Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Modelo Coso Iii - Marco Integrado de Con PDF
Modelo Coso Iii - Marco Integrado de Con PDF
www.auditool.org
MODELO COSO III
MARCO INTEGRADO DE CONTROL INTERNO –
INTERNAL CONTROL INTEGRATED FRAMEWORK
Introducción
Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del
control interno y del gobierno corporativo, y responde a la presión pública para un
mejor manejo de los recursos públicos o privados en cualquier tipo de organización,
como consecuencia de los numerosos escándalos, la crisis financiera y los fraudes
presentados.
2 www.auditool.org
• Establece los requisitos para un sistema de control interno efectivo,
considerando los componentes y principios existentes, cómo funcionan y cómo
interactúan.
• Proporciona un método para identificar y analizar los riesgos, así como para
desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de unos
niveles aceptables y con un mayor enfoque sobre las medidas antifraude.
• Constituye una oportunidad para ampliar el alcance de control interno más allá
de la información financiera, a otras formas de presentación de la información,
operaciones y objetivos de cumplimiento.
• Es una oportunidad para eliminar controles ineficientes, redundantes o
inefectivos que proporcionan un valor mínimo en la reducción de riesgos para
la consecución de los objetivos de la entidad.
• Brinda una mayor confianza en la supervisión efectuada por el consejo sobre
los sistemas de control interno.
• Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la
entidad.
• Genera mayor confianza en la capacidad de la entidad para identificar, analizar
y responder a los riesgos y a los cambios que se produzcan en el entorno
operativo y de negocios.
• Permite lograr una mayor comprensión de la necesidad de un sistema de
control interno efectivo.
• Facilita el entendimiento de que mediante la aplicación de un criterio
profesional oportuno la dirección puede eliminar controles no efectivos,
redundantes o ineficientes.
3 www.auditool.org
• American Institute of Certified Public Accountants (AICPA) – Instituto
Norteamericano de Contadores Públicos Certificados (Contadores CPA que
forman parte de empresas de contabilidad que hacen auditorías externas de
estados financieros).
• Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos de
Finanzas.
• Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores
encargados de la evaluación de los sistemas de control interno en el interior de
las organizaciones).
• Institute of Management Accountants (IMA) – Instituto de Contadores
Empresariales (Contadores que trabajan en empresas).
De esta manera, las empresas empezaron a implementar sus propias políticas para el
control interno, generando una diversidad de conceptos que carecían de uniformidad.
Esta situación hizo evidente la necesidad de un marco conceptual que estandarizara
las buenas prácticas con respecto a control interno, facilitando así la implementación y
comprensión de sistemas de control interno adecuados. En primera medida, este
marco debía establecer una definición común de control interno, y luego presentar un
modelo que se pudiera adecuar a cualquier empresa sin distinción alguna.
Por esta razón, el comité COSO, en septiembre de 1992, emitió en los Estados Unidos
el informe Internal Control – Integrated Framework (Marco Integrado de Control
Interno, COSO I) –, luego de un trabajo arduo de cinco años y orientado a establecer
una definición común de control interno y proveer una guía para la creación y el
mejoramiento de la estructura de control interno de las entidades.
Este Marco fue publicado para las empresas de los Estados Unidos, pero sin embargo
ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas
los procesos de evaluación y mejoramiento continuo de sus sistemas de control
interno. Además, ha sido incluido en las políticas, reglas y regulaciones, para que las
empresas mejoren sus actividades de control hacia el logro de sus objetivos. Es el
caso de la Ley Sarbarnes Oxley, según la cual las empresas que cotizan en bolsa
tienen que cumplir con una sección de control interno (sección 404), que solicita la
implementación y evaluación de un sistema de control interno en las organizaciones.
4 www.auditool.org
Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora
como parte de él, y permite a las compañías mejorar sus prácticas de control interno
o decidir encaminarse hacia un proceso más completo de gestión de riesgo.
Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework
se encuentra completamente alineado con el Internal Control - Integrated Framework,
las mejoras en la gestión de riesgo permiten mejorar un trabajo eficaz en control
interno bajo las disposiciones de la Ley Sarbanes-Oxley.
Algunos de los factores más relevantes que contribuyeron a la actualización del Marco
Integrado de Control Interno son:
5 www.auditool.org
Los siguientes cuadros presentan los cambios más significativos presentes en el
Marco Integrado de Control Interno 2013, a nivel general y en cada componente:
COSO 1992
COSO 2013 Cambia
Se mantiene:
Ampliación y aclaración de conceptos con el objetivo
Definición del concepto de
de abarcar las actuales condiciones del mercado y
Control Interno
la economía global
Codificación de principios y puntos de enfoque con
aplicación internacional para el desarrollo y
evaluación de la eficacia del Sistema de Control
Cinco componentes del
Interno
control interno
Aclaración de la necesidad de establecer objetivos
de negocio como condición previa a los objetivos de
control interno
Criterios a utilizar en el Extensión de los objetivos de reporte más allá de los
proceso de evaluación de la informes financieros externos, a los de carácter
eficacia del Sistema de interno y a los no financieros tanto externos como
Control Interno internos
Uso del Juicio profesional Inclusión de una guía orientadora para facilitar la
para la evaluación de la supervisión del Control Interno sobre las
eficacia del Sistema de operaciones, el cumplimiento y los objetivos de
Control Interno reporte
6 www.auditool.org
Componentes Cambios Representativos
Se aclara que la evaluación de riesgos incluye la
identificación, análisis y respuesta a los riesgos
Se incluyen los conceptos de velocidad y
persistencia de los riesgos como criterios para
evaluar la criticidad de los mismos
Se considera la tolerancia al riesgo en la evaluación
de los niveles aceptables de riesgo
Se considera el riesgo asociado a las fusiones,
adquisiciones y externalizaciones
Se amplía la consideración del riesgo al fraude
Se indica que las actividades de control son
acciones establecidas por políticas y procedimientos
Se considera el rápido cambio y evolución de la
Actividades de Control tecnología
Se enfatiza la diferenciación entre controles
automáticos y Controles Generales de Tecnología
Se enfatiza la relevancia de la calidad de
información dentro del Sistema de Control Interno
Se profundiza en la necesidad de información y
comunicación entre la entidad y terceras partes
Información y
Se enfatiza el impacto de los requisitos regulatorios
Comunicación
sobre la seguridad y protección de la información
Se refleja el impacto que tiene la tecnología y otros
mecanismos de comunicación en la rapidez y
calidad del flujo de información
Se clarifica la terminología definiendo dos
categorías de actividades de monitoreo:
Actividades de Monitoreo – evaluaciones continuas y evaluaciones
Supervisión independientes
Se profundiza en la relevancia del uso de la
tecnología y los proveedores de servicios externos
Control interno
Las empresas deben implementar un sistema de control interno eficiente que les
permita enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la
administración y de los directivos desarrollar un sistema que garantice el cumplimiento
de los objetivos de la empresa y se convierta en una parte esencial de la cultura
organizacional. El Marco Integrado de Control Interno propuesto por COSO provee un
enfoque integral y herramientas para la implementación de un sistema de control
interno efectivo y en pro de la mejora continua.
7 www.auditool.org
Cada empresa, en el cumplimiento de su misión, debe alcanzar sus objetivos. Por
esta razón, los directivos y la administración deben articular sus objetivos, desarrollar
estrategias para lograrlos, identificar los riesgos relacionados para mitigarlos y cumplir
la estrategia planteada. De esta manera, el Marco Integrado de Control Interno es
diseñado para controlar los riesgos que puedan afectar el cumplimiento de los
objetivos, reduciendo dichos riesgos a un nivel aceptable. Es así como este Marco
afirma que el control interno proporciona razonables garantías para que las empresas
puedan lograr sus objetivos, y mantener y mejorar su rendimiento.
Cada empresa debe tener su propio sistema de control interno No pueden existir dos
empresas con el mismo sistema debido a que sus características cambian (industria,
leyes y regulaciones pertinentes, tamaño, naturaleza, entre otras).
En este sentido, el sistema de control interno debe orientarse a promover todas las
condiciones necesarias para que el equipo de trabajo dé su mayor esfuerzo con el fin
de lograr los resultados deseados, debido a que promueve el buen funcionamiento de
la organización. El concepto de responsabilidad toma gran importancia y se convierte
en un factor clave para el gobierno de las organizaciones, teniendo en cuenta que el
principal propósito del sistema de control interno es detectar oportunamente cualquier
desviación significativa en el cumplimiento de las metas y objetivos establecidos.
8 www.auditool.org
El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque
que presentan las características fundamentales de cada componente. Se caracteriza
por tener en cuenta los siguientes aspectos y generar diferentes beneficios:
9 www.auditool.org
Sin embargo, es importante aclarar que un eficaz sistema de control interno no
garantiza el éxito de una entidad. Este puede ayudar a la consecución de los objetivos
y suministrar información sobre el progreso de la entidad, pero el desempeño de la
administración y directivas y factores externos como condiciones económicas tienen
gran influencia en el éxito de la entidad. El control interno no puede evitar que se
aplique un deficiente criterio profesional o se adopten malas decisiones. Además, el
sistema de control interno puede garantizar solo una seguridad razonable en relación
con el cumplimiento de los objetivos de la organización. Las limitaciones siempre están
presentes e impiden que el Consejo de Administración y la dirección tengan una
seguridad absoluta. Sin embargo, estas limitaciones tienen que ser tenidas en cuenta
al momento de seleccionar, desarrollar y desplegar los controles, para que minimicen
en lo posible dichas limitaciones.
10 www.auditool.org
Objetivos
Cada entidad tiene una misión, la cual determina los objetivos y las estrategias
necesarias para cumplirla. Los objetivos pueden ser establecidos mediante un
proceso estructurado o informal dependiendo de la entidad, y junto con la evaluación
de los puntos fuertes y débiles de la entidad, y de las oportunidades y amenazas del
entorno, define una estrategia global.
11 www.auditool.org
• Objetivos de información/Reporting: estos objetivos se refieren a la
preparación de reportes para uso de la organización y los accionistas, teniendo
en cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan
la información financiera y no financiera interna y externa y abarcan aspectos
de confiabilidad, oportunidad, transparencia y demás conceptos establecidos
por los reguladores, organismos reconocidos o políticas de la entidad. La
presentación de informes a nivel externo da respuesta a las regulaciones y
normativas establecidas y a las solicitudes de los grupos de interés, y los
informes a nivel interno atienden a las necesidades internas de la organización
tales como la estrategia de la entidad, plan operativo y métricas de
desempeño.
Reporting Financiero
Externo Reporting No Financiero
• Cuentas
anuales
Externo
• Estados
financieros
• Informe de Control Interno
intermedios
• Publicación
de
• Memoria de sostenibilidad
resultados
• Plan estratégico
• Distribución
de
• Custodia de activos
utilidades
Reporting No Financiero
Reporting Financiero Interno Interno
• Estados
financieros
de
• Utilización de activos
las
divisiones
• Encuestas de satisfacción
• Cash-‐flow
/
Presupuesto
del cliente
• Cálculos
de
Covenants
• Indicadores clave de riesgo
• Reporting al consejo
" Relevancia
" Representación exacta
" Comparabilidad
" Verificabilidad
" Oportunidad
" Comprensibilidad
12 www.auditool.org
! Reporting no financiero externo: la dirección debe cumplir con las
regulaciones y estándares aplicables en la realización y publicación de
informes no financieros externos. Además:
El reporte interno:
13 www.auditool.org
A partir de los cinco componentes se puede abordar y analizar la realidad de la
organización obteniendo un diagnóstico organizacional en cuanto a estructura,
procesos, sistemas, procedimientos y recursos humanos. Existe una relación directa
entre los objetivos de la entidad, los componentes y la estructura organizacional que
es representada en forma de cubo de la siguiente manera:
OBJETIVOS
COSO 1992
ESTRUCTURA
Alcance
Organizacional
COMPONENTES
COSO 2013
Los cinco componentes deben funcionar de manera integrada para reducir a un nivel
aceptable el riesgo de no alcanzar un objetivo. Los componentes son
interdependientes, existe una gran cantidad de interrelaciones y vínculos entre ellos.
Así mismo, dentro de cada componente el marco establece 17 principios que
representan los conceptos fundamentales y son aplicables a los objetivos operativos,
de información y de cumplimiento. Los principios permiten evaluar la efectividad del
sistema de control interno.
14 www.auditool.org
Para determinar que el Sistema de Control Interno es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:
Debido a que cada principio es fundamental para los componentes, todos estos son
relevantes para todas las entidades; si un principio no está presente y funcionando, en
consecuencia el componente relacionado no está presente ni funcionando. Por el
contrario, todos los puntos de enfoque no son requeridos para valorar la efectividad del
sistema de control. La administración puede determinar que algunos de estos no son
relevantes y puede identificar y considerar otros.
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Establece el tono de la gerencia,
la Junta Directiva. La Alta
Gerencia y el personal
supervisor están comprometidos
con los valores y principios
éticos y los refuerzan en sus
actuaciones
1. La organización demuestra Establece estándares de
Entorno de compromiso con la conducta. Las expectativas de la
control integridad y los valores Junta Directiva y la Alta
éticos Dirección con respecto a la
integridad y los valores éticos
son definidos en los estándares
de conducta de la entidad y
entendidos en todos los niveles
de la organización y por los
proveedores de servicio externos
y socios de negocios
15 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Evalúa la adherencia a
estándares de conducta. Los
procesos están en su lugar para
evaluar el desempeño de los
individuos y equipos en relación
con los estándares de conducta
esperados de la entidad
Aborda y decide sobre
desviaciones en forma oportuna.
Las desviaciones de los
estándares de conducta
esperados en la entidad son
identificadas y corregidas
oportuna y adecuadamente
Establece las responsabilidades
de supervisión de la dirección.
La Junta Directiva identifica y
acepta su responsabilidad de
supervisión con respecto a
establecer requerimientos y
expectativas
Aplica experiencia relevante. La
Junta directiva define, mantiene
y periódicamente evalúa las
habilidades y experiencia
necesaria entre sus miembros
2. El consejo de para que puedan hacer
administración demuestra preguntas de sondeo de la Alta
independencia de la Dirección y tomar medidas
dirección y ejerce la proporcionales
supervisión del desempeño Conserva o delega
del sistema de control responsabilidades de
interno. supervisión
Opera de manera independiente.
La Junta Directiva tiene
suficientes miembros, quienes
son independientes de la
Administración y objetivos en
evaluaciones y toma de
decisiones
Brinda supervisión sobre el
Sistema de Control Interno. La
Junta Directiva conserva la
responsabilidad de supervisión
del diseño, implementación y
16 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
conducción del Control Interno
de la Administración:
– Entorno de Control: establece
integridad y valores éticos,
estructuras de supervisión,
autoridad y responsabilidad,
expectativas de competencia, y
rendición de cuentas a la Junta.
– Evaluación de Riesgos:
monitorea las evaluaciones de
riesgos de la administración para
el cumplimiento de los objetivos,
incluyendo el impacto potencial
de los cambios significativos,
fraude, y la evasión del control
interno por parte de la
administración.
– Actividades de Control: provee
supervisión a la Alta Dirección
en el desarrollo y cumplimiento
de las actividades de control.
– Información y Comunicación:
analiza y discute la información
relacionada con el cumplimiento
de los objetivos de la entidad.
– Actividades de Supervisión:
evalúa y supervisa la naturaleza
y alcance de las actividades de
monitoreo y la evaluación y
mejoramiento de la
administración de las
deficiencias.
Considera todas las estructuras
de la entidad. La Administración
y la Junta Directiva consideran
3. La dirección estable con la
las estructuras múltiples
supervisión del consejo, las
utilizadas (incluyendo unidades
estructuras, líneas de
operativas, entidades legales,
reporte y los niveles de
distribución geográfica, y
autoridad y responsabilidad
proveedores de servicios
apropiados para la
externos) para apoyar la
consecución de los
consecución de los objetivos
objetivos.
Establece líneas de reporte. La
Administración diseña y evalúa
las líneas de reporte para cada
17 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
estructura de la entidad para
permitir la ejecución de
autoridades y responsabilidades
y el flujo de información para
gestionar las actividades de la
entidad
Define, asigna y delimita
autoridades y responsabilidades.
La Administración y la Junta
Directiva delegan autoridad,
definen responsabilidades, y
utilizan procesos y tecnologías
adecuadas para asignar
responsabilidad, segregar
funciones según sea necesario
en varios niveles de la
organización:
– Junta directiva: conservar
autoridad sobre las decisiones
significativas y revisar las
evaluaciones de la
administración y las limitaciones
de autoridades y
responsabilidades.
– Alta Dirección: establece
instrucciones, guías, y control
habilitando a la administración y
otro personal para entender y
llevar a cabo sus
responsabilidades de control
interno.
– Administración: guía y facilita
la ejecución de las instrucciones
de la Alta Dirección dentro de la
entidad y sus sub-unidades.
– Personal: entiende los
estándares de conducta de la
entidad, los riesgos evaluados
para los objetivos, y las
actividades de control
relacionadas con sus respectivos
niveles de la entidad, la
información esperada y los flujos
de comunicación, y las
actividades de monitoreo
18 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
relevantes para el cumplimiento
de los objetivos.
– Proveedores de servicios
externos: cumple con la
definición de la administración
del alcance de la autoridad y la
responsabilidad para todos los
que no sean empleados
comprometidos
Establece políticas y prácticas.
Las políticas y prácticas reflejan
las expectativas de competencia
necesarias para apoyar el
cumplimiento de los objetivos
Evalúa la competencia y
direcciona las deficiencias. La
Junta Directiva y la
Administración evalúan la
competencia a través de la
organización y en los
proveedores de servicios
4. La organización demuestra externos de acuerdo con las
compromiso para atraer, políticas y prácticas
desarrollar y retener a establecidas, y actúa cuando es
profesionales competentes, necesario direccionando las
en concordancia con los deficiencias
objetivos de la organización Atrae, desarrolla y retiene
profesionales. La organización
provee la orientación y la
capacitación necesaria para
atraer, desarrollar y retener
personal suficiente y competente
y proveedores de servicios
externos para apoyar el
cumplimiento de los objetivos
Planea y se prepara para
sucesiones. La Alta Dirección y
la Junta Directiva desarrollan
planes de contingencia para la
asignación de la responsabilidad
importante para el control interno
Hace cumplir la responsabilidad
a través de estructuras,
autoridades y responsabilidades.
La Administración y la Junta
19 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Directiva establecen los
mecanismos para comunicar y
mantener profesionales
responsables para el
desempeño de las
responsabilidades de control
interno a través de la
organización, e implementan
acciones correctivas cuando es
necesario
Establece medidas de
desempeño, incentivos y
premios. La Administración y la
Junta Directiva establecen
medidas de desempeño,
incentivos, y otros premios
apropiados para las
responsabilidades en todos los
5. La organización define las niveles de la entidad, reflejando
responsabilidades de las dimensiones de desempeño
personas a nivel de control apropiadas y estándares de
interno para la consecución conducta esperados, y
de los objetivos considerando el cumplimiento de
objetivos a corto y largo plazo
Evalúa medidas de desempeño,
incentivos y premios para la
relevancia en curso. La
Administración y la Junta
Directiva alinean incentivos y
premios con el cumplimiento de
las responsabilidades de control
interno para la consecución de
los objetivos
Considera presiones excesivas.
La administración y la Junta
Directiva evalúan y ajustan las
presiones asociadas con el
cumplimiento de los objetivos así
como asignan
responsabilidades, desarrollan
medidas de desempeño y
evalúan el desempeño
Evalúa desempeño y premios o
disciplina los individuos. La
Administración y la Junta
20 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Directiva evalúan el desempeño
de las responsabilidades de
control interno, incluyendo la
adherencia a los estándares de
conducta y los niveles de
competencia esperados, y
proporciona premios o ejerce
acciones disciplinarias cuando
es apropiado
Objetivos Operativos:
" Refleja las elecciones de la
administración.
" Considera la tolerancia al
riesgo.
" Incluye las metas de
desempeño operativo y
financiero.
" Constituye una base para
administrar los recursos.
Objetivos de Reporte
Financiero Externo:
" Cumple con los estándares
contables aplicables.
" Considera la materialidad.
" Refleja las actividades de la
6. La organización define los
entidad.
objetivos con suficiente
Evaluación de Objetivos de Reporte no
claridad para permitir la
riesgos Financiero Externo:
identificación y evaluación
" Cumple con los estándares y
de los riesgos relacionados
marcos externos establecidos.
" Considera los niveles de
precisión requeridos.
" Refleja las actividades de la
entidad.
Objetivos de Reporte interno:
" Refleja las elecciones de la
administración.
" Considera el nivel requerido
de precisión.
" Refleja las actividades de la
entidad.
Objetivos de Cumplimiento:
" Refleja las leyes y
regulaciones externas.
" Considera la tolerancia al
21 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
riesgo.
Incluye la entidad, sucursales,
divisiones, unidad operativa y
niveles funcionales. La
organización identifica y evalúa
los riesgos a nivel de la entidad,
sucursales, divisiones, unidad
operativa y niveles funcionales
relevantes para la consecución
de los objetivos
Evalúa la consideración de
factores externos e internos en
7. La organización identifica
la identificación de los riesgos
los riesgos para la
que puedan afectar a los
consecución de sus
objetivos
objetivos en todos los
Envuelve niveles apropiados de
niveles de la entidad y los
administración. La dirección
analiza como base sobre la
evalúa si existen mecanismos
cual determina cómo se
adecuados para la identificación
deben gestionar
y análisis de riesgos
Analiza la relevancia potencial
de los riesgos identificados y
entiende la tolerancia al riesgo
de la organización
Determina la respuesta a los
riesgos. La evaluación de
riesgos incluye la consideración
de cómo el riesgo debería ser
gestionado y si aceptar, evitar,
reducir o compartir el riesgo
Considera varios tipos de fraude:
La evaluación del fraude
considera el Reporting
fraudulento, posible pérdida de
activos y corrupción
8. La organización considera La evaluación del riesgo de
la probabilidad de fraude al fraude evalúa incentivos y
evaluar los riesgos para la presiones
consecución de los objetivos La evaluación del riesgo de
fraude tiene en consideración el
riesgo de fraude por
adquisiciones no autorizadas,
uso o enajenación de activos,
alteración de los registros de
información, u otros actos
22 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
inapropiados.
La evaluación del riesgo de
fraude considera cómo la
dirección u otros empleados
participan en, o justifican,
acciones inapropiadas.
Evalúa cambios en el ambiente
externo. El proceso de
identificación de riesgos
considera cambios en los
ambientes regulatorio,
económico, y físico en los que la
entidad opera.
Evalúa cambios en el modelo de
negocios. La organización
considera impactos potenciales
de las nuevas líneas del
9. La organización idéntica y
negocio, composiciones
evalúa los cambios que
alteradas dramáticamente de las
podrían afectar
líneas existentes de negocios,
significativamente al sistema
operaciones de negocios
de control interno
adquiridas o de liquidación en el
sistema de control interno,
rápido crecimiento, el cambio de
dependencia en geografías
extranjeras y nuevas
tecnologías.
Evalúa cambios en liderazgo. La
organización considera cambios
en administración y respectivas
actitudes y filosofías en el
sistema de control interno.
Se integra con la evaluación de
riesgos. Las actividades de
control ayudan a asegurar que
las respuestas a los riesgos que
direccionan y mitigan los riesgos
10. La organización define y
son llevadas a cabo
Actividades de desarrolla actividades de
Considera factores específicos
control control que contribuyen a la
de la entidad. La administración
mitigación de los riesgos
considera cómo el ambiente,
hasta niveles aceptables
complejidad, naturaleza y
para la consecución de los
alcance de sus operaciones, así
objetivos
como las características
específicas de la organización,
23 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
afectan la selección y desarrollo
de las actividades de control
Determina la importancia de los
procesos del negocio. La
administración determina la
importancia de los procesos del
negocio en las actividades de
control
Evalúa una mezcla de tipos de
actividades de control. Las
actividades de control incluyen
un rango y una variedad de
controles que pueden incluir un
equilibrio de enfoques para
mitigar los riesgos teniendo en
cuenta controles manuales y
automatizados, y controles
preventivos y de detección
Considera en qué nivel las
actividades son aplicadas. La
administración considera las
actividades de control en varios
niveles de la entidad
Direcciona la segregación de
funciones. La administración
segrega funciones
incompatibles, y donde dicha
segregación no es práctica, la
administración selecciona y
desarrolla actividades de control
alternativas
Determina la relación entre el
uso de la tecnología en los
procesos del negocio y los
controles generales de
11. La organización define y tecnología: La dirección entiende
desarrolla actividades de y determina la dependencia y la
control a nivel de entidad vinculación entre los procesos
sobre la tecnología para de negocios, las actividades de
apoyar la consecución de los control automatizadas y los
objetivos Controles Generales de
tecnología
Establece actividades de control
para la infraestructura
tecnológica relevante: la
24 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Dirección selecciona y desarrolla
actividades de control diseñadas
e implementadas para ayudar a
asegurar la completitud,
precisión y disponibilidad de la
tecnología.
Establece las actividades de
control para la administración de
procesos relevantes de
seguridad: la dirección
selecciona y desarrolla
actividades de control diseñadas
e implementadas para restringir
los derechos de acceso, con el
fin de proteger los activos de la
organización de amenazas
externas.
Establece actividades de control
relevantes para los procesos de
adquisición, desarrollo y
mantenimiento de la tecnología:
la dirección selecciona y
desarrolla actividades de control
sobre la adquisición, desarrollo y
mantenimiento de la tecnología y
su infraestructura
Establece políticas y
procedimientos para apoyar el
despliegue de las directivas de la
administración: la administración
establece actividades de control
que están construidas dentro de
12. La organización despliega los procesos del negocio y las
las actividades de control a actividades del día a día de los
través de políticas que empleados a través de políticas
establecen las líneas estableciendo lo que se espera y
generales del control interno los procedimientos relevantes
y procedimientos que llevan especificando acciones
dichas políticas Establece responsabilidad y
rendición de cuentas para
ejecutar las políticas y
procedimientos: la
administración establece la
responsabilidad y rendición de
cuentas para las actividades de
25 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
control con la administración (u
otro personal asignado) de la
unidad de negocios o función en
el cual los riesgos relevantes
residen
Funciona oportunamente: el
personal responsable desarrolla
las actividades de control
oportunamente, como es
definido en las políticas y
procedimientos.
Toma acciones correctivas: el
personal responsable investiga y
actúa sobre temas identificados
como resultado de la ejecución
de actividades de control
Trabaja con personal
competente: personal
competente con la suficiente
autoridad desarrolla actividades
de control con diligencia y
continúa atención
Reevalúa políticas y
procedimientos: la
administración revisa
periódicamente las actividades
de control para determinar su
continua relevancia, y las
actualiza cuando es necesario
Identifica los requerimientos de
información: un proceso está en
ejecución para identificar la
información requerida y
esperada para apoyar el
13. La organización obtiene o
funcionamiento de los otros
genera y utiliza información
Información y componentes del control interno
relevante y de calidad para
comunicación y el cumplimiento de los
apoyar el funcionamiento del
objetivos de la entidad
control interno
Captura fuentes internas y
externas de información: los
sistemas de información
capturan fuentes internas y
externas de información
26 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Procesa datos relevantes dentro
de la información: los sistemas
de información procesan datos
relevantes y los transforman en
información
Mantiene la calidad a través de
procesamiento: los sistemas de
información producen
información que es oportuna,
actual, precisa, completa,
accesible, protegida, verificable y
retenida. La información es
revisada para evaluar su
relevancia en el soporte de los
componentes de control interno
Considera costos y beneficios: la
naturaleza, cantidad y precisión
de la información comunicada
están acorde con, y apoyan, el
cumplimiento de los objetivos
Comunica la información de
control interno: un proceso está
en ejecución para comunicar la
información requerida para
permitir que todo el personal
entienda y lleve a cabo sus
responsabilidades de control
interno
Se comunica con la Junta
14. La organización comunica directiva: existe comunicación
la información internamente, entre la administración y la Junta
incluidos los objetivos y Directiva; por lo tanto, ambas
responsabilidades que son partes tienen la información
necesarios para apoyar el necesaria para cumplir con sus
funcionamiento del sistema roles con respecto a los
de control interno objetivos de la entidad
Proporciona líneas de
comunicación separadas: separa
canales de comunicación, como
líneas directas de denuncia de
irregularidades, las cuales sirven
como mecanismos a prueba de
fallos para permitir la
comunicación anónima o
confidencial cuando los canales
27 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
normales son inoperantes o
ineficientes
Selecciona métodos de
comunicación relevantes: los
métodos de comunicación
consideran tiempo, público y la
naturaleza de la información
Se comunica con grupos de
interés externos: los procesos
están en funcionamiento para
comunicar información relevante
y oportuna a grupos de interés
externos, incluyendo accionistas,
socios, propietarios, reguladores,
clientes, analistas financieros y
demás partes externas
Permite comunicaciones de
entrada: canales de
comunicación abiertos permiten
los aportes de clientes,
consumidores, proveedores,
auditores externos, reguladores,
analistas financieros, entre otros,
15. La organización se
y proporcionan a la
comunica con los grupos de
administración y Junta Directiva
interés externos sobre los
información relevante.
aspectos clave que afectan
Se comunica con la Junta
al funcionamiento del control
Directiva: la información
interno
relevante resultante de
evaluaciones conducidas por
partes externas es comunicada a
la Junta Directiva.
Proporciona líneas de
comunicación separadas: separa
canales de comunicación, como
líneas directas de denuncia de
irregularidades, las cuales sirven
como mecanismos a prueba de
fallos para permitir la
comunicación anónima o
confidencial cuando los canales
normales son inoperantes o
ineficientes
Selecciona métodos de
28 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
comunicación relevantes: los
métodos de comunicación
consideran el tiempo, público, y
la naturaleza de la comunicación
y los requerimientos y
expectativas legales,
regulatorias y fiduciarias
Considera una combinación de
evaluaciones continuas e
independientes: la
administración incluye un
balance de evaluaciones
continuas e independientes
Considera tasa de cambio: la
administración considera la tasa
de cambio en el negocio y los
procesos del negocio cuando
selecciona y desarrolla
evaluaciones continuas e
independientes
Establece un punto de
referencia para el entendimiento:
16. La organización
el diseño y estado actual del
selecciona, desarrolla y
sistema de control interno son
realiza evaluaciones
usados para establecer un punto
Actividades de continuas y/o independientes
de referencia para las
supervisión – para determinar si los
evaluaciones continuas e
monitoreo componentes del sistema de
independientes
control interno están
Uso de personal capacitado: los
presentes y en
evaluadores que desarrollan
funcionamiento
evaluaciones continuas e
independientes tienen suficiente
conocimiento para entender lo
que está siendo evaluado
Se integra con los procesos del
negocio: las evaluaciones
continuas son construidas dentro
de los procesos del negocio y se
ajustan a las condiciones
cambiantes
Ajusta el alcance y la frecuencia:
la administración cambia el
alcance y la frecuencia de las
evaluaciones independientes
dependiendo el riesgo
29 www.auditool.org
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Evalúa objetivamente: las
evaluaciones independientes
son desarrolladas
periódicamente para
proporcionar una
retroalimentación objetiva
Evalúa resultados: la
Administración o la Junta
Directiva, según corresponda,
evalúa los resultados de las
17. La organización evalúa y
evaluaciones continuas e
comunica las deficiencias de
independientes
control interno de forma
Comunica deficiencias: las
oportuna a las partes
deficiencias son comunicadas a
responsables de aplicar
las partes responsables para
medidas correctivas,
tomar las acciones correctivas y
incluyendo la alta dirección y
a la Alta Dirección y la Junta
el consejo, según
Directiva, según corresponda
corresponda
Supervisa acciones correctivas:
la administración monitorea si
las deficiencias son corregidas
oportunamente
Entorno de control
Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como
la estructura organizacional, la división del trabajo y asignación de responsabilidades,
el estilo de gerencia y el compromiso.
Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida
financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este
componente tiene una influencia muy relevante en los demás componentes del
sistema de control interno, y se convierte en el cimiento de los demás proporcionando
disciplina y estructura.
30 www.auditool.org
Una organización que establece y mantiene un adecuado entorno de control es más
fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se
cuenta con:
Por esta razón, el Entorno de control está compuesto por el comportamiento que se
mantiene dentro de la organización, e incluye aspectos como la integridad y los
valores éticos de los recursos humanos, la competencia profesional, la delegación de
responsabilidades, el compromiso con la excelencia y la transparencia, la atmosfera
de confianza mutua, filosofía y estilo de dirección, la estructura y plan organizacional,
los reglamentos y manuales de procedimientos, las políticas en materia de recursos
humanos y el Comité de Control.
31 www.auditool.org
Por esta razón, se hace necesario no solo comunicar los valores éticos sino que
deben darse directrices específicas con respecto a lo que es correcto e incorrecto.
El Consejo de Administración y la Dirección deben demostrar la importancia de la
integridad y los valores éticos para el funcionamiento del Sistema de Control
Interno. El personal tiende a desarrollar las mismas actitudes de la alta gerencia;
dar un buen ejemplo es esencial pero no suficiente, por eso es necesario que la alta
dirección comunique los valores éticos y las normas de comportamiento a los
empleados y las defina en estándares de conducta. Esto permitirá establecer
procesos de evaluación de la actuación de los empleados e implementar los
correctivos necesarios.
La importancia del Tono desde lo alto (tone at the top) a través de la organización
es fundamental para el funcionamiento apropiado del sistema de control interno. Sin
un tono desde lo alto para apoyar una cultura fuerte de control interno, y la
conciencia de que el riesgo puede ser indeterminado, las respuestas a los riesgos
pueden ser inapropiadas, las actividades de control pueden ser mal definidas o no
llevadas a cabo, la información y la comunicación pueden fallar, y la
retroalimentación y comentarios de las actividades de supervisión pueden no ser
escuchados o tenidos en cuenta.
32 www.auditool.org
# Metas de desempeño que crean incentivos o presiones que comprometen el
comportamiento ético.
# Canales inadecuados, por medio de los cuales los empleados no pueden
expresar preguntas y hechos.
# Fallas al direccionar los controles que no existen o son inefectivos, que
ocasionan un desempeño pobre.
# Procesos inadecuados de investigación y resolución de presuntas malas
conductas.
# Función de auditoria interna pobre que no tienen la habilidad para detectar y
reportar conductas inapropiadas.
# Penalidades para conductas impropias que son aplicadas
inconsistentemente, y pierden así su valor disuasivo.
33 www.auditool.org
La Junta Directiva es responsable de supervisar y cuestionar objetivamente el trabajo
de la administración. Esta supervisión es apoyada por las estructuras y procesos
establecidos en los niveles de ejecución del negocio. De la misma manera, el Director
Ejecutivo y la Alta Dirección tienen la responsabilidad del desarrollo e implementación
del sistema de control interno. Dependiendo de las características de la organización
estas responsabilidades son llevadas a cabo.
Para llevar a cabo sus funciones adecuadamente, la Junta Directiva debe cumplir con
dos requisitos indispensables, independencia y competencia profesional.
Los miembros de la Junta Directiva deben contar con las siguientes capacidades y
habilidades:
34 www.auditool.org
# Conocimiento de las compensaciones e incentivos del mercado.
# Entendimiento de los sistemas y cambios tecnológicos y oportunidades.
35 www.auditool.org
Componente Actividades de supervisión de la Junta Directiva
viceversa.
# Evaluar y supervisar la naturaleza y alcance de las
actividades de control, cualquier control manual de la
Administración, y la evaluación y remediación de
deficiencias.
Actividades de
# Interactuar con la Administración, auditores internos y
Supervisión y
externos, y demás, para evaluar el nivel de conciencia
Monitoreo
de las estrategias de la entidad, objetivos específicos,
riesgos, e implicaciones de control asociadas con el
desarrollo del negocio, la infraestructura, las
regulaciones y demás factores.
36 www.auditool.org
• Delegación de responsabilidades: todos los miembros de la entidad son
responsables del control interno. El director general o presidente ejecutivo es el
primer responsable, debido a que es quien fija las pautas a seguir, e influye en la
integridad, la ética y los demás factores para la consecución de un entorno de
control favorable. El director designa al responsable de cada función y establece las
políticas y procedimientos de control interno específicos.
37 www.auditool.org
El nivel de formalidad que alcanza la estructura organizativa definida es
directamente proporcional al tamaño de la organización. Conforme al crecimiento
de las organizaciones , estas demandan una mayor especialización en los cargos,
lo que conlleva a los niveles de formalidad definidos. Existe una nueva tendencia a
derivar autoridad hacia los niveles inferiores, de manera que las decisiones quedan
en manos de quienes están más cerca de las operaciones, a modo de autogestión.
Esto es posible debido a que los sistemas de control interno han mejorado
sustancialmente, y al surgimiento de programas de aplicación cuya finalidad es el
registro de datos transaccionales que facilitan así el control. Toda delegación de
actividades conlleva a la necesidad de que los jefes examinen y aprueben cuando
corresponda el trabajo de sus subordinados, y que ambos cumplan con la debida
rendición de cuentas de sus responsabilidades y tareas tanto en tiempo como en
forma. También requiere que todo el personal conozca, responda y entienda cómo
su accionar repercute en el logro de los objetivos generales.
38 www.auditool.org
• Políticas y prácticas de los recursos humanos: el personal es el recurso más
valioso que posee cualquier organismo; por ende debe ser tratado y conducido de
forma tal que se consiga su mayor rendimiento. Debe procurarse su satisfacción y
realización personal en el trabajo que realiza, tendiendo a que este se enriquezca.
Para lograr este objetivo la dirección debe realizar diferentes actividades al
momento de selección, capacitación, rotación y promoción del personal. Así mismo,
cuando se aplican sanciones disciplinarias.
Es importante que el personal este bien preparado para hacer frente a nuevos retos
a medida que las empresas se enfrentan a cambios y se hacen más complejas,
debido a los rápidos cambios que se producen en el mundo de la tecnología y al
aumento de la competencia. La instrucción y formación deben preparar al personal
para desarrollar su trabajo eficazmente, lo que al mismo tiempo permitirá que la
entidad ponga en marcha iniciativas de calidad. Este proceso debe ser continuo.
39 www.auditool.org
! Proporcionar incentivos para motivar y reforzar los niveles esperados de
desempeño y conducta deseada, incluyendo capacitación y acreditación según
sea apropiado.
40 www.auditool.org
Medidas de Consideraciones
éxito
• Considerar todos los niveles del personal para apoyar el
cumplimiento de los objetivos de la entidad.
• Considerar las múltiples dimensiones de las conductas y los
Objetivos claros
rendimientos esperados de la organización, proveedores de
servicios externos, y socios; y definir los objetivos e
incentivos y presiones relacionados.
• Comunicar y reafirmar los objetivos de la entidad y cómo se
espera que cada área y nivel de la organización apoye el
cumplimiento de los objetivos.
Implicaciones
• Identificar y discutir eventos que el mercado ha premiado o
definidas
penalizado en el pasado.
• Comunicar las consecuencias del incumplimiento de los
objetivos específicos de la entidad.
• Definir métricas para transformar los datos desiguales en
información significativa en el rendimiento.
Métricas • Medir la conducta esperada frente a la real y el impacto de
significativas las desviaciones, tanto positivo como negativo.
• Evaluar el impacto esperado sobre los objetivos de la
entidad.
• Ajustar regularmente las medidas de desempeño basadas
Ajuste a los en una evaluación sistemática y continua del impacto
cambios potencial de los riesgos, de cómo estos evolucionan, así
como la cuantificación de las compensaciones asociadas.
Evaluación de riesgos
Este componente identifica los posibles riesgos asociados con el logro de los objetivos
de la organización. Toda organización debe hacer frente a una serie de riesgos de
origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a
las entidades en diferentes sentidos, como en su habilidad para competir con éxito,
mantener una posición financiera fuerte y una imagen pública positiva. Por ende, se
entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la
organización. De esta manera, la organización debe prever, conocer y abordar los
riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen,
analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base
para determinar cómo se gestionaran los riesgos.
41 www.auditool.org
Principio 6: especifica objetivos relevantes
Para determinar si los objetivos son pertinentes, la administración debe considerar los
siguientes aspectos:
• Políticas y procedimientos.
• Aprobaciones y autorizaciones.
• Conciliaciones y verificaciones.
• Seguridad de activos.
• Segregación de funciones.
• Identificación de eventos.
• Valoración de riesgos.
• Respuesta al riesgo.
42 www.auditool.org
El proceso de identificación de riesgos debe ser integral y completo y considerar todas
las interacciones significativas de bienes, servicios e información, internamente y entre
la entidad y sus principales socios y proveedores de servicios externos.
Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto
internos como externos. Una vez identificados estos factores se puede considerar su
relevancia e importancia, y si es posible relacionarlos con riesgos y actividades
específicas.
43 www.auditool.org
• Riesgos internos: riesgos referentes a la información financiera, a sistemas de
información defectuosos, a pocos o cuestionables valores éticos del personal, a
problemas con las aptitudes, actitudes y comportamiento del personal.
Los riesgos deben ser claramente identificados y esto se realiza mediante un mapeo
de riesgos que incluye la especificación de los procesos claves de la organización, la
identificación de los objetivos generales y particulares, y las amenazas y riesgos que
pueden impedir que estos se cumplan. También es necesario llevar a cabo una
evaluación de riesgos a nivel de transacciones, lo que permite tener un nivel aceptable
de riesgo en la entidad.
44 www.auditool.org
Debido a que las condiciones económicas, industriales, legislativas y operativas
cambian constantemente, es necesario disponer de mecanismos para identificar y
afrontar los riesgos asociados. En una organización no existe forma de reducir los
riesgos a cero. Debido a esto se pueden distinguir dos tipos de riesgos: riesgos
inherentes y el riesgo residual. El riesgo inherente es el riesgo para el cumplimiento de
los objetivos de la entidad en la ausencia de las acciones de la administración para
modificar su probabilidad o impacto; y el riesgo residual es el que permanece después
de que la administración lleva a cabo sus respuestas a los riesgos.
Categoría Descripción
Ninguna acción es tomada para modificar la probabilidad o
Aceptación
impacto del riesgo
Anulación Salida de actividades que dan lugar a riesgos
Acciones tomadas para reducir la probabilidad o impacto del
Reducción
riesgo
Reducir la probabilidad o impacto del riesgo, transfiriéndolo o
Compartir
compartiendo una parte del riesgo
Tolerancia al riesgo
• Reporting fraudulento.
• Custodia de activos.
• Corrupción.
45 www.auditool.org
El reporte fraudulento se presenta cuando los estados financieros son preparados
inadecuadamente con omisiones y declaraciones erróneas y falsas. Esto sucede por
diferentes irregularidades que pueden presentarse en la entidad. El Sistema de Control
Interno debe prevenir o detectar oportunamente cualquier omisión o información
errónea en los estados financieros por fraude o error.
Como parte del proceso de valoración de riesgos, la organización debe identificar las
diversas maneras como puede ocurrir la presentación fraudulenta de reportes,
considerando:
• El sesgo de la Administración.
• Grado de estimados y juicios en la presentación de reportes externos.
• Esquemas de fraude y escenarios comunes para los sectores de industria y los
mercados en los cuales la entidad opera.
• Regiones geográficas donde la entidad hace negocios.
• Incentivos que pueden motivar el comportamiento fraudulento.
• Naturaleza de la tecnología y capacidad de la administración para manipular la
información.
• Transacciones inusuales o complejas sujetas a influencia importante de la
administración.
• Vulnerabilidad ante la incapacidad de la Administración para evitar controles y
esquemas potenciales para eludir las actividades de control existentes.
• Incentivos y presiones.
• Oportunidad.
• Actitudes y justificaciones.
46 www.auditool.org
Principio 9: identifica y analiza cambios importantes
Actividades de control
47 www.auditool.org
Principio 10: selecciona y desarrolla actividades de control
Los controles preventivos son diseñados para evitar eventos no deseados, mientras
que los controles de detección son diseñados para identificar y descubrir eventos no
deseados después de que han ocurrido.
48 www.auditool.org
Algunos tipos de actividades de control son:
49 www.auditool.org
! Segregación de funciones: es uno de los controles internos más importantes y
efectivos. Todas las actividades de autorizar, ejecutar, registrar y comprobar una
transacción deben ser claramente segregadas y diferenciadas. La segregación de
responsabilidades es fundamental para mitigar el riesgo de fraude, debido a que lo
reduce a niveles aceptables.
! Acceso restringido a los recursos, activos y registros: los accesos deben estar
protegidos por mecanismos de seguridad y limitados a las personas autorizadas.
Estas personas tienen la responsabilidad sobre los mismos accesos. Todo activo de
valor para la organización debe asignarse a un responsable para su custodia y,
además, debe contar con las protecciones adecuadas, como seguros, almacenaje,
sistemas de alarma, etc. Deben estar debidamente registrados y periódicamente se
deben verificar las existencias físicas y registros contables para controlar su
coincidencia. Estos mecanismos de protección cuestan tiempo y dinero, por lo que
se deben analizar cuidadosamente los riesgos que puedan afectar los activos de la
organización, como robo, mal uso, destrucción, y realizar una comparación con los
costos del control que se quiera implementar.
! Rotación del personal en las tareas claves: la idea es que ningún empleado
tenga la posibilidad de cometer algún tipo de irregularidad por un tiempo
prolongado al realizar su tarea. Para esto, los empleados deben rotar
periódicamente con otros empleados dentro de la organización, mecanismo que
muchas veces no se utiliza.
50 www.auditool.org
La auditoría interna hace las veces de un representante de la autoridad superior en
cuanto a vigilar el adecuado funcionamiento del sistema, informando de forma
oportuna de las ocurrencias de cualquier situación indeseada.
51 www.auditool.org
• Informe de resultados: los reportes sobre las calificaciones y evaluaciones
realizadas, con base en los resultados de los talleres, constituyen la base para el
análisis que realiza la Gerencia junto con el Departamento de Auditoría Interna,
cuyo resultado incluye las áreas o acciones a tomar que consideren necesarias
para mejorar la gestión. Las gerencias de cada departamento reciben un informe
detallado de la autoevaluación de control, el cual brinda una visión general de los
controles formales e informales, y también reciben un reporte del perfil de
confianza, el cual contrasta la evaluación de los controles de cada componente con
el nivel general de la totalidad de toda la organización. Este proceso permite
obtener información valiosa sobre los controles potenciales a implementar. La
auditoría adquiere un conocimiento integral de las operaciones de la organización y
para efectos de revisiones posteriores ayuda a identificar las prioridades en el
proceso de planeación de las actividades que se requieran.
52 www.auditool.org
! Control del sistema de información: para asegurar el correcto funcionamiento y la
confiabilidad del procesamiento de transacciones el sistema de información debe
ser controlado debidamente. Los sistemas de información deben contar con
mecanismos de seguridad que alcancen a las entradas, los procesos, el
almacenamiento y las salidas, con una flexibilidad que permita cambios o
modificaciones cuando sea necesario. El sistema debe dar apoyo y controlar todas
las actividades de la organización, así como registrar y supervisar las actividades y
eventos que ocurran, además de mantener registros financieros.
53 www.auditool.org
El área de sistemas debe estar definida como un sector autónomo que no
supervisa ni es supervisado por ninguna de las áreas usuarias.
54 www.auditool.org
! Acciones correctivas: se deben tomar acciones correctivas cuando sea
apropiado.
! Competencia: las actividades de control deben ser implementadas por personal
competente con la suficiente autoridad para desarrollarla. Esta competencia
dependerá de la actividad de control y su complejidad.
! Evaluación periódica: las políticas y procedimientos deben ser evaluados
constantemente para determinar su relevancia y efectividad, debido a los
cambios en las personas, procesos y tecnología que pueden reducir la
efectividad o hacer algunas actividades redundantes.
El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente hace
referencia a la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información.
La información está compuesta por los datos que se combinan y sintetizan con base
en la relevancia para los requerimientos de información. Es importante que la
dirección disponga de datos fiables a la hora de efectuar la planificación, preparar
presupuestos, y demás actividades. Es por esto que la información debe ser de
calidad y tener en cuenta los siguientes aspectos:
55 www.auditool.org
La comunicación es el proceso continuo e iterativo de proporcionar, compartir y
obtener la información necesaria, relevante y de calidad, tanto interna como
externamente. La comunicación interna es el medio por el cual la información se
difunde a través de toda la organización, que fluye en sentido ascendente,
descendente y a todos los niveles de la entidad. Esto hace posible que el personal
pueda recibir de la Alta Dirección un mensaje claro de las responsabilidades de
control. La comunicación externa tiene dos finalidades: comunicar de afuera hacia el
interior de la organización información externa relevante, y proporcionar información
interna relevante de adentro hacia afuera, en respuesta a las necesidades y
expectativas de grupos de interés externos.
56 www.auditool.org
Fuentes de Datos Internos Datos Internos
• Cambios organizacionales.
• Comunicaciones por correo – e-mail
• Experiencias de producción de
• Inspecciones del procesamiento de la
calidad y a tiempo.
planta de producción.
• Acciones en respuesta a las
• Minutas o notas de los encuentros del
métricas de consumo de energía.
comité operativo.
• Horas incurridas en proyectos
• Sistema de reporte en tiempo del
basados en tiempo.
personal.
• Número de unidades enviadas en
• Reportes de los sistemas de
un mes.
fabricación.
• Factores que impactan en las tasas
• Respuestas a las encuestas de
de deserción de clientes.
clientes.
• Quejas del comportamiento del
• Líneas directas para informantes.
administrador.
Fuentes de Datos Externos Datos Externos
• Productos enviados por
• Datos recibidos de los proveedores de manufactura contratada.
servicios externos. • Información de productos
• Reportes de investigación de la competitivos.
industria. • Métricas del mercado y la industria.
• Publicación de ganancias de • Requerimientos nuevos o
compañías del mismo sector. ampliados.
• Entes regulatorios. • Opiniones acerca de la entidad.
• Medios sociales y blogs. • Evolución de las preferencias de
• Ferias. clientes.
• Líneas directas para informantes. • Declaraciones de uso incorrecto de
fondos o sobornos.
Sistemas de información
57 www.auditool.org
Otro factor importante es la calidad de la información, la cual debe cumplir con las
siguientes características:
! Accesible
! Apropiada
! Actual
! Protegida
! Conservada
! Suficiente
! Oportuna
! Válida
! Verificable
Las comunicaciones deben ser regulares y frecuentes para que la Junta Directiva
entienda los resultados de las evaluaciones continuas e independientes de la
Administración y el impacto de sus resultados sobre la consecución de los objetivos, y
que les permita responder adecuada y oportunamente en caso de un control interno
inefectivo.
58 www.auditool.org
Canales de comunicación
Métodos de comunicación
La organización se comunica con los grupos de interés externos en relación con los
aspectos que afectan el funcionamiento del control interno. La organización debe
desarrollar e implementar controles que faciliten la comunicación externa. Este
proceso debe incluir las políticas y procedimientos para obtener y recibir información
de partes externas, y compartir dicha información internamente.
La comunicación con terceras partes permite que estas entiendan eventos, actividades
y circunstancias que puedan afectar su interacción con la entidad. Al mismo tiempo, la
información que la entidad pueda recibir de terceras partes puede proporcionar
información importante sobre el sistema de control interno.
59 www.auditool.org
! Preguntas de los vendedores relacionadas con la oportunidad o falta de pagos
para la venta de bienes.
! Publicaciones en organizaciones patrocinadoras o sitios web de medios
sociales o herramientas de comunicación.
60 www.auditool.org
Las evaluaciones independientes se ejecutan periódicamente y pueden variar en
alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de las
evaluaciones continuas, y otras consideraciones de la Dirección. Estas evaluaciones
no están incluidas en los procesos del negocio, pero permiten determinar si cada uno
de los componentes está presente y funcionando. Las evaluaciones incluyen
observaciones, investigaciones, revisiones y exámenes, apropiados para determinar si
los controles para llevar a cabo los principios a través de la entidad son diseñados,
implementados y conducidos.
# Actividades de monitoreo.
# Otros componentes del sistema de control interno.
# Partes externas.
61 www.auditool.org
• Deficiencia de control interno: defecto en un componente y en los principios
relevantes, que reduce la probabilidad de que la entidad logre sus objetivos.
• Deficiencia importante/mayor: deficiencia del control interno o combinación
de deficiencias que de manera severa reducen la probabilidad de que la
entidad pueda lograr sus objetivos. También se presenta cuando uno o más
componentes no están presentes o funcionando.
62 www.auditool.org
• Establecer una segregación de funciones de manera que se ejerza una
verificación recíproca.
• Comparar los datos registrados por los sistemas de información con los activos
físicos.
• Hacer seguimiento de las recomendaciones propuestas por los auditores
internos y externos para mejorar los controles internos. Las evaluaciones
realizadas pueden identificar posibles deficiencias que pueden ser corregidas
mediante las vías de actuación propuestas.
Partes interesadas
El Consejo de Administración
Los miembros del Consejo junto con la Alta dirección deben analizar el Sistema de
Control Interno de la entidad y efectuar su supervisión. La Alta Dirección rinde cuentas
por el control interno al Consejo de Administración, y este debe establecer las políticas
y expectativas sobre cómo deben supervisar los miembros del Consejo el control
interno. El Consejo debe conocer los riesgos para la consecución de los objetivos de la
entidad, las evaluaciones de las deficiencias del control interno, las medidas
adoptadas por la Dirección para mitigar dichos riesgos y deficiencias, y cómo la
Dirección evalúa el sistema de Control Interno.
63 www.auditool.org
Usualmente, el Consejo de Administración actúa a través de comités o comisiones
delegadas. Esto depende de la jurisdicción y naturaleza de la organización. El
siguiente diagrama presenta un ejemplo de la estructura del Consejo de
Administración:
Consejo
de
Administración
Alta Dirección
64 www.auditool.org
Otros miembros de la dirección y del personal
Los directivos y demás personal de la entidad deben revisar los cambios de la nueva
versión del Marco Integrado de Control Interno 2013, y evaluar las implicaciones en el
actual Sistema de Control Interno de la entidad.
Auditores internos
Deben revisar los planes de auditoría y evaluar los cambios en el Marco para
considerar las posibles consecuencias en los planes de auditoría, en las evaluaciones
y cualquier información generada sobre el Sistema de Control Interno. Las actividades
de auditoría deben ser llevadas a cabo por profesionales competentes y en alineación
con los riesgos relevantes para la entidad.
Auditores externos
Actividades de
Evaluación de Monitoreo
control
riesgos
Supervisión Marco Integrado de
Control Interno
65 www.auditool.org
El modelo de negocios inicia con el gobierno, el cual incluye la visión y misión de la
organización, y la supervisión del Consejo de Administración de la planificación y las
operaciones de la empresa. También se incluyen las actividades de la Dirección para
garantizar la efectividad del establecimiento de la estrategia y demás procesos de
gestión de la organización. Un gobierno efectivo asegura la responsabilidad, la
rendición de cuentas, la equidad y transparencia en las relaciones de la organización
con sus diferentes grupos de interés (accionistas, prestamistas, clientes, proveedores,
empleados, gobiernos, reguladores y comunidades en la que opera la organización).
Dentro del modelo de negocios hay cuatro elementos que se basan en el círculo
Deming: planear, hacer, verificar y actuar (plan, do, check, act cycle). En el modelo se
presentan como planificación del negocio, ejecución, monitoreo y adaptación.
66 www.auditool.org
• Adaptación: describe los procesos organizativos, mediante los cuales los
problemas identificados a través de las actividades de monitoreo exigen
acciones de seguimiento y corrección de la administración, y son traducidos a
cambios ejecutables en la estrategia corporativa, plan de negocios, o tácticas
de ejecución. La adaptación es esencial cuando se considera la capacidad de
recuperación y agilidad de la empresa, elementos vitales para el éxito en un
entorno de negocios que cambia rápidamente.
67 www.auditool.org
Formulario de evaluación de los principios
68 www.auditool.org
Formulario por cada componente
69 www.auditool.org
Formulario de resumen de deficiencias de control interno
Aporta un registro de todas las deficiencias del Control Interno que se han encontrado,
y que se pueden aprovechar en la evaluación de los componentes y principios.
70 www.auditool.org
Anexos
COMPONENTE CARACTERÍSTICA SÍ NO
Los funcionarios conocen la normatividad vigente
que regula su conducta
Se enfatiza en la importancia de la integridad y el
comportamiento ético, respetando los códigos de
conducta
Existe un código de conducta que recopila los
valores y principios éticos que promueve la entidad y
se ha dado a conocer a todo el personal
Los funcionarios se comportan de acuerdo con el
código de conducta establecido
Se ha efectuado un análisis de las competencias
requeridas por el personal para desempeñar
adecuadamente sus funciones
Existe un plan de capacitación continuo que
contribuye al mejoramiento de las competencias del
personal
La Dirección demuestra un compromiso permanente
Entorno de control con el Sistema de Control Interno y con los valores
éticos del mismo
Las decisiones de la entidad se toman luego de que
se realizado un cuidadoso análisis de los riesgos
asociados
Existe un compromiso permanente hacia la
elaboración responsable de información financiera,
contable y de gestión
La organización cuenta con una estructura
organizativa que manifiesta claramente la relación
jerárquica funcional
Existe un diagrama de la estructura organizativa
El personal conoce los objetivos de la organización y
cómo su función contribuye al logro de los mismos
Existe una clara asignación de responsabilidades
Existen procedimientos definidos para la promoción,
selección, capacitación, evaluación, compensación,
y sanción del personal
La misión de la entidad es conocida y comprendida
por la Dirección y el personal
Evaluación de Los objetivos establecidos concuerdan con la misión
riesgos de la entidad
Los objetivos son conocidos y comprendidos por
71 todo el personal de la entidad
71
71 www.auditool.org
COMPONENTE CARACTERÍSTICA SÍ NO
Los objetivos particulares de los procesos
sustantivos de la entidad se encuentran identificados
Las herramientas de medición del grado de
cumplimiento de los objetivos han sido definidas
Los riesgos tanto internos como externos que
interfieren en el cumplimiento de los objetivos han
sido identificados
Existen mecanismos de identificación de riesgos
adecuados y eficaces
Se tienen en cuenta las observaciones y
recomendaciones de auditoria anteriores
Existe una estimación de riesgos, considerando la
probabilidad de ocurrencia e impacto
Las tareas y responsabilidades vinculadas a la
autorización, aprobación, procesamiento y registro,
pagos o recepción de fondos, auditoría y custodia de
fondos, valores o bienes de la organización están
asignadas a diferentes personas
Las condiciones bancarias son realizadas por
personas ajenas al manejo de las cuentas bancarias
Existe un flujo de información adecuado entre las
distintas áreas de la entidad
Los funcionarios son conscientes de cómo sus
acciones influyen en toda la entidad
Existen documentos acerca de la estructura de
control interno, y están disponibles y al alcance de
todo el personal
Los procedimientos de control aseguran que las
tareas son realizadas exclusivamente por los
Actividades de funcionarios que tienen asignada esa función
control La delegación de funciones y tareas se encuentran
dentro de los lineamientos establecidos por la
dirección
Las transacciones de la organización son
registradas oportuna y adecuadamente
Solo las personas autorizadas tienen acceso a los
recursos y activos de la organización
Solo las personas autorizadas tienen acceso a los
registros y datos de la organización
Los funcionarios se rotan en las tareas que pueden
dar lugar a irregularidades
Existen procedimientos que aseguran el acceso
autorizado a los sistemas de información
Los recursos tecnológicos son regularmente
evaluados con el fin de corroborar que cumplen con
los requisitos de los sistemas de información
Existen indicadores y criterios para la medición de la
72
72 www.auditool.org
COMPONENTE CARACTERÍSTICA SÍ NO
gestión
Si se encuentran desvíos con lo previsto, se toman
las medidas correctivas apropiadas
Existen manuales de procedimientos para los
procesos sustantivos de la organización
Están definidos los distintos reportes que deben
remitirse a los distintos niveles internos para la toma
de decisiones
La información es apropiada de acuerdo con los
niveles de autoridad y responsabilidad asignados
La información circula en todos los sentidos dentro
de la organización y está disponible
Los sistemas de información son revisados
continuamente con el fin de comprobar si es eficaz
Sistemas de para la toma de decisiones, y la información
información y elaborada sigue siendo relevante para los objetivos
comunicación de la organización
La dirección es consciente de la importancia del
sistema de información organizacional
Existen mecanismos que aseguran la comunicación
en todos los sentidos
El sistema de comunicación proporciona
oportunamente a todos los usuarios la información
necesaria para cumplir con sus responsabilidades
Existen canales de comunicación adecuados con
terceros y partes externas
El Sistema de Control Interno es evaluado
periódicamente por la Dirección con el fin de revisar
su eficacia y vigencia
Supervisión del
Existen herramientas definidas de autoevaluación
sistema de control
que permiten evaluar el Sistema de Control Interno
- Monitoreo
Se dispone de la información adecuada sobre si se
están logrando los objetivos operacionales de la
organización
Se cumplen las leyes y normatividad relevantes
73
73 www.auditool.org
B. Lista de chequeo – Actualizando el Sistema de Control Interno
Acción Sí No
Crear un equipo y plan de trabajo: los directivos y la Administración deben
trabajar en equipo para lograr implementar y mantener un Sistema de
Control Interno efectivo y actualizado. Para esto deben establecer un plan de
trabajo que les permita estar atentos al logro de los objetivos y al progreso.
Utilizar el enfoque de bloque – Cubo: usar los cinco componentes del
Marco Integrado de Control Interno (entorno de control, evaluación de
riesgos, actividades de control, sistemas de información y comunicación, y
supervisión). De esta manera, se debe enfocar en los principios de cada
componente y los puntos de enfoque de cada principio.
Construir/trabajar a partir de lo que se está haciendo en la actualidad:
las empresas que tienen un Sistema de Control Interno efectivo y eficaz
pueden iniciar el proceso de actualización a partir de este, y redefinir los
procesos de control ayudándose de los principios y puntos de enfoque.
Esquematizar los componentes y principios ayuda a tener una visión más
clara del proceso.
Poner atención a los puntos de enfoque: cada principio está acompañado
de puntos de enfoque. Aunque no todos son aplicables en todas las
circunstancias, estos presentan una visión clara para la implementación y
evaluación del Sistema de Control Interno.
Uso de las herramientas ilustrativas y control interno del reporte
financiero externo: el Marco Integrado de Control Interno incluye
herramientas ilustrativas para evaluar la efectividad del Sistema de Control
Interno y un compendio de enfoques y ejemplos de control interno del
reporte financiero externo, los cuales brindan importantes ejemplos e ideas
para la aplicación del marco a una situación específica.
Enfocarse al rol de las tecnologías de información (TI): los cambios
constantes en la tecnología llevaron a la actualización del Marco Integrado
de Control Interno, lo que hace necesario que las empresas también estén al
tanto de los desarrollos en tecnología para implementarlos en los sistemas
de control interno.
Buscar el valor agregado: la implementación del Marco Integrado de
Control Interno no se debe hacer solo por cumplir con unos requerimientos
sino que es una oportunidad de mejorar la efectividad e incrementar la
eficiencia del Sistema de Control Interno.
Realizar el cambio: la versión del Marco Integrado de Control Interno de
1992 será sustituida por la nueva versión lanzada en 2013. Sin embargo,
este marco no es requerimiento para que las empresas inicien el cambio,
pero cada empresa debe indicar qué versión está implementando.
74
74 www.auditool.org
Referencias
75
75 www.auditool.org