECCIN.- La filosofa y estilo de la alta direccin refleja los valores de la
entidad, influye en su cultura y estilo operativo y afecta la aplicacin de todos los componentes del CORRE, incluyendo la
identificacin de riesgos, los tipos de riesgos aceptados y cmo son gestionados.

3 CONSEJO DE ADMINISTRACIN Y COMITS.- El consejo de administracin (junta directiva, directorio u otras

denominaciones) de una entidad es una parte crtica del mbito interno e influye de modo significativo en sus componentes. Su
independencia frente a la direccin, la experiencia y reputacin de sus miembros, su grado de implicacin y supervisin de las
actividades y la adecuacin de sus acciones, juegan un papel muy importante para el diseo y funcionamiento del CORRE de
una organizacin.

4. ESTRUCTURA ORGANIZATIVA.- La adecuacin de la estructura organizativa de una institucin en gran medida depende
de la naturaleza de sus actividades, el tamao de sus operaciones y su independencia. La estructura organizativa de una entidad
proporciona el marco para planificar, ejecutar, controlar y supervisar sus actividades. Una estructura organizativa incluye la
definicin 25 de reas claves de autoridad y responsabilidad y el establecimiento de lneas adecuadas de informacin y
comunicacin para facilitar la coordinacin.

5. AUTORIDAD ASIGNADA Y RESPONSABILIDAD ASUMIDA.- La responsabilidad que asume un funcionario o

empleado de la organizacin siempre estar relacionada con la autoridad asignada. A mayor grado de autoridad mayor ser el
grado de responsabilidad de los funcionarios y empleados. 26 La alineacin de la autoridad y la responsabilidad a menudo se
efecta para animar las iniciativas individuales dentro de lmites. La delegacin de autoridad significa traspasar el control central
de algunas decisiones hacia niveles inferiores, es decir, a los individuos que estn ms cerca de las transacciones empresariales
cotidianas

6. GESTIN DEL CAPITAL HUMANO.- El recurso ms importante en cualquier organizacin pblica o privada, es el
personal que la conforma. El ambiente de control estar totalmente fortalecido si la organizacin administra de manera eficiente
y eficaz este recurso. El proceso tcnico definido para la administracin del recurso humano parte de la integridad, el
comportamiento tico y la competencia profesional, aspectos a ser demostrados con relacin a las funciones que deben ejecutar y
los productos a generar. La definicin de normas de operacin y su aplicacin en la administracin del recurso humano estn
relacionadas de manera primaria con las acciones de clasificacin, valoracin, reclutamiento, seleccion

7. RESPONDABILIDAD Y TRANSPARENCIA.- Respondabilidad significa la obligacin de los funcionarios pblicos o

privados de: responder, reportar, explicar o justificar ante una autoridad superior, por recursos recibidos y administrados y/o por
los deberes y funciones asignados y aceptadas. Para fines de este estudio se utiliz respondabilidad para mantener el alcance
original de su significado, que supera la tradicional rendicin de cuantas entendida como la responsabilidad de informar lo que
se ha realizado.

ESTABLECIMIENTO DE OBJETIVOS

1. OBJETIVOS ESTRATGICOS.- Los objetivos estratgicos son de alto nivel, estn alineados con la misin de la
entidad y le dan su apoyo. Reflejan la opcin que ha elegido la direccin en cuanto a cmo la entidad crear valor para sus
grupos de inters. En la actualidad, la elaboracin de planes estratgicos es muy utilizado por las organizaciones para establecer
la misin, visin, objetivos, estrategias, valores y otros elementos.
2. OBJETIVOS ESPECFICOS.-Al fijar los objetivos para los distintos niveles y actividades de la entidad, la
organizacin puede identificar factores crticos de xito. Estos factores crticos de xito afectan a la entidad, a cada unidad,
funcin o departamento y a sus integrantes. Estos factores cr- ticos de xito se representan en indicadores de gestin o
estndares para medir el rendimiento.

3. CONSECUCIN DE OBJETIVOS.- El Consejo de Administracin y todos los niveles de la organizacin, asumen la

responsabilidad de alcanzar los objetivos con eficiencia y honestidad.
En todos los niveles de la organizacin debe existir el compromiso de cumplir con las normas establecidas. Para asegurarse de su
cumplimiento, nuevamente la supervisin oportuna y de calidad, es de importancia.

4. RIESGO ACEPTADO Y NIVELES DE TOLERANCIA.- El riesgo aceptado se debe tener en cuenta al fijar la
estrategia, pues el rendimiento deseado de la estrategia deber estar alineado con el riesgo aceptado de la entidad. Las entidades
pueden considerar el riesgo aceptado de un modo cualitativo, usando categoras como alto, moderado o bajo, o bien optar por un
enfoque cuantitativo, que refleje los objetivos de crecimiento y rendimiento y los equilibre con los riesgos.
Las tolerancias al riesgo son los niveles aceptables de desviacin relativa a la consecucin de objetivos.

IDENTIFICACIN DE EVENTOS

1. FACTORES EXTERNOS E INTERNOS.- Son muchos los factores externos e internos que provocan eventos que
afectan a la implantacin de la estrategia y la consecucin de objetivos.

Por esa razn, la direccin reconoce la importancia de entender dichos factores y el tipo de evento que puede derivarse de ellos.
Segn COSO II, los factores externos ms importantes, son los siguientes:

Econmicos Eventos tales como los cambios de precios, la disponibilidad de capital que generan mayores o menores costos de
capital, nuevos competidores.
Medioambientales Incluyen las inundaciones, sequas, incendios y terremotos, que provocan daos a las instalaciones o
edificios, un acceso restringido a las materias primas o la prdida de capital humano.
Polticos Incluyen la eleccin de gobiernos con nuevos programas polticos, leyes y normas, que provocan, por ejemplo,
nuevas restricciones o aperturas en el acceso a mercados extranjeros o impuestos mayores o menores.
Sociales Relacionados con los cambios demogrficos, costumbres sociales, estructuras familiares, prioridades trabajo/ocio y
actividades terroristas, que tienen como resultado cambios en la demanda de productos o servicios, nuevos puntos de venta,
aspectos relacionados con recursos humanos y paros en la produccin.
Tecnolgicos Relativos a los nuevos medios de comercio electrnico, que generan una mayor disponibilidad de datos,
reducciones de costes de infraestructura y un mayor aumento en la demanda de servicios basados en la tecnologa.

Segn el mismo estudio, los factores internos, son los siguientes:

Infraestructura Eventos como el incremento de asignacin de capital para mantenimiento preventivo y el apoyo a los centros
de atencin al cliente reducen el tiempo de inactividad del equipo y se mejora la satisfaccin del cliente.
Personal Eventos como los accidentes laborales, las actividades fraudulentas y el vencimiento de convenios colectivos,
causan prdidas daos de imagen y paros en la produccin.
Procesos Eventos como la modificacin de procesos sin adecuadas estrategias de comunicacin para la gestin de los
cambios, los errores en la gestin de entrega al cliente, provocan prdidas de cuota de mercado, ineficiencias e insatisfaccin y
prdida de clientes. 43
Tecnologa Eventos como el aumento de recursos para gestionar fallas de seguridad y la potencial cada de los sistemas dan
lugar a atrasos en la produccin, transacciones fraudulentas e incapacidad para continuar las operaciones del negocio.

Una vez que se han identificado los principales factores externos e internos, la direccin puede considerar su relevancia y
centrarse en los eventos que puedan afectar al logro de objetivos.

2. IDENTIFICACIN DE EVENTOS.- La metodologa de identificacin de eventos de una entidad puede comprender

una combinacin de experiencias y tcnicas, junto con herramientas de apoyo. Por ejemplo, la direccin puede usar talleres
interactivos de trabajo como parte de dicha metodologa, con un monitor que emplee alguna herramienta tecnolgica altamente
especializada para ayudar a los participantes.

COSO II, cita los siguientes ejemplos de tcnicas para la identificacin de eventos:
 Inventario de eventos Son relaciones detalladas de acontecimientos potenciales comunes a empresas de un sector
determinado o a un proceso o actividad especfica que se da en diversos sectores. Las aplicaciones de software pueden generar
relaciones relevantes de eventos genricos potenciales, que algunas entidades usan como punto de partida para la identificacin
de eventos.
Anlisis interno Puede llevarse a cabo como parte de un proceso rutinario del ciclo de planificacin empresarial,
normalmente mediante reuniones del personal de la unidad de negocio. El anlisis interno utiliza a veces la informacin
procedente de grupos de inters de dicha unidad (clientes, proveedores y otras unidades de negocio) o de expertos en el tema
ajenos a ella (expertos funcionales internos o externos o la auditora interna). Por ejemplo, una empresa que est considerando
introducir un nuevo producto, usa su propia experiencia histrica, junto con investigacin externa de mercado que identifique
eventos que hayan afectado al xito de productos de los competidores.
Talleres de trabajo y entrevistas Estas tcnicas identifican los eventos aprovechando el conocimiento y la experiencia
acumulada de la direccin, el personal y los grupos de inters, a travs de discusiones estructuradas. Un monitor lidera y facilita
la discusin sobre los eventos que pueden afectar a la consecucin de objetivos de la entidad o alguna de sus unidades. Al
combinar los conocimientos y experiencia de los miembros del equipo, se identifican eventos importantes que de otro modo
podran haberse olvidado.
Anlisis del flujo del proceso Esta tcnica considera la combinacin de entradas, tareas y responsabilidades, salidas de un
proceso.
Identificar eventos con prdidas Los archivos de datos sobre eventos individuales con prdidas en el pasado son una fuente
til de informacin para identificar tendencias y causas principales

3. CATEGORAS DE EVENTOS.- Algunas entidades desarrollan categoras de eventos basadas en la clasificacin de

sus objetivos por categoras, usando una jerarqua que empieza con los objetivos de alto nivel y luego, en cascada hasta los
objetivos relevantes para las unidades organizativas, funciones o procesos de negocio. Agrupar los eventos de tal forma que
horizontalmente conste toda la entidad y verticalmente las unidades operativas, la direccin desarrolla un entendimiento de las
relaciones entre eventos, obteniendo una mejor informacin como base para la evaluacin de los riesgos. Mediante esta
agregacin de eventos similares, la direccin puede determinar mejor las oportunidades y riesgos.
 EVALUACIN DE RIESGOS

1. ESTIMACIN DE PROBABILIDAD E IMPACTO.- La incertidumbre de los eventos potenciales se evala desde dos
perspectivas: probabilidad e impacto.
La primera representa la posibilidad de que ocurra un evento determinado, mientas que la segunda refleja su efecto.
La estimacin de probabilidades e impactos puede comprender una combinacin de experiencias y tcnicas, junto con
herramientas de apoyo; sin embargo, se destaca el uso de tecnologa especializada que facilita el trabajo y permite mayor
eficacia y eficiencia en la gestin de los riesgos.

2. EVALUACIN DE RIESGOS.- La metodologa de evaluacin de riesgos de una entidad consiste en una combinacin de
tcnicas cualitativas y cuantitativas.
La direccin aplica a menudo tcnicas cualitativas cuando los riesgos no se prestan a la cuantificacin o cuando no estn
disponibles datos suficientes y crebles para una evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte eficaz
por su costo.
Las tcnicas cuantitativas tpicamente aportan ms precisin y se usan en actividades ms complejas y sofisticadas, para
complementar las tcnicas cualitativas.
De acuerdo con el estudio COSO II, los siguientes son ejemplos de tcnicas cuantitativas de evaluacin de riesgos que
pueden afectar el cumplimiento de los objetivos:
Benchmarking Es un proceso comparativo entre entidades, que enfoca eventos o procesos concretos, compara medidas y
resultados mediante mtricas comunes e identifica oportunidades de mejora.
Modelos probabilsticos Sobre la base de ciertas hiptesis. Los modelos probabilsticos relacionan una gama de eventos
con su probabilidad de ocurrencia e impacto resultante.
Modelos no probabilsticos Los modelos no probabilsticos aplican hiptesis subjetivas para estimar el impacto de
eventos sin una probabilidad asociada cuantificada.

3. RIESGOS ORIGINADOS POR LOS CAMBIOS.- Los cambios generados en el entorno de la organizacin y en las
actividades desarrolladas por las organizaciones hacen que el CORRE establecido no se constituya en la respuesta adecuada
para estimular el logro de los objetivos con un razonable riesgo de que existan errores e irregularidades.
En esas circunstancias es indispensable que la organizacin cuente con mecanismos apropiados de investigacin e
informacin sobre los cambios que se operan en el mundo y, particularmente, los relacionados con sus operaciones para
preparar los niveles de respuesta que disminuyan el riesgo de perder vigencia en un mundo de alta competencia.

El impacto potencial de algunos elementos requiere de una atencin especial y los principales son:
Cambios en el entorno operacional. Los cambios en el contexto econmico, legal y social pueden generar nuevos riesgos
para la organizacin.
Nuevo personal. Principalmente en los niveles directivos que no se integren en la filosofa y enfoque de la organizacin.
Sistemas de informacin nuevos o modernizados. Los nuevos sistemas deterioran los controles claves que en el pasado
funcionaban.
Rpido crecimiento de la organizacin. El personal y los sistemas se ven sometidos a requerimientos adicionales y los
procedimientos de control son menos exigentes.
Tecnologas modernas. Requieren modificaciones en los controles internos, muchos de los cuales se integran en los
programas de computacin.
Nuevos servicios y actividades. Es necesario adecuar los controles internos a las nuevas actividades y que por lo regular
incluirn tecnologa moderna para su operacin.
Reestructuraciones internas. Ajustes para equilibrar los resultados de operaciones debido a requerimientos de los
propietarios. Esto puede debilitar el CORRE por limitaciones de recursos humanos y financieros.
Actividades en el extranjero. Estas operaciones llevan un grado de riesgo mayor, debido a la cultura del pas donde se opere,
las disposiciones legales y el enfoque de la gestin local.

RESPUESTA A LOS RIESGOS

1. CATEGORA DE RESPUESTAS.- COSO II, establece las siguientes categoras de respuestas respecto de los riesgos
identificados, cuyo anlisis previo a la decisin se puede realizar con mayor o menor uso de tecnologa especializada:
Evitar (los riesgos) Supone salir de las actividades que generen riesgos porque no se identific alguna opcin de respuesta
que redujera el impacto y probabilidad hasta un nivel aceptable.

Evitar el riesgo puede implicar el cese de una lnea de producto o de actividad, frenar la expansin hacia un nuevo mercado
geogrfico o la venta de una divisin.
 Reducir (los riesgos) Implica llevar a cabo acciones para reducir la probabilidad o el impacto del riesgo o ambos conceptos a
la vez. Significa reducir el riesgo residual para ubicarle en lnea con la tolerancia de riesgo deseada.
Compartir (los riesgos) La probabilidad o el impacto del riesgo se reduce trasladando o, de otro modo, compartiendo una
parte del riesgo. Igual que la opcin de compartir, significa reducir el riesgo residual para ubicarlo en lnea con la tolerancia de
riesgo deseada. Las tcnicas comunes incluyen la contratacin de seguros, la tercerizacin de una actividad sustantiva o adjetiva
como una parte de la gestin del recurso humano.
Aceptar (los riesgos) No se emprende ninguna accin que afecte la probabilidad o el impacto del riesgo. (Los riesgos se
aceptarn como se identificaron).

2 DECISIN DE RESPUESTAS.- Segn COSO II, para decidir la respuesta a los riesgos, la direccin debera tener en cuenta
lo siguiente:
Los costos y beneficios de las respuestas potenciales.
Las posibles oportunidades para alcanzar los objetivos de la entidad, lo que va ms all del tratamiento de un riesgo concreto.

Generalmente, es ms fcil tratar los costos, pues en muchos casos pueden cuantificarse con bastante detalle. Normalmente, se
tienen en cuenta todos los costos directos relacionados con la implantacin de una respuesta y los costos indirectos que se
puedan medir de un modo prctico. Algunas entidades tambin incluyen los costos de oportunidad relativos al uso de recursos.
El lado de los beneficios implica a menudo valoraciones mucho ms subjetivas.

Por ejemplo, las ventajas de los programas de formacin son normalmente evidentes, pero son difciles de cuantificar. En
muchos casos, sin embargo, el beneficio de una respuesta al riesgo puede evaluarse dentro del contexto de beneficios ligados a la
consecucin del objetivo correspondiente. Las consideraciones sobre estas respuestas a los riesgos no deberan limitarse
exclusivamente a la reduccin de los riesgos identificados, sino que tambin deberan incluir la consideracin de nuevas
oportunidades para la entidad.

ACTIVIDADES DE CONTROL

1. INTEGRACIN CON LAS DECISIONES SOBRE RIESGOS.- Despus de haber seleccionado las respuestas al riesgo, la
direccin establece actividades de control necesarias para disminuir los riesgos y alcanzar los objetivos en sus diferentes
categoras.
Establecer una matriz que relacione los riesgos seleccionados con los controles establecidos por la organizacin, brindar una
seguridad razonable de que los riesgos se mitigan y de que los objetivos se alcanzarn con razonable seguridad de que no
existan errores o irregularidades. Ser recomendable que esta matriz u otro documento relacionen los riesgos y los controles
con los objetivos en sus diferentes jerarquas.

2-PRINCIPALES ACTIVIDADES DE CONTROL.- Las actividades de control incluyen controles preventivos, para detener
ciertas transacciones riesgosas antes de su ejecucin, y, controles de deteccin, para identificar aquellas que tienen posibles
errores o irregularidades.
Las actividades de control combinan controles informticos y manuales, incluyendo aquellos automatizados que aseguran la
captacin correcta de la informacin, y procedimientos de autorizacin y aprobacin de las decisiones de inversin por parte de
las personas responsables.

A continuacin se presentan las siguientes actividades de control como una ilustracin general, que no debe ser considerada
exhaustiva:
Revisiones y supervisiones La alta direccin revisa el funcionamiento real en contraste con presupuestos, previsiones y datos
de perodos previos y de competidores. Tambin se supervisa la implantacin de planes financieros o de otro tipo.
Gestin directa de funciones o actividades Los directivos que gestionan las funciones o actividades revisan los informes de
rendimiento. Estos directores tambin se centran en temas de cumplimiento, revisando los informes que requieren los
reguladores sobre nuevos depsitos que superen unos importes especficos.
Procesamiento de la informacin Se lleva a cabo una variedad de controles para verificar la exactitud, integridad y
autorizacin de las transacciones. Se aceptar el pedido de un cliente, slo despus de verificar con un fichero de clientes y el
lmite de crdito autorizado.
Repeticin Las acciones aplicadas durante el procesamiento de las operaciones se repiten por otra persona para validar los
datos y los controles aplicados.
Validacin Mediante la autorizacin, comparacin y verificacin de la pertinencia y la legalidad de la transaccin.
Aseguramiento Mediante la aplicacin de los controles establecidos para reducir los riesgos y los errores en la ejecucin de
las actividades.
 Especializacin funcional Se insertan en la estructura de la organizacin como la separacin de funciones, la supervisin de
los procesos, las evaluaciones ejecutadas por la Auditora Interna y otras.
Controles fsicos Los equipos, existencias, valores, efectivo y dems activos estn fsicamente asegurados, se someten
peridicamente a recuentos y se contrastan con los importes de los registros de control.
Indicadores de rendimiento El contraste entre s de diferentes conjuntos de datos operativo o financieros junto con el
anlisis de relaciones y las acciones de investigacin y correccin, constituye una actividad de control.
Segregacin de funciones Las funciones se dividen o segregan entre diferentes personas para reducir el riesgo de error o
fraude.

3 CONTROLES SOBRE LOS SISTEMAS DE INFORMACIN.- Pueden usarse amplios grupos de actividades de control
de los sistemas de informacin. El primero lo forman los controles generales, que se aplican a muchos de esos sistemas, si no a
todos, y ayudan a asegurar que siguen funcionando continua y adecuadamente. El segundo son los controles de aplicacin, que
incluyen fases informatizadas dentro del software para controlar el proceso.

Controles Generales Los controles generales incluyen controles sobre la gestin de la tecnologa de informacin, su
infraestructura, la gestin de seguridad y la adquisicin, desarrollo y mantenimiento del software. Se presentan a continuacin
algunos ejemplos de controles comunes dentro de estas categoras.

Gestin de la tecnologa de informacin Un comit de trabajo proporciona supervisin, seguimiento e informacin de las
actividades de tecnologa informtica y las iniciativas para su mejora.
Infraestructura de la tecnologa de informacin Los controles se aplican a la definicin, adquisicin, instalacin,
configuracin integracin y mantenimiento de los sistemas.
Gestin de la seguridad Son controles de acceso lgico tales como contraseas seguras de restriccin de accesos a la red,
bases de datos y aplicaciones.
Adquisicin, desarrollo y mantenimiento del software Los controles sobre la adquisicin e implantacin del software se
incorporan a un proceso establecido para gestionar el cambio, incluyendo los requisitos de documentacin, la comprobacin de
la aceptacin del usuario, las pruebas de carga y las evaluaciones del riesgo de proyectos.

Controles de Aplicacin Los controles de aplicacin se centran directamente en la integridad, exactitud, autorizacin y validez
de la captacin y procesamiento de datos. Ayudan a asegurar que los datos se captan o generan en el momento de necesitarlos,
que las aplicaciones de soporte estn disponibles y que los errores de interfaz se detecten rpidamente. Un objetivo importante
de los controles de aplicacin es prevenir que los errores se introduzcan en el sistema, as como detectarlos y corregirlos una vez
introducidos en l.

Se resumen algunos ejemplos de controles de aplicacin contenidas en el estudio COSO II.

Equilibrar las actividades de control Detectar los errores en la captacin de datos, mediante la conciliacin entre los
importes introducidos, manual o automticamente, y un total de control.
Dgitos de control Validan los datos mediante clculos. La numeracin de los repuestos de una empresa contiene un dgito de
control que detecta y corrige pedidos inexactos a sus proveedores.
Listados predefinidos de datos Proporcionan al usuario listas preestablecidas de datos aceptables.
Pruebas de razonabilidad de datos Comparan los datos captados con una pauta existente o aprendida de razonabilidad.
Pruebas lgicas Incluyen el uso de lmites de rango o pruebas alfanumricas o de valor.