Documentos de Académico
Documentos de Profesional
Documentos de Cultura
SEMANA 5
Todos los derechos de autor son de la exclusiva propiedad de IACC o de los otorgantes de sus licencias. No está
IACC-2017
permitido copiar, reproducir, reeditar, descargar, publicar, emitir, difundir, poner a disposición del público ni
utilizar los contenidos para fines comerciales de ninguna clase. 1
SEMANA 5 – Auditoría y Control Interno
OBJETIVOS ESPECÍFICOS
• Analizar el uso del marco integrado
COSO 2013 para la evaluación de control
interno, identificando componentes y
principios.
IACC-2017
2
SEMANA 5 – Auditoría y Control Interno
IACC-2017
3
SEMANA 5 – Auditoría y Control Interno
INTRODUCCIÓN
COSO (Committe of Sponsoring Organizations En la actualidad, COSO corresponde al marco
of the Tradway Commission), es la de referencia para implementar y evaluar el
organización que proporciona guías y control interno en las empresas, siendo
orientación sobre el control interno, la fundamental su conocimiento y aplicación
gestión del riesgo empresarial y la disuasión por parte de los profesionales contadores
del fraude. auditores.
Su marco original fue publicado en el año Esta semana se verá todo lo relacionado al
1992 y ha tenido una gran aceptación y marco COSO, desde su definición, las
utilización en todo el mundo. empresas obligadas a implementarlo en su
control interno y su evolución en el tiempo
Se le reconoce como líder para diseñar, hasta llegar a COSO 2013. Además, se
implementar y desarrollar el control interno, estudiarán sus principios y componentes.
pudiendo evaluar su efectividad al interior de
las organizaciones.
IACC-2017
4
SEMANA 5 – Auditoría y Control Interno
En la década de los ochenta continuó la escalada de casos irregulares, pero esta vez incluyendo
situaciones de fraude y mala gestión de instituciones financieras. Se comenzó, además, a comprobar
que, en muchos de los casos, los informes de auditoría no habían emitido ninguna señal de alerta
antes de la ocurrencia de los incidentes.
En el año 1985, las cinco organizaciones profesionales más importantes de Estados Unidos en las
áreas de administración, auditoría, contabilidad y finanzas unieron fuerzas y decidieron crear y
patrocinar una nueva comisión investigadora, denominada Comisión Nacional de Informes
Financieros Fraudulentos (National Commission on Fraudulent Financial Reports), que llegó a ser
conocida popularmente como la Comisión Treadway, por su líder James C. Treadway
(Contabilidad.com.py, 2012).
Esta comisión de seis miembros fue conformada por líderes profesionales altamente respetados y
contó con el apoyo de un consejo asesor que representaba un amplio espectro de experiencias y
puntos de vista. En la actualidad, la comisión incluye representantes de la industria, contabilidad
pública, las empresas de inversión y la bolsa de valores de Nueva York.
IACC-2017
5
SEMANA 5 – Auditoría y Control Interno
https://vimeo.com/107836648
De acuerdo con lo antes señalado, COSO es la organización que proporciona guías y orientación
sobre el control interno, la gestión del riesgo empresarial y la disuasión del fraude.
El primer informe de COSO en lo referente a control interno fue emitido en 1992, bajo el título de
Marco integrado de control interno, obteniendo una amplia aceptación en todo el mundo. Se trata
de un marco de referencia utilizado para diseñar o evaluar sistemas de control interno, que se ha
convertido en el principal referente del área. Por extensión, este marco integrado también recibe
el nombre de COSO, y esa será la acepción que se utilizará para él, en esta asignatura.
Luego de transcurrir 21 años desde la primera emisión, durante los cuales se produjeron enormes
cambios a nivel global en las organizaciones, en 2013 el COSO emitió su segundo informe,
denominado Marco integrado de control interno: COSO 2013, que es una actualización del marco
de 1992, y que renueva su visión atendiendo a los cambios ocurridos durante ese período.
IACC-2017
6
SEMANA 5 – Auditoría y Control Interno
La Ley Sarbanes-Oxley, conocida también como SarOx o SOA (por sus siglas en
inglés Sarbanes Oxley Act), es la ley que regula las funciones financieras
Esta ley se aplica a todas las empresas que transan sus valores en las bolsas de Estados Unidos, sean
norteamericanas o no. Entre sus disposiciones, establece la obligatoriedad de contar con un sistema
de control interno. Por otra parte, la SEC recomienda la utilización de COSO, cuyo marco integral de
1992 se mantendría disponible hasta el 15 de diciembre de 2014, fecha a partir de la cual se
considera sustituido por el nuevo COSO 2013.
Cabe señalar que la mayor parte de las organizaciones profesionales de contadores auditores e
instituciones afines en el mundo occidental -incluyendo gobiernos- recomiendan utilizar el marco
integrado COSO. En el caso de Chile, este marco es utilizado a nivel gubernamental y también en el
área privada, en muchas grandes y medianas empresas, así como en algunas pequeñas empresas
que están en proceso de crecimiento.
IACC-2017
7
SEMANA 5 – Auditoría y Control Interno
Desde la formación del COSO, se han publicado los siguientes documentos específicos de control
interno:
IACC-2017
8
SEMANA 5 – Auditoría y Control Interno
El marco de 1992 constituyó un aporte muy importante a la práctica del control interno. Sus
aportes más relevantes fueron:
1. Estructurar e integrar conceptos y prácticas de control interno que hasta ese momento se
encontraban dispersas, entregando un marco de referencia general a partir del cual se
puede realizar el diseño, implementación, mejoramiento y/o evaluación de dicho control
interno, incluyendo la generación de informes.
2. Proporcionar una nueva visión jerárquica del control interno al definirlo como un proceso
general de la organización, al nivel de cualquiera de los otros procesos normales de una
empresa, que se desarrollan bajo el impulso de la administración superior (es decir, saca el
control interno del nivel operativo contable en que se manejaba históricamente y lo lleva al
nivel de proceso general con participación de toda la organización y tuición directa de la alta
dirección).
3. Entregar una visión sistémica del control interno, con objetivos tanto de negocios como de
control.
La definición estandarizada por COSO 1992 para el control interno ya se ha utilizado en ocasiones
anteriores, pero no está de más recordarla: “control interno es un proceso llevado a cabo por el
consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el
objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos”
(COSO, 2013, p. 3) dentro de las siguientes categorías:
Las principales características que surgen de esta definición, algunas de las cuales explican los
aportes recién atribuidos a COSO, son:
a. Se define el control interno como un proceso, es decir, una serie de tareas y actividades
interrelacionadas.
b. Se entrega responsabilidad a la administración superior.
c. El proceso es realizado por el personal y la dirección, es decir, las personas. Lo que indica
que va más allá de escribir manuales de procedimientos definiendo reglas y políticas, y
que, además, debe considerar las acciones de las personas, esto es, su conducta y actitud
ante el control interno.
d. El control interno solo entrega un nivel razonable de seguridad a la alta dirección en
cuanto a que no se producirán hechos irregulares, tales como fraudes o errores groseros.
Pero en ningún caso se puede eliminar totalmente la probabilidad de ocurrencia de un
hecho de ese tipo (porque intervienen personas, no robots automatizados).
IACC-2017
9
SEMANA 5 – Auditoría y Control Interno
e. Se definen con una visión sistémica objetivos de distinta naturaleza, relacionados entre sí.
Incluyendo objetivos del área operacional (es decir, aquellos que tienen que ver con los
resultados de la organización)
En el año 2004, se publicó el Marco integrado de gestión del riesgo empresarial, cuyo objetivo era
ayudar a los directivos de las empresas y a los funcionarios de organizaciones de cualquier tipo, a
administrar de manera más eficiente el riesgo relacionado con el no cumplimiento de los objetivos
de la entidad. Nuevamente, COSO logró el propósito de unificar criterios en la materia, definiendo
una visión integral para las distintas tendencias que se daban en esa época respecto a la gestión de
riesgos e incorporando esa visión en el marco del control interno.
El marco identifica cinco componentes del control interno. Estos componentes son los mismos que
ya se habían definido en la versión de 1992, por lo que no hay mayores cambios al respecto, salvo
unas diferencias de matices que se explican más adelante.
Los componentes pueden ser visualizados como un conjunto de procesos, actividades y condiciones,
que deben existir para que un sistema de control interno pueda reducir a un nivel aceptable el riesgo
de no alcanzar los objetivos organizacionales. La identificación de estos componentes es uno de los
tantos aportes de COSO en su primera versión. Si alguno de ellos falta o es deficiente, el sistema de
control interno resultante no se puede calificar como efectivo. Por otra parte, ninguno de estos
componentes es independiente; cada uno impacta de distintas maneras en los otros e interactúan
entre sí, por lo que necesariamente deben proceder de manera integrada.
Se debe recordar que el control interno es un proceso “diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución” (COSO, 2013, p. 3) de los objetivos de la
entidad. Por lo tanto, los componentes (elementos del control interno) están directamente
relacionados con los objetivos de la entidad. Por otra parte, la organización se proporciona a sí
misma una estructura organizacional para operar y alcanzar sus objetivos. En consecuencia, los
objetivos, los componentes y la estructura organizacional están directamente relacionados.
Esa es la relación que intenta mostrar la imagen que se presenta a continuación, que se puede
asimilar a un gráfico tridimensional, donde las filas eje Y representan a los componentes, las
columnas eje X representan a los objetivos y el eje Z representa la estructura organizacional. En el
diagrama se muestran distintos niveles organizacionales, tales como la Entidad, la División, la
Unidad Operativa y la Función, para indicar que el análisis se puede realizar al nivel que se desee.
Cuando se está diseñando un sistema de control, puede resultar útil mantener la analogía con un
sistema de tres coordenadas: para una unidad organizacional Z, se desea conocer qué medida de
IACC-2017
10
SEMANA 5 – Auditoría y Control Interno
control relacionada con el componente Y se puede incorporar para contribuir a alcanzar un objetivo
X. Haciendo otra analogía, esta vez con el cubo Rubik, es como concentrarse en las propiedades de
uno de los cubos pequeños que componen al cubo total
Son varias las diferencias entre ambos marcos, pero en esta ocasión se hablará de las diferencias
que se identifican a simple vista, comparando ambos cubos:
IACC-2017
11
SEMANA 5 – Auditoría y Control Interno
a. Ambiente de control
b. Evaluación de riesgos
c. Actividades de control
d. Información y comunicación
e. Supervisión y seguimiento
IACC-2017
12
SEMANA 5 – Auditoría y Control Interno
Intentando avanzar más en una comparación entre COSO 1992 y COSO 2013, se podría señalar que
la primera versión acotaba mucho el tema. En efecto, al poner mayor énfasis en el objetivo de
obtener cifras e informes financieros-contables confiables, enfocaba el análisis mayormente en el
aspecto contable. En la nueva versión se amplía el objetivo a todo tipo de informe y además se
refuerza la importancia de los objetivos de negocio. En consecuencia, los componentes del sistema
de control interno se pueden considerar también como herramientas gerenciales, para entregar
algún grado de certeza de que los objetivos organizacionales puedan ser alcanzados.
El ambiente de control refleja la “atmósfera” que se respira en una organización respecto al control
interno. En primer lugar, se refiere a la actitud del personal para aplicar los procedimientos, normas
y protocolos de control. Se dice que hay un buen ambiente de control cuando los trabajadores se
empoderan de esas prácticas, las aplican y las hacen respetar. Para que eso ocurra, el estímulo debe
provenir de la alta dirección, quien debe predicar con el ejemplo para poder servir como
motivadores.
En forma simultánea, el ambiente de control requiere que toda la información antes mencionada
sea conocida y entendida por las personas, lo cual requiere un reforzamiento y difusión continua.
No menos importante que este aspecto, es el hecho de que debe existir una forma de comunicación
transparente y una atmósfera de reconocimiento de los logros y difusión de los errores, esto último
no tanto en calidad de censura, sino que en el ámbito de lecciones aprendidas.
Finalmente, un ambiente de control positivo se presenta cuando el propio personal adopta una
posición crítica hacia cualquier intento de fraude y malversación, no por temor a las consecuencias,
sino que por convicción ética y moral. Entonces, como se puede ver, el ambiente de control incluye
la integridad y los valores éticos, tanto organizacionales como individuales.
IACC-2017
13
SEMANA 5 – Auditoría y Control Interno
Las empresas operan en un ambiente de natural incertidumbre, debido a que enfrentan un entorno
variable en que son muchos los factores que las pueden afectar. Obviamente, esta situación se ha
acrecentado en los últimos 20 o 30 años debido al fenómeno de la globalización. En último término,
se enfrentan a muchas condiciones de riesgo que pueden afectar a cualquier parte de la
organización.
Uno de los principales riesgos que corre una empresa es el de no poder cumplir sus objetivos de
negocio. Es por ese motivo que la evaluación de este área se convierte en una necesidad perentoria,
ya que con solo identificarlos y evaluar su impacto, se puede llegar a determinar cuál es el máximo
nivel de riesgo que está dispuesta a tolerar la empresa.
Este componente del control interno proporciona las herramientas para identificar y gestionar los
riesgos organizacionales, en un proceso dinámico y continuo que opera en conjunto con los otros
componentes.
Este componente se refiere a las actividades específicas de control que se realizan al interior de las
empresas. Estas actividades de control se ejecutan en todos los niveles de la entidad, en las
diferentes etapas de los procesos de negocio, y sirven como mecanismos para entregar un nivel
razonable de seguridad de que se alcancen los objetivos organizacionales.
Este componente está relacionado con uno de los objetivos declarados del control interno:
proporcionar información financiera confiable. Pero también está relacionado con una necesidad
imperiosa: asegurar que toda la información necesaria fluya de manera adecuada entre el receptor
y los usuarios, tanto a nivel interno como externo. Es así, por ejemplo, que no se obtiene ningún
beneficio si la alta dirección genera novedosas políticas de control y estas no logran ser traspasadas
a los usuarios, asegurándose de que sean comprendidas y vigilando que sean aplicadas.
IACC-2017
14
SEMANA 5 – Auditoría y Control Interno
Lo mismo ocurre con cualquier otro tipo de información que se genere entre procesos: siempre
habrá un cliente interno que utiliza esa información para otros procesos (ejemplo: Evaluación de
Proyectos requiere de información contable para poder hacer proyecciones; información de
operaciones, para poder hacer estimaciones de capacidad; información de proveedores, para poder
analizar distintas alternativas, etc.). Bajo este punto de vista, la información debe ser considerada
como un insumo más, y hay que asegurarse de que fluya de manera adecuada hacia los usuarios
que corresponda y que no llegue a los que no corresponda (ejemplo: las copias de las liquidaciones
de sueldo no deberían caer en manos de quienes no sean los procesadores de esa información; la
información de licitaciones de proveedores debiera fluir solamente hacia el personal a cargo de la
licitación, para evitar filtraciones).
Este último componente del sistema de control interno, se refiere al monitoreo y evaluación
permanente que se debe realizar sobre todos los componentes, para asegurar que cada uno de ellos
está funcionando efectivamente, o para detectar las deficiencias, en el caso de que las hubiere. Una
parte fundamental del sistema de control es establecer procedimientos que permitan asegurar -con
un nivel razonable de confianza-, que cualquier deficiencia que se detecte en el sistema será
informada oportunamente.
La frecuencia de las evaluaciones debiera ser acordada por la administración superior con base en
el análisis de riesgos.
Además de los componentes, COSO 2013 identifica 17 principios básicos de control interno, que se
asocian con dichos componentes, y que representan conceptos fundamentales que son aplicables
a los objetivos que haya definido la organización (que, por lo demás, es lo que finalmente se
controla). Los principios permiten evaluar la efectividad del sistema de control interno. Para que el
IACC-2017
15
SEMANA 5 – Auditoría y Control Interno
sistema de control se pueda calificar como efectivo, deben estar presentes los cinco componentes
y los 17 principios funcionando de manera adecuada.
Adicionalmente, COSO 2013 entrega algunos “puntos de enfoque” o también denominados “puntos
de interés”, que constituyen una orientación acerca de los puntos más importantes de cada
principio en los que se debe enfocar la atención, lo que permite que estos sean más fáciles de
entender. En este caso, cada organización queda en libertad de implementar solamente aquellos
puntos que sean atingentes a sus características intrínsecas. Si bien no se desarrollarán en esta
semana, se pueden encontrar sin dificultades en internet.
IACC-2017
16
SEMANA 5 – Auditoría y Control Interno
IACC-2017
17
SEMANA 5 – Auditoría y Control Interno
Se puede observar que los principios representan orientaciones amplias, de carácter general, pero
tremendamente útiles al momento de diseñar o evaluar un sistema de control interno. Cada uno de
los principios representa una arista que se le debe imprimir al sistema.
IACC-2017
18
SEMANA 5 – Auditoría y Control Interno
COMENTARIO FINAL
En esta semana se ha abordado el marco integrado que proporciona COSO. A pesar de que existen
otros marcos similares, este ha resultado ser el más aceptado por las distintas áreas, gracias a la
gran ventaja que entregó desde un principio, que fue poner orden en una práctica en la cual distintos
usuarios tenían distintas definiciones para un mismo concepto.
Por otra parte, su enfoque integral lo convierte en la herramienta indispensable cuando se trata de
diseñar sistemas de control interno, como cuando se requiere hacer una auditoría de un sistema de
control existente.
IACC-2017
19
SEMANA 5 – Auditoría y Control Interno
REFERENCIAS
Alcaldía de Medellín y Secretaría de Evaluación y Control (2014). Marco Integrado de control
U.S. InterAmerican Community Affairs (2017). Nueva ley frente a los fraudes contables (Ley
IACC (2018). Marco Integrado de control interno, COSO 2013. Auditoría y Control
Interno. Semana 5.
IACC-2017
20
SEMANA 5 – Auditoría y Control Interno
IACC-2017
21