Investigacion Control Interno Coso Iii Pymes

INTRODUCCIÓN
Para las organizaciones es de mucha importancia tener los controles internos

adecuados ya que de esto depende, que las operaciones se efectúen de manera
correcta. Toda organización tiene riesgos, los que deben ser disminuidos con la
adopción de controles.
El presente trabajo de investigación pretende demostrar que el modelo COSO III pymes
es un instrumento eficaz en la evaluación del control interno de las organizaciones, así
como reconocer que tal modelo es no solo de ayuda para auditores, sino que para la
gerencia de las organizaciones, con el fin de identificar los diferentes riesgos y la mejor
practica para disminuirlo o eliminaros.
El presente está dirigido a las personas que tengan interés en conocer o en ampliar sus
conocimientos acerca del modelo COSO el cual ha estado en el medio de muchos años
pero en Guatemala es muy poco conocido y no se tiene mucha bibliografía disponible
acerca del tema.
El control interno no tiene el mismo significado para las personas, esto puede dificultar
su comprensión dentro de una organización. Resulta importante establecer un marco
que permita obtener una definición común. El control interno es un proceso llevado a
cabo por las personas de una organización, diseñado con el fin de proporcionar un
grado de seguridad "razonable" para la consecución de sus objetivos, dentro de las
siguientes categorías: Eficiencia y eficacia de la operatoria, Fiabilidad de la información
financiera, Cumplimiento de las leyes y normas aplicables.
El presente trabajo consta de cuatro capítulos donde se desarrolla la evaluación del

COSO I, II Y III, finalizando con un caso práctico aplicado a una pequeña empresa
referente al coso III, cada uno desarrolla cada uno de estos temas y describe cuales
son los cambios o diferencias de cada uno.
Universidad de San Carlos de Guatemala
Seminario de Integración Profesional
Evaluación de Control Interno según criterios Coso III PYMES
CAPITULO I
1. PREFACIO A LA AUDITORIA INTERNA
1.1. DEFINICION
La Auditoría Interna es un recurso gerencial; por la creciente complejidad y

refinamiento del papel gerencial, dicho recurso debe ser igualado con un
crecimiento equivalente en el profesionalismo y capacidad, es por ello que se
hace necesario consolidar y comunicar los conocimientos y experiencias que se
han dado en el campo de la Auditoría Interna para beneficio de la profesión en
Guatemala.
En nuestro país la Auditoría Interna nació como una necesidad de las

administraciones en los años 30 para evaluar el trabajo de lo Tenedores de libros
y se enfocó a revisar los libros y registros de contabilidad. Posteriormente en
1937 se fundó la Facultad de Ciencias Económicas en la Universidad de San
Carlos de Guatemala, de la que egresaron profesionales en el área contable y
con conocimientos de economía, administración y finanzas, lo cual significó un
aporte sustancial para el apoyo de las administraciones y el desarrollo del país.
Sin embargo, en algunos sectores aún se piensa que el personal de auditoría
está formado por personas a quienes se les llama sólo cuando hay dificultades,
como simples funcionarios cuya labor es servir y cuya perspectiva es limitada. A
pesar de ello, la concepción del Auditor Interno es amplia, la función se extiende
más allá de las pruebas de cumplimiento de los procedimientos establecidos
hasta la evaluación de qué tan bien funcionan los controles.
El Instituto Guatemalteco de Contadores Públicos y Auditores (IGCPA), consiente
de la necesidad de contar con guías que permitan a los profesionales de la
Contaduría Pública y que se desenvuelven en el ámbito de la Auditoría Interna
desarrollar adecuadamente su trabajo, creó la COMISION DE AUDITORIA
INTERNA.
3
En ese sentido, el presente documento se constituye en la primera guía, emitida

por la Comisión de Auditoría Interna. Estas guías nó son de observancia
obligatoria, sino que se pretende sean directrices para el Auditor que se
desempeña en Auditoría Interna.
1.2. CLASIFICACION DE LA AUDITORIA
1.2.1. En base a la posición del auditor.
1.2.1.1. Auditoría interna
La Auditoría Interna forma parte de la estructura organizativa de la empresa y

debe estar ubicada organizacionalmente a un nivel jerárquico, que le permita
cumplir con los objetivos que se le asignan. La Auditoría Interna debe mantener
independencia con relación a las actividades que audita, por lo tanto, cuando la
Auditoría Interna se involucra en el proceso operativo deja de realizar funciones
de auditoría interna y se convierte en una contraloría, control de calidad,
supervisión, etc. En Guatemala, es común encontrar la posición de la Auditoría
Interna reportando a: Junta Directiva, Gerencia General o Gerencia Financiera;
sin embargo, la Auditoría Interna debe reportar a la Junta Directiva, Consejo de
Administración o Administrador único para abarcar todas las áreas de la
empresa.
1.2.1.2. Auditoría Externa
La Auditoría Externa tiene como principal propósito examinar los estados

financieros de una entidad durante un período determinado, con el objetivo de
emitir una opinión sobre la razonabilidad de los mismos, mediante la aplicación
de las Normas de Auditoría Generalmente Aceptadas, determinándose si en su
preparación se observaron Principios de Contabilidad Generalmente Aceptados.
La Auditoría Externa debe realizarla un Auditor o firma de Auditores
independientes, con capacidad y competencia profesional.
4
1.2.2. En base a su objetivo
1.2.2.1. Auditoría financiera.
Consiste en examinar los estados financieros de una entidad por un período

determinado, con el objeto de opinar sobre la razonabilidad de los mismos,
mediante la aplicación de las Normas de Auditoría Generalmente Aceptadas y si
se han preparado de acuerdo a Principios de Contabilidad Generalmente
Aceptados.
1.2.2.2. Auditoria operacional.
Es examinar y evaluar sistemáticamente las operaciones de una entidad con el

propósito de determinar si está operando en forma efectiva y eficiente, así como
establecer el cumplimiento de las políticas, métodos y procedimientos de la
entidad, efectuando recomendaciones para asegurar la observancia de dichas
políticas.
En resumen, la Auditoría Operacional evalúa la calidad de las operaciones

enfocando su examen a la contribución o falta de ella, a la eficiencia operativa y
al ahorro de costos.
1.2.2.3. Auditoria administrativa
Es un enfoque sistemático orientado a evaluar la ejecución de la administración.

La Auditoría Administrativa trabaja con gran cantidad de elementos cualitativos y
proporciona una evaluación cuantitativa.
5
1.2.2.4. Auditoría fiscal.
Es la evaluación de la información financiera, declaraciones de impuestos y otras

fuentes y documentos de información, de un período determinado con el objeto
de establecer si se há cumplido con las disposiciones fiscales y si existen
contingencias que puedan afectar las operaciones de la entidad.
1.2.2.5. Auditoría social.
Consiste en evaluar las consecuencias sociales de las actividades de las

empresas, para evaluar los costos de la sociedad o la aportación a la misma.
1.3. IMPORTANCIA DE LA AUDITORIA INTERNA.
Tradicionalmente la Auditoría Interna se há orientado hacia aquellos aspectos de

tipo financiero concentrándose en la corrección de los registros contables y
verificando que la información sea confiable. Sin embargo, ésta es sólo una de
las áreas que se pueden considerar como básicas a cubrir por parte de la
Auditoría Interna.
Siendo la Auditoría Interna un control de los controles e instrumento de medición

y evaluación de lo efectivo de la estructura de control interno de una entidad,
contribuye con ésta para alcanzar los objetivos básicos siguientes:
1.4. OBJETIVOS QUE PERSIGUEN LA AUDITORIA INTERNA
1.4.1. Garantizar información financiera confiable y oportuna.
El auditor debe evaluar la efectividad de los controles internos, ya que esto le

permitirá garantizar la autenticidad de las transacciones y el adecuado registro de
las mismas, a efecto que los estados financieros presenten razonable y
6
oportunamente la situación financiera de la empresa. La Auditoría Interna por

medio de la revisión de la información financiera permite a la administración de la
compañía:
 Conocer la precisión y veracidad de la contabilidad.

 Verificar el cumplimiento de las políticas y procedimientos contables
dictados por la administración, en función de su eficiencia y efectividad.
1.4.2. Salvaguarda de los activos
Un examen adecuado y oportuno de los activos permitirá al auditor interno

determinar:
 La propiedad de los activos de la empresa.

 La adecuada salvaguarda de los activos contra diferentes riesgos,
tales como: robo, incendio, actividades impropias o ilegales y contra
siniestros naturales.
 La existencia física de los activos.
1.4.3. Promover la eficiencia operativa de la entidad
Cuando la Auditoría Interna evalúa actividades relacionadas con el uso

económico y eficiente de los recursos, promueve la eficiencia operativa de la
entidad al identificar situaciones tales como: sub-utilización de instalaciones,
trabajo no productivo, procedimientos que no justifican su costo, exceso o
insuficiencia de personal. Esto lo logra la auditoría interna cuando:
 Efectúa la evaluación de: estándares que miden si la utilización de los

recursos se realizan económica y eficientemente.
7
 Si el recurso humano ha entendido y cumple con los estándares de

operación.
 Si las desviaciones a los estándares se analizan, investigan y se toman las
medidas correctivas correspondientes.
1.4.4. Cumplimiento de objetivos, políticas, planes, procedimientos, leyes y

reglamentos.
 En toda empresa la administración es responsable de fijar objetivos,

políticas, planes y procedimientos.
 El proceso de determinar objetivos y establecer políticas, planes y
procedimientos es parte del proceso integral de la administración de la
entidad.
 La Auditoría Interna forma parte del proceso administrativo del control y
como tal debe conocer los objetivos, políticas, planes y procedimientos
determinados por la administración para evaluarlos y verificar su
cumplimiento. En ese sentido el auditor interno debe conocer los objetivos
y políticas para diseñar las pruebas necesarias y así verificar el
cumplimiento de los mismos.
1.5. ASPECTOS GENERALES DEL CONTROL
1.5.1. ANTECEDENTES HISTÓRICOS
Desde tiempos remotos, el ser humano ha tenido la necesidad de control Los

cuales empezaron con cuentas simples con los dedos de las manos, los pies y
piedras hasta llegar al desarrollo de verdaderos sistemas de enumeración que
además de la simple identificación de cantidades permitió el avance en otro tipo
de operaciones en los antiguos imperios, en los cuales se debe una forma de
control y cobro de impuestos Resalta que se vea la necesidad de desarrollar las
operaciones que se están realizando en una comunidad o empresa.
8
En 1518 se constituyó el Consejo de Indias como órgano supremo de

administración Colonial que ejerció funciones de cuerpo legislativo y máximo
tribunal de apelación en asuntos contencioso, civil, criminal y administrativo.
Hacia el siglo XVI en Colombia se formó la Real Audiencia de Santa Fe de

Bogotá. Su objetivo era mejorar la Administración y controlar los territorios, la
función básica consistía en unificar las rentas y derechos de la Corona, hacer
juicios a empleados que desempeñaban funciones fiscales y asegurar el flujo
normal de los recaudos para la Corona.
En 1604 se crearon los tribunales de cuentas que eran algo así como las
contralorías Regionales en los Virreinatos, Capitanías y Presidencias.
Terminando ya el siglo XVII aparecen las oficinas de contabilidad las cuales a
través de la corte de cuentas consolidan el control fiscal en el mundo. En la
época de la independencia, los controles entran en crisis, puesto que el
sostenimiento de las tropas requería gran capacidad monetaria.
Esto llevo a ciertos funcionarios a atentar contra el tesoro público para alimentar
la causa de independencia. Posteriormente de la Batalla de Boyacá se expide en
angostura la Ley Fundamental que crea la República de Colombia y con ello se
replantea el enfoque del control fiscal.
De esta forma se dicta en Octubre 23 de 1819 la “Ley principal contra los
empleados de Hacienda”, que en su artículo 1° decía: “El empleado de Hacienda
Nacional o a quién se le justificare sumariamente fraude o malversación de los
intereses Públicos o resultare alcanzado, se le aplicará irremisiblemente la pena
de muerte, sin necesidad de formar más proceso que los informes de los
tribunales”, Decisión que a su vez fue avalada por Simón Bolívar en su decreto
12 de 1824.
De ahí en adelante se presentaron modificaciones, leyes, actos legislativos, hasta

1958 donde se reglamentó la Oficina Nacional de Contadores y se introdujo la
9
figura Fiscal de Contador, cuya función consistía en examinar cuentas del

presupuesto y revisar los contratos que firmara el ejecutivo.
Mediante el Decreto-Ley 222 de 1983 se mantiene el control posterior en la

contratación administrativa, dando así un auge mayor al control, asunto que
queda consolidado en la reforma constitucional de 1991, hasta la fecha.
1.5.2. DEFINICIÓN DE CONTROL
Es un mecanismo preventivo y correctivo adoptado por la administración de una

dependencia o entidad que permite la oportuna detección y corrección de
desviaciones, ineficiencias o incongruencias en el curso de la formulación,
instrumentación, ejecución y evaluación de las acciones, con el propósito de
procurar el cumplimiento de la normatividad que las rige, y las estrategias,
políticas, objetivos, metas y asignación de recursos.
El control es el proceso de verificar el desempeño de distintas áreas o funciones

de una organización. Usualmente implica una comparación entre un rendimiento
esperado y un rendimiento observado, para verificar si se están cumpliendo los
objetivos de forma eficiente y eficaz y tomar acciones correctivas cuando sea
necesario.
1.5.2.1. Objetivo
Declaración formal de los resultados que se esperan de la implantación de

procedimientos concretos de control en un determinado proceso.
1.5.2.2. Importancia
La importancia del control es concebido como una actividad no sólo a nivel

directivo, sino de todos los niveles y miembros de la empresa, orientando la
10
organización hacia el cumplimiento de los objetivos propuestos bajo mecanismos

de medición cualitativos y cuantitativos este enfoque hace énfasis en los factores
sociales y culturales presentes en el contexto institucional ya que parte del
principio que es el propio comportamiento individual quien define en última
instancia la eficacia de los métodos de control elegidos en la dinámica de gestión,
El control administrativo puede ser utilizado en el contexto organizacional para
evaluar el desempeño general frente a un plan estratégico.
1.5.2.3. Características
Entre las características del control se mencionan las siguientes:
1.5.2.4. Totalidad
El Control de Gestión cubre todos los aspectos de las actividades de la Empresa,

es decir, no se limita aspectos parciales, sino que todo lo mira desde una
perspectiva de conjunto.
1.5.2.5. Equilibrio
Una cualidad del Control de Gestión es que cada aspecto en la empresa tiene su
peso justo, esto indica que cada variable tiene la importancia que corresponde.
1.5.2.6. Generalidad
Esta característica está asociada con la característica de Totalidad. El Control de

Gestión debe ser capaz de analizar cada situación que se presente en términos
generales, no centrándose en su detalle.
11
1.5.2.7. Oportunidad
Plantea que el Control de Gestión debe tender a ser preventivo, lo que implica
que se debe establecer controles a través de todas las actividades que
conforman un proceso y no solamente al término de éste.
1.5.2.8. Eficiencia
El Control de Gestión busca la consecución de los objetivos apuntando el centro

de los problemas.
1.5.2.9. Integración
Para el Control de Gestión los diversos factores se contemplan dentro de la

estructura de la Empresa, para ver las repercusiones de cada problema en su
conjunto.
1.5.2.10. Creatividad
Consiste en la búsqueda continua de indicadores significativos y de estándares

para conocer mejor la realidad de la Empresa y encaminarla en forma más
certera hacia sus objetivos
.
1.5.2.11. Impulso a la acción
El Control de Gestión incentiva a la participación de todo el recurso humano que

labora en la Organización.
12
1.6. Ventajas y desventajas
La seguridad es rara vez un problema al utilizar el acceso remoto, ya que ambos

usuarios necesitan acceder a la solicitud para la conexión. Una de las razones
por las que la mayoría de los empresarios prefieren el software de escritorio
remoto a través de otros programas es porque es más fácil y más barato de
mantener, en comparación con otras alternativas. Será mucho menos estresante
para ustedes.
Uno de los mayores y los más buscados después de las ventajas de contar con
software de acceso remoto para su uso tanto profesional como personal es el
bajo costo de mantenimiento. Usted no necesita comprar ningún equipo servidor
costoso o contratar personal extra para monitorear el sistema. Casi cualquier
especialista en TI debe ser capaz de configurar el programa de software libre de
problemas.
Aunque una gran cantidad de acceso remoto de soluciones ha asegurado su
plena seguridad de los usuarios contra el robo y la pérdida de datos, a veces un
hacker puede romper en el sistema y robar información importante. Se puede
incluso enviar virus y otros a su sistema para crear el caos. Sea consciente de
esto y trabajar sólo con los programas disponibles más seguros sobre todo para
los datos sensibles.
1.7. TIPOS DE CONTROL
1.7.1. Control sobre las políticas
Como habíamos indicado anteriormente, las políticas son guías de acción para
los miembros de la organización. Su objetivo es, en cierta forma, uniformar
criterios en las decisiones. Una política no especifica cómo debe hacerse algo (el
cómo lo dan los procedimientos).
Es necesario no sólo controlar que las políticas se cumplan, es decir, que las
diferentes decisiones que se toman dentro do la organización se ajusten a las
13
políticas correspondientes, sino también controlar que todo el conjunto de

políticas o directrices se encaminen a servir los intereses de la organización.
1.7.2. Control sobre los procedimientos
Los procedimientos son guías de acción que detallan de una manera exacta
cómo se debe realizar una cierta actividad. Generalmente estos procedimientos
se presentan en un Manual, el cual constituye un excelente instrumento de
control.
En este sentido, el procedimiento puede equivaler a la norma o al estándar, al
indicar cómo debe hacerse una tarea. Por lo tanto, si lo comparamos con la forma
en que realmente se hizo, estamos estableciendo un control para ella. Por otra
parte, el control de estos procedimientos sirve para determinar si realmente están
cumpliendo con el objetivo que persiguen, o si es necesario cambiarlos, quizá
porque las condiciones han variado.
1.7.3. Control de la producción
El control de la producción se deriva de la necesidad de dirigir la producción y

combinar los equipos y recursos existentes con el fin de obtener de ellos una alta
productividad. Este control es muy importante en aquellas empresas que poseen
varias "líneas o series de productos" (es decir, los artículos que la empresa
ofrece en venta) y quizá no tan importante en aquellas empresas de proceso
interno (es decir, aquellas que fabrican constantemente un producto
determinado).
Aparte del control sobre los equipos productivos existen otros controles en
producción. Uno de ellos es el Control de Calidad, cuyo objetivo es verificar si el
producto que elabora la empresa sale al mercado en buenas condiciones, de
acuerdo con las especificaciones, etc. Sin duda alguna, este control es vital, por
cuanto es el responsable en último término de la calidad del producto. Si la
14
empresa está entregando malos productos al mercado es bien probable que

comience a perder clientela.
1.7.4. Control sobre las ventas
Generalmente, el Departamento de Ventas elabora un plan o programa de ventas

en el cual se fija la cantidad de productos que se venderán en el año, en los
semestres, trimestres y /o en el mes. También se determina el volumen de venta
de cada unidad (tiendas, vendedores, etc.). Es decir, a través del presupuesto de
ventas que determina la planificación, sé establecen las normas o estándar de
control.
1.7.5. Control sobre las existencias
Este es un control de gran importancia para la Producción, en el caso de la

existencia de Materias Primas y otros elementos que se utilizan en el proceso de
producción y para Ventas en el caso de la existencia de productos terminados.
1.8. Clasificación general de los controles
Los principales tres controles generales son los siguientes:
1.8.1. Controles preventivos
Son aquellos que reducen la frecuencia con que ocurren las causas del riesgo,
permitiendo cierto margen de violaciones por ejemplo: Letrero “No fumar” para
salvaguardar las instalaciones.
1.8.2. Controles detectivos
15
Son aquellos que no evitan que ocurran las causas del riesgo sino que los
detecta luego de ocurridos. Son los más importantes para el auditor. En cierta
forma sirven para evaluar la eficiencia de los controles preventivos. ejemplo:
archivos y procesos que sirvan como pistas de Auditoría.
1.8.3. Controles correctivos
Ayudan a la investigación y corrección de las causas del riesgo. La corrección

adecuada puede resultar difícil e ineficiente, siendo necesaria la implantación de
controles detectivos sobre los controles correctivos, debido a que la corrección de
errores es en sí una actividad altamente propensa a errores.
1,9. Control interno
Los conocimientos del control interno se encuentran en un estado de evolución

continua. Pero ¿qué pasa con el control interno en sí mismo? ¿Puede decirse
que el control interno está evolucionando? Así el papel de la administración con
respecto al control interno es buena medida como en la actualidad.
A través de las investigaciones y análisis más información relacionada con los
planetas sale a la luz y cambia nuestra percepción de su apariencia.
Similarmente nuestras percepciones del control interno cambian a través del
tiempo en la medida que ganamos familiaridad y experiencia. Cuando las
percepciones actuales difieren, es como el resultado de las diferencias en las
orientaciones de varios puntos de vista.
1.9.1. Definición
Comprende el plan de organización y todos los métodos y medidas de

coordinación adoptados por la administración para: salvaguardar sus activos,
promover la eficiencia de sus operaciones, la confiabilidad de la información
contable y el cumplimiento de políticas.
16
1.9.2. Importancia
La constante importancia que tiene el control interno se debe a los siguientes

factores:
 El alcance y la magnitud de las empresas ha llegado a un punto donde su
organización estructural se ha vuelto compleja y extensa. Para controlar
eficazmente las operaciones, la administración necesita de la precisión de
numerosos informes y análisis.
 La responsabilidad de salvaguardar el activo de las empresas, prevenir y
descubrir errores y fraudes, descansa principalmente en la administración.
El mantener un adecuado sistema de control interno es indispensable para
descargar apropiadamente esa responsabilidad.
 La protección que proporciona un sistema de control interno que funciona
adecuadamente, en contra de las debilidades humanas es de vital
importancia. La revisión y verificación, que son esenciales para el buen
funcionamiento de un sistema de control interno, reducen la posibilidad
que los errores o intentos fraudulentos queden sin ser descubiertos por un
período prolongado.
1.9.3. Estructura del control interno
La estructura de control interno de una entidad consiste en las políticas y

procedimientos establecidos, para proporcionar seguridad razonable de poder
lograr los objetivos específicos de la entidad.
1.9.4. Elementos del control interno
Los elementos del control interno son los siguientes:
17
1.9.4.1 Ambiente de control
El ambiente de control representa el efecto colectivo de varios factores en

establecer, realizar o reducir la efectividad de procedimientos y políticas
específicas. Dentro de estos factores se incluyen los siguientes:
 La filosofía y forma de operación de la gerencia.
 Estructura organizativa de la entidad.
 Funcionamiento del Consejo de Administración y sus comités, en particular
aquellos comités dedicados a la revisión del proceso de información
financiera.
 Métodos de control administrativo para supervisar y dar seguimiento al
desempeño, incluyendo Auditoría Interna.
 Políticas y prácticas del personal.
 Diferentes influencias externas que afectan las operaciones y prácticas de
una entidad. Como ejemplo pueden citarse las revisiones fiscales.
1.9.4.2 Procedimientos de control
Son aquellos procedimientos y políticas adicionales al ambiente de control y al

sistema contable, establecidos por la gerencia para proporcionar una seguridad
razonable de poder lograr los objetivos específicos de la entidad. Por lo general
podrán catalogarse como procedimientos de control los siguientes:
 Debida autorización de transacciones y actividades.
 Segregación adecuada de funciones, asignando a diferentes personas las
responsabilidades de autorizar las transacciones, registrarlas y custodiar
los activos.
 Diseño y uso de los documentos y registros apropiados que aseguren la
contabilización adecuada de las transacciones.
18
 Medidas de seguridad adecuadas sobre el acceso y uso de activos y

registros.
1.9.4.3. Objetivos del control interno
Los principales objetivos de CI son los siguientes:

 Contar con métodos y registros que identifiquen y registren únicamente las
transacciones reales que reúnan los criterios establecidos por la
administración; que describan oportunamente todas las transacciones para
su adecuada clasificación; que cuantifiquen el valor de las transacciones
en unidades monetarias; registren las transacciones en el período
correspondiente y que presenten y revelen dichas transacciones en los
Estados Financieros.
 Clasificar las transacciones en forma tal que permitan la preparación de
Estados Financieros de conformidad con principios de contabilidad
generalmente aceptados y el criterio de la administración, además de que
las transacciones deben quedar registradas en el mismo período contable.
 Comparar los datos registrados relativos a los activos sujetos a custodia a
intervalos razonables, con los activos fijos existentes, y tomar medidas
apropiadas y oportunas a las diferencias detectadas, asimismo, deben
existir controles relativos a la verificación y evaluación periódica de los
saldos que se informan en los Estados Financieros.
 Acceder a los activos de acuerdo con políticas prescritas por la
administración, cuidando el respeto a las debidas autorizaciones.
 Informar si las políticas establecidas han sido acertadas y que tan eficiente
ha sido la operación.
 Proteger los activos de la entidad, que involucren el buen cuidado y alta
protección y administración de los activos, por ejemplo en los flujos de
fondos, en las cuentas y documentos por cobrar, los inventarios, los
inmuebles, la maquinaria y equipo.
19
1.9.4.4. Principios del control interno
El ejercicio del control interno implica que este se debe hacer siguiendo los
principios de igualdad, moralidad, eficiencia, economía, celeridad, imparcialidad,
publicidad.
 El principio de igualdad consiste en que el sistema de control interno debe

velar porque las actividades de la organización estén orientadas
efectivamente hacia el interés general, sin otorgar privilegios a grupos
especiales.
 El principio de moralidad indica que todas las operaciones se deben
realizar no solo acatando las normas aplicables a la organización, sino los
principios éticos y morales que rigen la sociedad.
 El principio de eficiencia vela porque en igualdad de condiciones de
calidad y oportunidad, la provisión de bienes y o servicios se haga al
mínimo costo con la máxima eficiencia y el mejor uso de los recursos
disponibles.
 El principio de economía vigila que la asignación de los recursos sea la
más adecuada en función de los objetivos y las metas de la organización.
 Los principios de imparcialidad y publicidad consisten en obtener la mayor
transparencia en las actuaciones de la organización, de tal manera que
nadie pueda sentirse afectado en sus intereses o ser objeto de
discriminación, tanto en oportunidades como en acceso a la información.
Un control interno eficiente, presupone necesariamente la existencia de objetivos

y metas en la organización, si estos no están definidos adecuadamente, la
organización carecerá de rumbo, y por tanto, de un marco de referencia contra el
cual pueda medir los resultados obtenidos.
20
1.9.4.5. Propósitos del control interno
Las diferentes administraciones, a través de sus actuaciones, comprometen

intereses y patrimonios que no son personales, sino que pertenecen a la
sociedad o a la organización para la cual prestan sus servicios.
El control interno no se debe limitar a vigilar la legalidad y la exactitud de las
operaciones sino que debe buscar un fin más amplio y adecuado a los cambios
administrativos, presupuestales, operativos, entre otros. En tal sentido también se
debe analizar la utilidad de la inversión y la obtención del resultado previsto, es
decir la bondad de la gestión.
No hay control interno eficiente si la organización no permite, entre otras cosas,
una evaluación continua del personal y si no hay voluntad de realizar los ajustes
que se requieran cuando los objetivos de la organización no se estén cumpliendo
o se estén logrando con derroche, sin orden, ni transparencia, sin cumplir las
normas legales o los principios de eficiencia.
21
CAPITULO II
EVALUACION DEL CONTROL INTERNO SEGÚN CRITERIO C.O.S.O.
2.1. ANTECEDENTES
Desde hace varias décadas la gerencia moderna ha implementado nuevas

formas para mejorar los controles en las empresas del sector privado. Ello es
importante tener en cuenta, por cuanto el control interno tiene una vinculación
directa con el curso que debe mantener la empresa hacia el logro de sus
objetivos y metas.
Se considera que el término control tiene dos acepciones:

a) Inspección, fiscalización, intervención; y,
b) Dominio, mando, preponderancia.
El denominado Informe COSO sobre control interno, publicado en EE.UU. en

1,992, surgió como una respuesta a las inquietudes que planteaban la diversidad
de conceptos, definiciones e interpretaciones existentes en torno a la temática
referida. Plasma los resultados de la tarea realizada durante más de cinco años
por el grupo de trabajo que la TREADWAY COMMISSION, NATIONAL
COMMISSION ON FRAUDULENT FINANCIAL REPORTING creó en Estados
Unidos en 1,985 bajo la sigla COSO (COMMITTEE OF SPONSORING
ORGANIZATIONS), ésta fue creada por uno de los múltiples actos legislativos y
acciones que se derivaron de las investigaciones sobre el caso Watergate, emite
el documento denominado Marco Integrado del Control Interno (Framework
Internal Control Integrated), el cual desarrolla con mayor amplitud el enfoque
moderno del control interno en el documento conocido como el Informe COSO.
22
El grupo estaba constituido por representantes de las siguientes organizaciones:

a) American Accounting Association (AAA).
b) American Institute of Certified Public Accountants (AICPA).
c) Financial Executive Institute (FEI).
La redacción del informe fue encomendada a Coopers & Lybrand. Se trataba

entonces de materializar un objetivo fundamental: definir un nuevo marco
conceptual del control interno, capaz de integrar las diversas definiciones y
conceptos que venían siendo utilizados sobre este tema, logrando así que, al
nivel de las organizaciones públicas o privadas, de la auditoria interna o externa,
o de los niveles académicos o legislativos, se cuente con un marco conceptual
común, una visión integradora que satisfaga las demandas generalizadas de
todos los sectores involucrados.
2.2. DEFINICIONES
2.2.1. Control Interno
El Control interno, es una expresión que utilizamos con el fin de describir las
acciones adoptadas por los directores de entidades, gerentes o administradores,
para evaluar y monitorear las operaciones en sus entidades. Por ello, a fin de
lograr una adecuada comprensión de su naturaleza y alcance.
El control interno “Es un proceso continuo realizado por la dirección, gerencia y
otros empleados de la entidad, para proporcionar seguridad razonable, respecto
a sí están lográndose los objetivos siguientes:
a) Promover la efectividad, eficiencia y economía en las operaciones y,

la calidad en los servicios;
b) Proteger y conservar los recursos públicos contra cualquier pérdida,
c) Despilfarro, uso indebido, irregularidad o acto ilegal;
d) Cumplir las leyes, reglamentos y otras normas gubernamentales; y,
23
e) Elaborar información financiera válida y confiable, presentada con

oportunidad.
El control interno encierra varios términos entre los más importantes están:
 Es un proceso, es decir un medio para alcanzar un fin y no un fin en sí

mismo.
 Lo llevan a cabo las personas que actúan en todos los niveles, no se

trata solamente de manuales de organización y procedimientos.
 Sólo puede aportar un grado de seguridad razonable, no la seguridad

total, a la conducción.
 Está pensado para facilitar la consecución de objetivos en una o más

de las categorías señaladas las que, al mismo tiempo, suelen tener
puntos en común.
Al hablarse del control interno como un proceso, se hace referencia a una cadena
de acciones extendida a todas las actividades, inherentes a la gestión e
integrados a los demás procesos básicos de la misma: planificación, ejecución y
supervisión. Tales acciones se hallan incorporadas (no añadidas) a la
infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y
apoyar sus iniciativas de calidad.
2.3. DEFINICIONES DE CONTROL INTERNO SEGÚN LAS NORMAS COSO.
En un sentido amplio, se define el control interno como: Un proceso efectuado

por el consejo de administración, la dirección y el resto del personal de una
entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable
en cuanto a la consecución de objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de las leyes y normas que sean aplicables
24
2.4. INFORME COSO
El Informe COSO, brinda el enfoque de una estructura común para comprender el

control interno, el cual puede ayudar a cualquier entidad a alcanzar logros en su
desempeño y en su economía, prevenir pérdidas de recursos, asegurar la
elaboración de informes financieros confiables, así como el cumplimiento de las
leyes y regulaciones, tanto en entidades privadas, como en públicas.
A nivel organizacional, este documento destaca la necesidad de que la alta

dirección y el resto de la organización comprendan cabalmente la trascendencia
del control interno, la incidencia del mismo sobre los resultados de la gestión, el
papel estratégico a conceder a la auditoria y esencialmente la consideración del
control como un proceso integrado a los procesos operativos de la empresa y no
como un conjunto pesado, compuesto por mecanismos burocráticos.
“El auditor deberá obtener una comprensión de los sistemas de contabilidad y de

control interno suficiente para planear la auditoria y desarrollar un enfoque de
auditoria efectivo. El auditor debería usar juicio profesional para evaluar el riesgo
de auditoria
y diseñar los procedimientos de auditoria para asegurar que el riesgo se reduce

a un nivel aceptablemente bajo.”³
A nivel regulatorio o normativo, el Informe COSO ha pretendido que cuando se
plantee cualquier discusión o problema de control interno, tanto a nivel práctico
de las empresas, como a nivel de auditoria interna o externa, o en los ámbitos
académicos o legislativos, los interlocutores tengan una referencia conceptual
común, lo cual hasta ahora resultaba complejo, dada la multiplicidad de
definiciones y conceptos divergentes que han existido sobre control interno.
25
2.5. FINALIDAD DEL INFORME COSO
Dentro de sus principales finalidades del informe coso están:

 Establecer una definición común de control interno que responda a las
necesidades de las distintas partes.
 Facilitar un modelo en base al cual las empresas y otras entidades,
cualquiera sea su tamaño y naturaleza, puedan evaluar sus sistema de
control interno.
 Asegurar la conducción ordenada y eficiente de la empresa.
El análisis de control interno según criterio COSO de basa en que, éste es un

proceso o conjunto de acciones estructuradas y coordinadas dirigidas a la
consecución de un fin, no es un fin en sí mismo.
Los procesos de negocios que se llevan a cabo dentro de las unidades y

funciones de la organización o entre las mismas, se coordinan en función de los
procesos de gestión básicos de planificación, ejecución y supervisión. El control
interno es parte de dichos procesos y está integrado a los mismos, permitiendo
su funcionamiento adecuado y supervisando su comportamiento y aplicabilidad
en cada momento. Constituye una herramienta útil para la gestión, pero no es un
sustituto de ésta.
Esta conceptualización del control interno dista mucho de la antigua perspectiva,
que veía al control interno como un elemento añadido a las actividades de una
entidad o como una carga inevitable impuesta por los organismos reguladores o
por los dictados de burócratas excesivamente celosos. Los controles internos no
deben ser añadidos sino incorporados a la infraestructura de una entidad, de
manera que no entorpezcan sino que favorezcan la consecución de los objetivos
de la entidad. El hecho de incorporarlos permitiría identificar desviaciones en
26
costes en actividades operativas básicas, y además se agilizaría el tiempo de

respuesta para solucionar estas desviaciones o costes innecesarios. Lo llevan a
cabo las personas.
Para llevar a cabo el control interno, no es suficiente poseer manuales de
políticas e impresos; son las personas, en cada nivel de organización, las que
tienen la responsabilidad de realizarlo. El Consejo de Administración, la dirección,
y los demás miembros de la entidad son los responsables de su implementación
y seguimiento. Lo realizan los miembros de una organización, mediante sus
actuaciones concretas. Son las personas quienes establecen los objetivos de la
entidad e implantan los mecanismos de control.
El control interno sólo puede aportar un grado razonable de seguridad, no la
seguridad total a la dirección de una empresa, ya que existen limitaciones que
son inherentes a todos los sistemas de control interno.
Estas limitaciones se deben a que las opiniones sobre las que se basan las
decisiones en materia de control pueden ser erróneas. Los empleados
encargados del establecimiento de controles tienen que analizar la relación
costo/beneficio de los mismos, y pueden producirse problemas en el
funcionamiento del sistema como consecuencia de fallos humanos, aunque se
trate de simples errores o equivocaciones.
Objetivos del control Tal como se analizara en la definición de control interno,
existen tres categorías de objetivos. La primera categoría se dirige a los objetivos
empresariales básicos de una entidad, incluyendo los objetivos de rendimiento,
de rentabilidad, y la salvaguarda de los recursos.
La segunda está relacionada con la elaboración y publicación de “estados
contables confiables, incluyendo estados intermedios y abreviados, así como la
información financiera extraída de dichos estados, como por ejemplo las
comunicaciones sobre resultados, que sean publicados. La tercera concierne al
cumplimiento de aquellas leyes y normas a las que está sujeta la entidad. Estas
distintas, pero en parte coincidentes categorías, tratan diferentes necesidades y
permiten un enfoque dirigido hacia la satisfacción de necesidades individuales.
27
Los sistemas de control funcionan en tres niveles distintos de eficacia. El control

interno se puede considerar eficaz en cada una de las tres categorías, si los
responsables de la dirección superior de la empresa, tienen una seguridad
razonable de que:
 Disponen información adecuada sobre hasta qué punto se están

logrando los objetivos operacionales de la entidad.
 Los estados contables de exposición se preparan de manera confiable.
 Se cumplen las leyes y normas aplicables.
 Si bien el control interno es un proceso, su eficacia es el estado de ese
proceso en un momento dado.
2.6. IMPORTANCIA DEL CONTROL INTERNO
A partir de la publicación del informe COSO (Control Interno- Estructura

Integrada) en septiembre de 1,992 y en cuyo desarrollo participaron
representantes de organizaciones profesionales de contadores, de ejecutivos de
finanzas y de Auditores Internos, ha resurgido en forma impresionante la atención
hacia el mejoramiento del control interno y un mejor gobierno corporativo, lo, cual
fue derivado de la presión pública para un mejor manejo de los recursos públicos
o privados en cualquier tipo de organización, esto ante los numerosos
escándalos, crisis financieras, o fraudes, durante los últimos decenios. Al
respecto, es importante resaltar el concepto de la responsabilidad, como uno de
los factores clave para el gobierno o dirección corporativa de las organizaciones:
en este sentido, conviene recordar que un eficiente sistema de control puede
proporcionar un importante factor de tranquilidad, en relación a la responsabilidad
de los directivos, los propietarios, los accionistas y los terceros interesados.
28
2.7. ESTRUCTURA SEGÚN COSO I
2.7.1. Control Interno.
El Informe C.O.S.O. define al control interno como el proceso de evaluar las

operaciones de la organización que llevan a cabo el consejo de administración,
directivo y personal en general para asegurar y mantener:
 Efectividad y eficiencia en las operaciones: Que permiten lograr los

objetivos empresariales básicos de la organización (rendimiento,
rentabilidad y protección de los activos).
 Confiabilidad de la información financiera: control de la elaboración y
publicación de estados contables confiables, incluyendo estados
intermedios y abreviados, así como la información financiera extraída de
estos estados.
 Cumplimiento de políticas, leyes y normas
El control interno no es un fin en sí mismo, sino un medio para lograr
ciertos objetivos.
Los controles internos no deben ser añadidos como una carga inevitable sino
embeberlos en la infraestructura de una organización de manera que no la
entorpezcan sino que favorezcan el logro de sus objetivos.
Para llevar a cabo el control interno, no es suficiente poseer manuales de
políticas. Son las personas de cada nivel de la organización las que tienen la
responsabilidad de realizarlo.
El control interno sólo puede aportar un grado razonable de seguridad, no la

seguridad total a la dirección de una empresa, ya que existen limitaciones que
son propias de todos los sistemas de control interno y la efectividad de la
herramienta depende de la habilidad de las personas que lo ejecutan. Dichas
limitaciones se deben a que las opiniones sobre las que se basan las decisiones
29
de control pueden ser erróneas. El personal encargado de establecer controles

tiene que analizar su relación costo/beneficio. Tal vez un control pueda ser muy
eficaz pero el costo de aplicarlo es mayor que el beneficio que reporta y por lo
tanto no se justifica implementarlo. Dicho en otras palabras el control interno no
es perfecto pero sí útil para reducir los posibles problemas de la organización.

De acuerdo al marco COSO, el control interno consta de cinco componentes
relacionados entre sí. Estos derivarán de la manera en que la Dirección dirija la
Unidad y estarán integrados en el proceso de dirección. Los componentes serán
los mismos para todas las Organizaciones (sean públicas o privadas) y
dependerá del tamaño de la misma la implantación de cada uno de ellos.
2.7.2. El ambiente de control
El ambiente o entorno de control es la base de la pirámide de control interno,

aportando disciplina a la estructura. En él se apoyarán los restantes
componentes, por lo que será fundamental para solidificar los cimientos de un
eficaz y eficiente sistema de control interno. Marca la pauta del funcionamiento de
la Unidad e influye en la concientización de sus funcionarios. Los factores a
considerar dentro del entorno de control serán la integridad y los valores éticos, la
capacidad de los funcionarios de la Unidad, el estilo de dirección y de gestión, la
manera en que la Dirección asigna autoridad y responsabilidad, la estructura
organizacional vigente y las políticas y prácticas de personal utilizadas.
Debe considerarse en la evaluación que los procedimientos existan, que hayan

sido apropiadamente notificados, que sean conocidos, que sean adecuadamente
comprendidos y que exista evidencia de que se aplican.
2.7.3. Competencia profesional
30
Es muy importante contar con personal competente que tenga una formación
adecuada de acuerdo al cargo que ocupa y responsabilidades que tenga. La
aptitud se refiere a los conocimientos y habilidades de cada persona.
2.7.4. Filosofía y estilo de la Dirección.
Los estilos gerenciales marcan el nivel de riesgo empresarial y pueden afectar al

control interno. Un planteo empresarial orientado excesivamente al riesgo o no
tomar en cuenta los aspectos de control al emprender negocios son indicativos
de riesgos en el control interno. Desde otro punto de vista, una gerencia que sin
dejar de afrontar riesgos toma en cuenta todos los elementos necesarios para su
seguimiento pero evitando riesgos inadecuados crea un ambiente propicio para
control interno en la organización.
2.7.5. Estructura y plan organizacional.
Todo organismo debe desarrollar una estructura organizativa que atienda el

cumplimiento de su misión y objetivos, la que deberá estar plasmada en un algún
tipo de herramienta gráfica.
La estructura organizativa, formalizada en un organigrama, constituye el marco

formal de autoridad y responsabilidad. En ella se definen los puestos de trabajo,
así como también las actividades a desempeñar a los fines de alcanzar los
objetivos definidos por la alta gerencia de la organización, clasificando dichas
actividades como de planificación, de gestión o de control. El nivel de formalidad
que alcanza la estructura organizativa definida es directamente proporcional al
tamaño de la organización.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de
manera que las decisiones queden en manos de quienes están más cerca de la
operación a modo de auto gestionarse. Esto se ve posibilitado debido a que los
sistemas de control internos han mejorado sustancialmente debido al surgimiento
de programas de aplicación cuya finalidad es registrar los datos transaccionales
31
facilitando así el control.

Toda delegación de tareas conlleva la necesidad de que los jefes examinen y
aprueben, cuando corresponda, el trabajo de sus subordinados, y que ambos
cumplan con la debida rendición de cuentas de sus responsabilidades y tareas
tanto en tiempo como en forma. También requiere que todo el personal conozca,
responda y entienda cómo su accionar repercute en los objetivos generales.
2.7.6. Políticas y prácticas de los RRHH
El personal es el recurso más valioso que posee cualquier organismo. Por ende,
debe ser tratado y conducido de forma tal que se consiga su máximo rendimiento.
Debe procurarse su satisfacción y realización personal en el trabajo que realiza,
tendiendo a que éste se enriquezca. Para lograr este objetivo, la dirección debe
realizar diferentes actividades al momento de selección, capacitación, rotación y
promoción del personal así como también cuando se aplican sanciones
disciplinarias.
2.7.7. Comité de Administración o Comité de Auditoría.
Dichos comités se encuentran con mayor frecuencia en organizaciones de mayor

tamaño. Su objetivo general es la vigilancia del adecuado funcionamiento del
sistema de control interno como así también procura el mejoramiento continuo del
mismo.
Para su efectivo desempeño debe integrarse adecuadamente, es decir, con
miembros de capacidad y trayectoria que exhiban además un grado elevado de
conocimiento y experiencia que les permita apoyar objetivamente a la Dirección
mediante su guía y supervisión.
2.7.8. Evaluación de Riesgos
Cada Unidad se enfrenta a diversos riesgos internos y externos que deben ser
evaluados. Una condición previa a la evaluación del riesgo es la identificación de
los objetivos a los distintos niveles, los cuales deberán estar vinculados entre sí.
32
La evaluación de riesgos consiste en la identificación y el análisis de los riesgos

relevantes para la consecución de los objetivos, y sirve de base para determinar
cómo han de ser gestionados. A su vez, dados los cambios permanentes del
entorno, será necesario que la Unidad disponga de mecanismos para identificar y
afrontar los riesgos asociados al cambio.
En la evaluación se deberá analizar que los objetivos hayan sido apropiadamente

definidos, que los mismos sean consistentes con los objetivos institucionales, que
hayan sido oportunamente comunicados, que se hayan detectado y analizado
adecuadamente los riesgos, que se los haya clasificado de acuerdo a la
relevancia y probabilidad de ocurrencia.
2.7.9. Misión, Objetivos y Políticas
Los objetivos y políticas de una determinada Unidad deberán estar alineados y

ser consistentes con la misión de la misma, la cual es desarrollada a nivel del
Inciso.
Es importante que los mismos se encuentren documentados y difundidos no solo

a toda la Organización, sino que también es importante su difusión a nivel de la
sociedad en general. Esto será importante a la hora de rendir cuentas de la
gestión del Organismo.
Misión: Expresa lo que es la Organización, para qué está, qué necesidades

cubre. La misión es definida a nivel de Inciso.
Objetivos: Expresan los propósitos de la Organización, mostrando hacia donde va

la misma.
Políticas: Expresan los medios que utiliza la Organización para conseguir los
objetivos. Dado el ambiente dinámico en donde interactúa la Unidad, los objetivos
deberán adecuarse a esos cambios.
 La misión de la Organización es conocida y comprendida por la Dirección y

los funcionarios de la Unidad.
33
 Los objetivos definidos para la Unidad son concordantes con la misión

definida.
 Existe un compromiso por parte de la Dirección de que los objetivos sean
conocidos y comprendidos por todos los funcionarios.
 Se han determinado los beneficiarios de las acciones desarrolladas por la

Organización.
 Los cometidos son difundidos adecuadamente a nivel de la sociedad, a los
efectos de rendir cuentas de la gestión del Organismo.
 Existe una definición adecuada de políticas por parte de la Dirección para
alcanzar los objetivos.
 Las mismas son difundidas y comprendidas por parte de todos los
funcionarios. Normas Generales de Control Interno
 El presupuesto asignado a la Unidad es adecuado para el cumplimiento de
los objetivos.
 Existe por parte de la Dirección una priorización de objetivos, concordante
con los recursos asignados a la misma.
2.7.10. Objetivos a nivel de proceso o actividad
Se deben identificar los objetivos particulares a nivel de todos los procesos o

actividades desarrolladas por una Unidad, a los efectos de poder identificar los
riesgos que podrían amenazar la consecución de los objetivos vinculados a los
mismos.
 Los objetivos particulares de los procesos sustantivos de la Unidad

(entendiéndose por procesos sustantivos los que agregan valor a la
Unidad) se encuentran identificados.
 Los mismos son concordantes con los objetivos generales de la Unidad.
34
 Se encuentran definidas las herramientas de medición (indicadores) del

grado de cumplimiento de los objetivos.
 Estas herramientas de medición se encuentran operativas en la realidad y

se aplican.
2.7.11. Identificación de Riesgos
Los riesgos que podrían afectar la consecución de los objetivos de la

Organización, tanto externos como internos, deben estar claramente
identificados.
Para ello se debe realizar un “mapeo” de riesgos que incluya la especificación de

los procesos claves de la Organización, la identificación de los objetivos
generales y particulares de los mismos, y las amenazas y riesgos que pueden
impedir que los mismos se cumplan.
 Se encuentran identificados los riesgos tanto internos como externos, que

podrían interferir en que los objetivos de procesos sean cumplidos.
 Existen mecanismos definidos para la identificación de riesgos internos y
los mismos funcionan adecuadamente.
 Los mecanismos utilizados para identificar riesgos tienen en cuenta los
siguientes factores: Futuros recortes de Presupuesto, modificación de
procedimientos, dificultades en los sistemas de información, falta de
competencia y capacitación del personal, modificación de autoridades,
falta de financiamiento.
 Se tienen en cuenta las observaciones y recomendaciones de auditoría
(Auditoría Interna de la Nación y/o Auditoría Interna) realizadas en el
pasado.
 Están identificados aquellos riesgos que la Dirección entiende que no
debe mitigar (riesgo residual) y por lo tanto asume esa responsabilidad.
2.7.12. Estimación de Riesgos
35
Se debe estimar la probabilidad de ocurrencia de los riesgos identificados, así

como también cuantificar las posibles pérdidas que los mismos podrían
ocasionar. Por consiguiente, la estimación de riesgos debe hacerse a través de
dos variables: probabilidad (frecuencia en la ocurrencia del mismo) e impacto
(consecuencia que tendría el mismo si ocurriera).
 Existe una estimación de riesgos, considerando la probabilidad de

ocurrencia y el impacto de los mismos.
2.7.13. Manejo del cambio
Se debe disponer de procedimientos capaces de captar e informar

oportunamente cualquier cambio, tanto en el ambiente interno como externo, que
puedan impedir que los objetivos se consigan.
 Las Áreas están instruidas para informar a la Dirección de cualquier

variación que pueda afectar el cumplimiento de los objetivos de la Entidad
o Área.
 Existen procedimientos capaces de captar e informar oportunamente

cambios, tanto internos como externos, que puedan determinar variantes
en el análisis de riesgos.
 Los mismos son aplicados en la realidad.
2.7.14. Actividades de Control
Las actividades de control son las políticas, procedimientos, técnicas, prácticas y

mecanismos que permiten a la Dirección administrar (mitigar) los riesgos
identificados durante el proceso de Evaluación de Riesgos y asegurar que se
llevan a cabo los lineamientos establecidos por ella.
36
Las actividades de control se ejecutan en todos los niveles de la Unidad y en

cada una de las etapas de la gestión, partiendo de la elaboración de un mapa de
riesgos, de acuerdo a lo señalado en el punto anterior (Evaluación de Riesgos).
En la evaluación del sistema de control interno no solo debe considerarse si

fueron establecidas las actividades relevantes para los riesgos identificados, sino
también si las mismas son aplicadas en la realidad y si los resultados
conseguidos son los esperados.
Atento a la variedad de actividades de control que pueden emplearse, las aquí

incorporadas lo son a título indicativo. Son desarrolladas al sólo efecto de ilustrar
la variedad de controles típicos que deben utilizarse en cualquier organización y
que el auditor debe tomar en cuenta para su evaluación. Es un punto de partida,
hallándose sujeta a mejoras e incorporación de aquellos aspectos no
contemplados en ellas.
2.7.15. Identificación de Procedimientos de Control
Luego de identificar, estimar y cuantificar los riesgos, la Dirección debe

determinar los objetivos de control, y en base a ello debe establecer las
actividades de control más convenientes a implementar. La conveniencia estará
dada por la efectividad de las mismas y el costo a incurrir en su implantación.
Será importante en este punto no perder de vista la ecuación costo – beneficio.
 Existen procedimientos de control para mitigar todos los riesgos

identificados y considerados significativos
 Los mismos se aplican apropiadamente.
 Dichos procedimientos son comprendidos por todos los funcionarios
involucrados.
2.7.16. Oposición de intereses
37
Se debe asignar a personas diferentes las tareas y responsabilidades relativas a

la autorización, registro y revisión de las transacciones y hechos económicos de
la Organización.
Esto disminuye considerablemente la posibilidad de cometer actos ilícitos y en

caso que se cometan, es más fácil su detección.
 Las tareas y responsabilidades vinculadas a la autorización, aprobación,

procesamiento y registración, pagos o recepción de fondos, auditoría y
custodia de fondos, valores o bienes de la Organización están asignadas a
personas diferentes.
 Las conciliaciones bancarias son realizadas por personas ajenas al
manejo de las cuentas bancarias.
2.7.17. Coordinación entre áreas
Las áreas que componen una Organización deben actuar coordinadamente entre
ellas. Esto redundará en la consecución de los objetivos generales de la
Organización y no solo en la consecución de objetivos a nivel de Unidad
independiente.
Que exista coordinación implica que los funcionarios conozcan las consecuencias
de sus acciones respecto a la Organización en su conjunto.
 Existe un flujo de información adecuado entre las distintas áreas de la

Unidad.
 Los funcionarios son conscientes de cómo impactan sus acciones en la
Organización en su conjunto.
2.7.18. Documentación
La estructura de control interno y todas las transacciones y hecho significativos

de la Unidad deben estar claramente documentados y disponibles para su
control.
38
 Existen documentos escritos acerca de la estructura de control interno de

la Unidad.
 Los mismos se encuentran disponibles y al alcance de todos los
funcionarios.
2.7.19. Niveles definidos de autorización
Los hechos significativos de una Organización deben ser autorizados y realizados

por funcionarios que actúen dentro el ámbito de su competencia.
La Dirección deberá autorizar los hechos significativos a realizar y los

funcionarios deberán ejecutar las tareas que les han sido asignadas, de acuerdo
a los lineamientos establecidos.
 Los procedimientos de control aseguran que las tareas son realizadas

exclusivamente por los funcionarios que tienen asignada la tarea.
 La delegación de tareas se encuentra dentro de los lineamientos

establecidos por la Dirección.
2.7.20. Registro adecuado de las transacciones
Las transacciones y hechos que afecten a la Organización deben ser registrados

oportuna y adecuadamente.
 Las operaciones de egreso que se dan en la Organización se registran en

tiempo y forma, cualquiera sea la etapa del gasto en las que se encuentren
(Afectación, Compromiso, etc.).
 Lo mismo sucede con las operaciones de ingreso.
2.7.21. Acceso restringido a los recursos, activos y registros
39
El acceso a los recursos, activos y registros debe estar protegido por

mecanismos de seguridad, que permitan asignar responsabilidad en su custodia.
Estas personas serán las encargadas de rendir cuentas por su custodia y
utilización. Es importante destacar que los datos producidos por la Organización,
los cuales son fundamentales para cumplir con sus objetivos, deben ser
considerados activos.
 Los procedimientos de control aseguran que solo las personas autorizadas

tengan acceso a los recursos y activos de la Organización.
 La responsabilidad por custodiar y rendir cuentas por esos recursos está

asignada a determinadas personas.
 Los procedimientos de control aseguran que solo las personas autorizadas

tengan acceso a los registros y datos de la Organización.
 Los permisos asignados para acceder a la información, tanto sea tangible

como en formato electrónico, son revisados periódicamente, asegurando el
principio de “la necesidad de saber”.
 Se realizan controles periódicos entre los recursos existentes y los saldos

que arrojan los registros. (arqueos, conciliaciones, recuentos físicos)
 Existen procedimientos establecidos para la custodia de los recursos

físicos.
 La(s) Tesorería(s) tienen las medidas de seguridad correspondientes.
 Los formularios como recibos, órdenes de compra y otros importantes

están prenumerados, guardados adecuadamente y asignada la
responsabilidad por su custodia.
2.7.22. Rotación del personal en las tareas sensibles

40
Las personas que llevan adelante tareas que puedan dar lugar a cometer
irregularidades, deben ser regularmente rotadas en sus puestos.
 Se rota a los funcionarios en las tareas que pueden dar lugar a

irregularidades (fraude, actos de corrupción).
2.7.23. Control del sistema de información
Con el objetivo de lograr su correcto funcionamiento, el sistema de información

debe ser controlado periódicamente. Esto se debe a que la toma de decisiones
se respalda en los sub -sistemas de información.
 Existen procedimientos que aseguran el acceso autorizado a los sistemas

de información.
2.7.24. Control de la tecnología de la información
Los recursos tecnológicos deben ser regularmente testeados, a los efectos de

lograr cumplir con los requisitos del sistema de información.
 Los recursos tecnológicos son regularmente testeados, a los efectos de

corroborar que cumplen con los requisitos de los sistemas de información.
2.7.25. Indicadores de desempeño
Respetando el principio de que lo que no se puede medir, no se puede gestionar,

la Organización debe contar con métodos de medición de desempeño que
permitan la elaboración de indicadores para su monitoreo y evaluación.
41
La información será utilizada para monitorear y poder corregir los desvíos

oportunamente detectados.
 Existen indicadores y criterios para la medición de la gestión.
 Los indicadores son apropiados y se ajustan a la realidad de la

Organización.
 Se revé periódicamente la validez de los mismos.
 Son consistentes con la misión y objetivos de la Unidad.
 Se analizan periódicamente los resultados obtenidos.
 Si se encuentran desvíos con lo previsto, se toman las medidas correctivas

apropiadas.
2.7.26. Manuales de procedimientos
Toda Organización debe contar con manuales de procedimientos, en los cuales

se desarrollará la forma óptima de llevar adelante los procesos de negocio. Es
fundamental que todos los funcionarios tengan documentada, la forma de
desempeñarse en la Organización.
 Existen manuales de procedimientos escritos para los procesos

sustantivos de la Unidad, en los cuales se desarrolla la forma óptima de
llevar adelante el proceso.
 Se ha notificado a los funcionarios acerca de los mismos.
2.8. Información y Comunicación
42
Hay que identificar, recopilar y comunicar información pertinente en tiempo y

forma que permitan cumplir a cada funcionario con sus responsabilidades.
También deberá existir una comunicación eficaz en un sentido amplio, que fluya
en todas las direcciones a través de todos los ámbitos de la Unidad, de arriba
hacia abajo y a la inversa. La Dirección debe comunicar en forma clara las
responsabilidades de cada funcionario dentro del sistema de control interno
implementado. Los funcionarios tienen que comprender cuál es su papel en el
sistema de control interno y cómo las actividades individuales están relacionadas
con el trabajo del resto.
Asimismo, deben contar con los medios para comunicar la información

significativa a los niveles superiores. Información y responsabilidad Los datos de
una Organización deben ser identificados, captados, registrados, procesados en
información y comunicados en tiempo y forma a los funcionarios, para que estos
puedan tomar decisiones acertadas y cumplir con sus responsabilidades.
2.8.1. Información y responsabilidad
Los datos de una Organización deben ser identificados, captados, registrados,

procesados en información y comunicados en tiempo y forma a los funcionarios,
para que estos puedan tomar decisiones acertadas y cumplir con sus
responsabilidades.
 Están definidos los distintos reportes que deben remitirse a los distintos
niveles internos para la toma de decisiones.
 La información es apropiada de acuerdo a los niveles de autoridad y

responsabilidad asignados.
2.8.2. Flujo de Información
43
El flujo de información debe circular en todos los sentidos dentro de la

Organización:
 La información circula en todos los sentidos dentro de la Organización

(ascendente, descendente, horizontal y transversal) y está disponible para
quienes deben disponer de ella.
2.8.3. Sistemas de Información integrado
Los sistemas de información dentro de una Organización deben estar integrados.

Los funcionarios de una unidad organizacional deben saber como se vincula la
información elaborada por el área donde se desempeñan, con la información
elaborada por el resto de las unidades de la estructura A su vez, el sistema de
información debe estar condicionado a la Estrategia de la Organización.
El sistema de información debe servir para:
 La toma de decisiones a todos los niveles
 Evaluar el desempeño del organismo
 Rendir cuentas
Los funcionarios saben como se vincula la información elaborada por el área

donde se desempeñan, con la información elaborada por el resto de las unidades
de la estructura.
2.8.4. Flexibilidad al cambio
El sistema de información debe ser revisado, a los efectos de comprobar que

sigue siendo eficaz para la toma de decisiones a lo largo del tiempo. Se debe
constatar que la información elaborada sigue siendo relevante para los objetivos
de la Organización. Toda vez que el organismo cambie su estrategia, misión,
política u objetivos, se debe analizar el impacto sobre su sistema de información.
44
 El sistema de información es revisado a lo largo del tiempo, a los efectos

de comprobar que sigue siendo eficaz para la toma de decisiones y que la
información elaborada sigue siendo relevante para los objetivos de la
Organización.
 Se analiza el sistema de información cada vez que el organismo cambia su

estrategia, misión, política u objetivos.
2.8.5. Compromiso de la autoridad superior
Es imprescindible que la Dirección tome conciencia del grado de importancia del

sistema de información organizacional, para poder cumplir con sus objetivos.
Este compromiso se debe explicitar mediante la procura de recursos suficientes
para poder mejorarlo y volverlo más eficaz.
 La Dirección es consciente de la importancia del sistema de información

organizacional y este compromiso se explicita por ejemplo mediante la
procura de recursos suficientes para poder mejorarlo y volverlo más eficaz.
2.8.6. Comunicación, valores organizacionales y estrategias
La Organización debe contar con un sistema de comunicación multidireccionado,

que proporcione oportunamente a todos los funcionarios la información (relevante
y confiable), necesaria para poder cumplir con sus responsabilidades.
 Existen mecanismos que aseguran la comunicación en todos los sentidos.
45
 El sistema de comunicación proporciona oportunamente a todos los

funcionarios la información (relevante y confiable), necesaria para poder
cumplir con sus responsabilidades.
2.8.7. Canales de comunicación
Los canales de comunicación deben presentar un grado de apertura y eficacia

acorde a las necesidades de información internas y externas (sociedad, prensa,
entre otros).
 Existen canales de comunicación adecuados con terceros interesados y

partes externas (sociedad, prensa, entre otros).
2.9. Supervisión y Monitoreo
Los sistemas de control interno requieren supervisión, es decir, un proceso que

verifique la vigencia del sistema de control interno a lo largo del tiempo. Esto se
consigue mediante actividades de supervisión continuada, evaluaciones
periódicas o una combinación de ambas cosas.
2.9.1. Evaluación del sistema de control interno
La eficacia del sistema de control interno de toda Organización, debe ser

periódicamente evaluada por la Dirección y los mandos medios. Los resultados
de la evaluación deben ser comunicados a aquel ante quién se es responsable.
 El sistema de control interno es evaluado periódicamente por la Dirección

y los mandos medios a los efectos de corroborar su vigencia.
 Existen herramientas definidas de autoevaluación que permiten evaluar el

sistema de control interno implementado.
2.9.2. Eficacia del sistema de control interno
46
Un sistema de control interno se considera eficaz si la dirección de la Unidad

tiene la seguridad razonable de que:
 Dispone de la información adecuada sobre hasta qué punto se están

logrando los objetivos operacionales de la Unidad.
 Se prepara de forma fiable la información financiera de la misma.
 Se cumplen las leyes y normativa a las que se encuentra sujeta.
Si bien el control interno es un proceso, su eficacia es el estado o la situación del

proceso en un momento dado. Se evalúa periódicamente la eficacia del sistema
de control interno, teniendo en cuenta si la Dirección de la Unidad tiene seguridad
razonable de que:
 Dispone de la información adecuada sobre hasta qué punto se están

logrando los objetivos operacionales de la Unidad.
 Se prepara de forma fiable la información financiera de la misma.
 Se cumplen las leyes y normativa a las que se encuentra sujeta.
2.9.3. Validación de los supuestos asumidos
Se deben validar periódicamente los supuestos que sustentan los objetivos de

una Organización.
A modo de ejemplo, los objetivos de una Organización pueden apoyarse en

supuestos acerca de las necesidades de la sociedad. Por consiguiente será
fundamental la validación de estos supuestos a lo largo del tiempo.
47
 Se validan periódicamente los supuestos que sustentan los objetivos de

una Organización.
2.9.4. Deficiencias detectadas
Se deben establecer procedimientos que aseguren que toda deficiencia

detectada, que afecte al Sistema de Control Interno o pueda llegar a afectarlo,
pueda ser oportunamente informada.
 Existen procedimientos que aseguran que toda deficiencia detectada que

afecte al Sistema de Control Interno o pueda llegar a afectarlo, pueda ser
oportunamente informada.
ESTRUCTURA SEGÚN COSO II
48
2.1. Ambiente Interno
La dirección fija una filosofía respecto al riesgo y determinar el riesgo aceptado.

El ambiente interno establece la base de cómo el personal de la empresa debe
percibir y afrontar el control y el riesgo. El núcleo de cualquier negocio esta
constituido por sus personas – con sus atributos individuales, incluyendo
integridad, valores éticos y competencia – y el entorno en el que actúan.
El ambiente interno abarca el talento de una organización que influye en la

conciencia de sus empleados sobre el riesgo y forma la base de los otros
componentes de la gestión de riegos corporativos, proporcionando disciplina y
estructura.
El ambiente interno se ve influido por la historia y cultura de una entidad y

comprende muchos elementos, influyendo los valores éticos de la entidad, la
competencia y desarrollo del personal, la filosofía de la dirección para gestionar
riesgos y la forma de asignar la responsabilidad y autoridad. El consejo de
administración es un parte crítica del ambiente interno e influye en un modo
significativo en sus otros factores.
Aunque todos los elementos sean importantes, el alcance del tratamiento de cada
uno variara según la entidad. Por ejemplo, el consejo de legado de una empresa
con una plantilla reducida y operaciones centralizadas podrían no establecer
líneas formales de responsabilidades ni políticas operativas detalladas. Sin
49
embargo, la empresa podría constar con un ambiente interno que proporcionase

cimientos adecuados para la gestión de riesgos corporativos.
2.2. Establecimiento de Objetivos
Los objetivos deben existir antes que la dirección pueda identificar los eventos
potenciales, que afectan a su consecución. La gestión de riesgos corporativos
asegura que la dirección ha establecido un proceso para fijar objetivos y que los
objetivos seleccionados apoyen la misión de la entidad y se alinean con ella,
además de ser consistentes con el riesgo aceptado.
El establecimiento de objetivos es condición previa para la identificación de

eventos, la evaluación de riesgos y la respuestas a ellos. Tienen que existir
primero los objetivos para que la dirección pueda identificar y evaluar los riesgos
que impiden su consecución y adoptar las medidas necesarias para gestionar
estos últimos.
2.3. Identificación de Eventos
Deben de identificarse los eventos potenciales que deben tener un impacto en la

entidad. Esto implica la identificación de posibles acontecimientos internos o
externos que afectan a la consecución de objetivos, diferenciándolos según su
procedencia e incluye la distinción en entre los que representan riesgos u
oportunidades o ambas circunstancias a la vez. Las oportunidades se reenvían
hacia la estrategia de la dirección o a los procesos para fijar objetivos.
Al identificar eventos, la dirección reconoce que existen incertidumbres, por lo

que no sabe si alguno en particular tendrá lugar y, detenerlo, cuando será, ni su
impacto exacto. La dirección considera inicialmente una gama de eventos
potenciales, derivado de fuetes internas o externas sin tener que centrarse
necesariamente si su impacto es positivo o negativo. De forma, la dirección no
solo identifica los eventos potenciales negativos, sino también aquellos que
representan oportunidades a aprovechar.
50
Los eventos abarcan desde lo evidente a lo desconocido y sus efectos, desde lo

inconsecuente a lo muy significativo. Para evitar una consideración excesiva de
eventos relevantes, procede realizar de forma separada su identificación y la
evaluación de sus probabilidades de ocurrencia e impacto, aspecto este ultimo
que corresponde a la evaluación de riesgos. Sin embargo, existen limitaciones
prácticas y a menudo es difícil saber distinguirlas. Pero incluso los eventos con
una probabilidad de ocurrencia relativamente baja no debería ignorarse si es
grande su impacto sobre la consecución de un objetivo importante.
2.4. Evaluación de Riesgos
Los riesgos identificados se analizan para formar una base que determinen como
deben gestionarse y se asocian a los objetivos a los que pueden afectar,
evaluándose desde la doble perspectiva de riesgos inherentes y residuales y
considerando tanto su probabilidad como su impacto.
2.4.1. Contexto de la Evaluación de Riesgos.
Los factores internos y externos determinan que eventos pueden ocurrir y hasta a
que punto afectan a los objetivos de la entidad. Aunque algunos factores son
comunes a empresas de un mismo sector, los eventos resultantes son a menudo
únicos para la entidad determinada, debido a sus objetivos establecidos y sus
decisiones anteriores. En la gestión de riesgos, la dirección tiene en cuenta la
mescla de potenciales eventos futuros relevantes para la entidad y sus
actividades, dentro del contexto de los aspectos que conforman el perfil de riesgo
de la entidad, con sus dimensión, la complejidad de sus operaciones y el grado
de regulación de sus actividades.
Al evaluarse los riegos, la dirección considera los eventos esperados e

inesperados. Muchos de estos son rutinarios y recurrentes y ya se contemplan el
los programas de gestión y presupuestos operativos, pero otros son inesperados.
51
La dirección evalúa el riesgo de los eventos potenciales inesperados y, si todavía

no lo ha hecho, los eventos esperados que puedan tener un impacto significativo
en la entidad.
Aunque el termino “evaluación de riesgos” se aplica a veces en relaciones con

una actividad puntual, en el contexto de la gestión de riesgos corporativos su
componente con esa misma denominación constituye una continua e iterativa
interacción de acciones que tienen lugar a través de la entidad.
2.5. Respuesta al Riesgo
El personal identifica y evalúa las posibles respuestas a los riesgos: evitar,

aceptar, reducir o compartir. La dirección selecciona un conjunto de acciones
para poner en línea los riesgos con sus tolerancias respectivas y el riesgo
aceptado por la entidad.
Las respuestas a los riegos se incluyen en las siguientes categorías:
 Evitar: Supone salir de las actividades que generan riesgos. Evitar el riego
puede implicar el cese de una línea de producto, frenar la expansión hacia
un nuevo mercado geográfico a la venta de una división.
 Reducir: Implica llevar a cabo acciones para reducir la probabilidad o el
impacto del riesgo o ambos conceptos a la vez. Esto implica típicamente
alguna de las muchas decisiones empresariales cotidianas.
 Compartir: La probabilidad o el impacto del riesgo se producen trasladando
o, de otro modo compartiendo una parte del riesgo. Las técnicas comunes
incluyen la contratación de seguros, la realización de operaciones de
cobertura a la externalización de una actividad.
52
 Aceptar: No se emprende ninguna acción que afecte a la probabilidad o el

impacto del riesgo.
2.6. Actividades de Control
Las políticas y procedimientos se establecen y ejecutan para asegurar que se

lleven a cabo eficazmente las respuestas a los riesgos seleccionadas por la
dirección.
Los procedimientos son las acciones de las personas para implantar las políticas,
directamente o a través de la aplicación de tecnología, y ayudar a asegurar lo que
se llevara a cabo las respuestas de la dirección a los riegos. Las actividades de
control pueden ser clasificadas por naturaleza de los objetivos de la entidad con
la que están relacionadas: estrategias, operaciones, información y cumplimiento.
Aunque algunas actividades de control corresponden exclusivamente a una sola

categoría, a menudo se solapan. Según circunstancias, una determinada
actividad de control podría ayudar a alcanzar los objetivos de la entidad en mas
de una categoría. Por ejemplo, ciertos controles sobre operaciones también
pueden ayudar a asegurar una información fiable y las actividades de control
sobre la información también pueden servir para llevar a cabo el cumplimiento.
2.7. Información y Comunicación
La información relevante se identifica, capta y comunica de un modo de un plazo

que permita a las personas desarrollar sus responsabilidades. Hace falta
información a todos los niveles de una entidad para identificar, evaluar y
responder a los riegos. También puede darse una comunicación eficaz en sentido
amplio, cuando fluye en todas direcciones dentro de la entidad. El personal debe
recibir comunicaciones claras sobre su papel y responsabilidades.
2.7.1. Información.
53
La información se necesita a todos los niveles de la organización para identificar,

evaluar y responder a los riesgos y por otra parte dirigir la entidad y conseguir sus
objetivos, Se usa mucha información, relevante para una o más categorías de
objetivos.
La información operativa de fuentes internas y externas, tanto financiera como no

financiera, es relevante para múltiples objetivos de negocio. La información
financiera, por ejemplo, se usa para elaborar los estados financieros con fines de
información y también para tomar decisiones operativas, tales como la
supervisión del funcionamiento y la asignación de recursos. Una información
financiera fiable es básica para planificar, presupuestar, fijar precios, evaluar el
rendimiento del vendedor y llevar a cabo otras actividades de gestión.
2.7.2. Comunicación.
La comunicación es inherente a los sistemas de información. Como ya se ha

comentado antes, estos sistemas deben proporcionar información al personal
adecuado, para que pueda llevar a cabo sus responsabilidades operativas, de
información y de cumplimiento. Pero la comunicación también debe tener lugar
en un sentido más amplio, abordando las expectativas, las responsabilidades de
los individuos y grupos y otros temas importantes.
2.8. Monitoreo
Toda la gestión de riesgos corporativos se supervisa, realizando en ella las

modificaciones que sean necesarias. De este modo, se pueden reaccionar
dinámicamente y cambiar si varían las circunstancias. Esta supervisión se lleva a
cabo a través de actividades permanentes a la dirección, evaluaciones
independientes a la gestión de riesgos corporativos o una combinación de ambas
actuaciones.
La gestión de riesgos corporativos es un proceso dinámico. Por ejemplo la

evaluación de los riesgos induce una respuesta a ellos y puede influir en las
54
actividades de control, así como destacar la conveniencia de reconsiderar las

necesidades informativas y de comunicación a las actividades de supervisión de
la entidad. Así, gestión de riesgos corporativos no solo constituye un proceso en
serie, donde cada componente afecta solo al siguiente, sino q es un proceso
multidireccional o iterativo en que casi cada componente puede influir en otro.
No existen dos entidades que apliquen o debería aplicar la gestión de riesgos

corporativos del mismo modo. Las empresas y sus capacidades y necesidades
de gestión de riesgos corporativos difieren enormemente según su dimensión y
sector y según la filosofía y cultura de la dirección.
CAPITULO III
ESTRUCTURA SEGÚN COSO III
3.1. Control Interno del Reporte de la Información Financiera.
En 1992 el Comité de Organizaciones Patrocinadoras de la Comisión Treadway

(Committee of Sponsoring Organizations of the Treadway Commission) publicó el
Marco Integrado de Control Interno (Internal Control Integrated Framework) para
ayudar a empresas y otras entidades a evaluar y mejorar sus sistemas de control
interno.
Desde entonces, el Marco ha sido reconocido por ejecutivos, miembros del

consejo de administración, organismos reguladores, creadores de normas,
55
organizaciones profesionales y otros como un marco apropiado y exhaustivo para

el control interno.
Asimismo, ha habido cambios en el reporte de la información financiera y en los

ámbitos legal y regulatorios relacionados. De importancia, la Ley Sarbanes-Oxley,
que se promulgó en EEUU en el 2002. Entre sus disposiciones, el Apartado 404
requiere que la dirección de empresas cotizadas evalúen e informen anualmente
sobre la eficacia del control interno en el reporte de la información financiera. A
pesar de estos desarrollos y el paso del tiempo, el Marco sigue siendo relevante
hoy en día y la dirección de las grandes y pequeñas empresas cotizadas lo
utilizan para cumplir con el Apartado 404. Sin embargo, muchas empresas han
experimentado costes inesperados y las empresas más pequeñas se enfrentaron
a desafíos únicos al implementar el Apartado 404.
3.2. Características de las empresas más pequeñas.
Clara que defina a las empresas como pequeñas, medianas o grandes, esta guía
no proporciona tales definiciones. Utiliza el término más pequeña en lugar de
pequeña empresa, lo que sugiere que se dirige a un amplio abanico de
empresas. Está enfocada en empresas que tienen varias de las siguientes
características:
 menos líneas de negocio y menos productos dentro de cada línea

 concentración del enfoque de marketing, por canal o geografía
 liderazgo de la dirección con intereses o derechos de propiedad
significativos
 menos niveles de dirección, con ámbitos de control más amplios
56
 sistemas de procesamiento de transacciones y protocolos menos

complejos
 menos personal, con un espectro más amplio de tareas
 capacidad limitada para mantener recursos de línea abundantes así como
puestos de apoyo como legal, RRHH, contabilidad y auditoría interna.
Ninguna de estas características por si sola es definitiva. Desde luego, el tamaño

usando cualquier medición ingresos, personal, activos u otros afecta y se ve
afectado por estas características y condiciona nuestra noción de lo que significa
más pequeño .
3.3. Costos y Beneficios.
La dirección y otras partes interesadas de sociedades cotizadas, especialmente

las más pequeñas, han puesto mucha importancia en el coste de cumplir con el
Apartado 404 y le han prestado menos atención a los beneficios asociados.
Aunque puede ser difícil medir impactos asociados con un reporte de la
información financiera impreciso, las reacciones del mercado ante informes
incorrectos claramente señalan que la los inversores no toleran fácilmente el
reporting impreciso, independientemente del tamaño de la empresa. En ese
sentido y junto con otros beneficios explicados más abajo, un control interno
eficaz añade valor significativo.
Entre los beneficios más significativos se encuentra la acrecentada capacidad de

las empresas de acceder a los mercados de capitales, proporcionando capital
que impulsa la innovación y el crecimiento económico. Entre otros beneficios se
encuentra la información fiable y puntual que apoya la capacidad de decisión de
la dirección, mecanismos consistentes para procesar transacciones en una
organización, lo que aumenta la velocidad y la fiabilidad, así como la habilidad de
comunicar de forma precisa el rendimiento del negocio a socios y clientes.
57
3.4. Componentes.
3.4.1. Ambiente de Control
 Integridad y Valores Éticos La integridad y los valores éticos sólidos,

especialmente de los altos directivos, se desarrollan, se comprenden y
fijan el estándar de conducta para el reporte de la información financiera.
 Consejo de Administración El Consejo de Administración entiende y ejerce
la responsabilidad de supervisión relacionada con el reporte de la
información financiera y el control interno relacionado.
 Filosofía y estilo operativo de la dirección La filosofía y la forma de operar
de la dirección ayuda a lograr el control interno eficaz del reporte de la
información financiera.
 Estructura de la organización La estructura de la organización de la
empresa ayuda a lograr el control interno eficaz del reporte de la
 Competencias del reporte de la información financiera La empresa retiene
individuos competentes en reporte de la información financiera y puestos
de supervisión relacionados.
 Autoridad y responsabilidad Se asignan niveles de autoridad y
responsabilidad a la dirección y empleados para facilitar el control interno
eficaz del reporte de la información financiera.
 Recursos humanos Se diseñan e implementan políticas y prácticas de
recursos humanos para facilitar el control interno eficaz del reporte de la
3.4.2. Evaluación de Riesgos
 Objetivos de reporte de la información financiera La dirección especifica

los objetivos de reporte de la información financiera con suficiente claridad
58
y criterios para facilitar la identificación de riesgos al reporte de la

información financiera fiable.
 Riesgos de reporte de la información financiera La empresa identifica y
analiza riesgos al logro de los objetivos de reporte de la información
financiera como base para determinar cómo se deberían gestionar estos
riesgos.
 Riesgo de fraude La probabilidad de un error material debido a fraude se
considera explícitamente cuando se evalúan los riesgos para lograr los
objetivos de reporte de la información financiera.
3.4.3. Actividades de Control
 Integración con evaluación de riesgos Se toman acciones para abordar los

riesgos al logro de los objetivos de reporte de la información financiera.
 Selección y desarrollo de actividades de control Se seleccionan y
desarrollan actividades de control teniendo en cuenta su coste y su
eficacia potencial de mitigar riesgos para lograr los objetivos de reporte de
la información financiera.
 Políticas y procedimientos Se fijan y comunican en toda la empresa las
políticas relacionadas con el reporte de la información financiera fiable, y
los procedimientos correspondientes que resulta en la aplicación de las
directrices de la dirección.
 Tecnología de la información Se diseñan e implementan los controles de
tecnología de la información donde sean aplicables, para ayudar a lograr
los objetivos de reporte de la información financiera.
3.4.4. Información y Comunicación
 Información de reporte de la información financiera Se identifica, captura y

utiliza información pertinente en todos los niveles de la empresa y se
59
distribuye en un formato y marco de tiempo que ayuda a lograr los

objetivos de reporte de la información financiera.
 Información de control interno - Se identifica y captura información utilizada
para poner en marcha otros componentes de control y se distribuye en un
formato y marco de tiempo que permite al personal llevar a cabo sus
responsabilidades de control interno.
 Comunicación interna La comunicación permite y ayuda a la comprensión
y ejecución de objetivos, procesos y responsabilidades individuales de
control interno en todos los niveles de la empresa.
 Comunicación externa Se comunica a partes externas los asuntos que
afectan la consecución de los objetivos de reporte de la información
financiera.
3.4.5. Supervisión
 Evaluaciones continuas y separadas Evaluaciones continuas y/o

separadas permiten que la dirección determine si el control interno de
reporte de la información financiera existe y funciona.
 Deficiencias de reporte Se identifica y comunica las deficiencias de control
interno de forma puntual a las partes responsables de tomar acción
correctiva y a la dirección y la junta según sea apropiado.
60
CAPITULO IV
PARTE PRÁCTICA
El siguiente caso presenta un análisis de los controles que se tiene en el

departamento de sistemas de una empresa mediana, la cual se dedica a la
distribución de vehículos. Debe tomares en cuenta que se evaluara el
departamento y no será la evaluación de toda la organización.
Para la evaluación de control interno es muy importante la revisión de los

controles existentes en el área de sistemas ya que la información financiera es
generada por medio de los sistemas con los que cuentan y depende del buen
uso de las mismas para que sea generada de la manera correcta.
Se definirán cada uno de los componentes del control interno y su interrelación

con el área de sistemas.
61
AMBIENTE DE CONTROL
Valores éticos.
El personal de dicha organización es un personal consiente de cumplir con los

valores establecidos por la dirección. Dichos valores son documentados en un
Código de Conducta en donde se establece cual será el comportamiento correcto
dque debe de tenerse dentro de la organización. En la organización no se tiene
una totacion de personal alta sino que por el contrario, los empleados se
identifican con la organización y cumplen con los valores establecidos.
El personal del departamento de sistemas esta consiente de guardar la cordura

dentro y fuera de la organización. El personal tiene que laborar en dicha
organización aproximadamente 10 años.
El gerente de dicho departamento forma parte de un comité en el cual se incluyen

todos los gerentes de área. Dicho comité se reúne quincenalmente con el objetivo
de evaluar las necesidades que se tiene y en forma conjunta, dar soluciones a
estas.
Estructura Organizacional.
El departamento está conformado por gerente y tres personal más. El

organigrama se presenta a continuación.
62
Dentro de las funciones del departamento de sistemas se tiene:
El gerente de sistemas se encarga de la elaboración de proyectos nuevos así

como a la asignación al personal a su cargo y la programación de tiempo de cada
uno de ellos.
Programación.
 Cambio de programas, actualizaciones y otros.
 Verificación del acuerdo funcionamiento de los programas ya existentes.
 Desarrollo de reportes y demás requerimientos.
Operaciones.
 Soporte de comunicaciones, redes, internet.
 Realización de backup (respaldos).
 Seguridad lógica (manejo de contraseñas)
 Seguridad física
Soporte a usuarios.
 Actualizaciones de software e instalación del mismo.
 Solución a problemas relacionados con programas utilitarios y con equipo.
63
 Se cuenta con descriptores de puestos en donde se especifican las

actividades que se realizan.
 El personal participa en cursos de capacitación.
EVALUACION DEL RIESGO.
Como primer punto se debe identificar a los objetivos relacionados en dicha area.
Estos objetivos cumplen con la clasificación de objetivos relacionados con las
operaciones debido a que dicha área es operativa y debe de tener los controles
adecuados para que no haya problema con el uso de los sistemas.
Dentro de los objetivos generales que deben de existir en dicha area pueden
mencionarse.
 Asegurar que las funciones del area de sistemas cumplan con los objetivos
de la organización.
 Existencia de una segregación de funciones del personal dentro del

departamento de sistemas.
 Asegurar que no existan accesos sin autorización.
 Contar con los controles necesarios para minimizar el riesgo de que el

equipo no sea dañado accidental o intencionalmente.
 Asegurar que el desarrollo de sistemas y los cambios a programas sea

autorizados y probados y documentados.
 Contar con los respaldos y el plan de contingencias necesarios para

reaunadar las operaciones en caso de algún desastre.
64
En esta evaluación se mencionaran solo lar areas de riesgo. Lo que no se

menciona fue evaluado y cumple con los controles necesarios.
Seguridad Lógica.
 Las contraseñas se cambian anualmente.
 No se cuenta con la política de que Recursos Humanos informe con

anticipación el retiro de personal cuando deja de laborar en la
organización. Dicho personal es informado inoportunamente, muchas
veces por observación propia.
 No existe un informe para la administración, en donde se detalle los

usuarios y sus accesos.
Seguridad Física.
 Los servidores están ubicados en un área exclusiva, dentro del

departamento de sistemas. La puesta de dicha área se mantiene abierta.
 No se cuenta con alarmas de incendio.
Desarrollo de sistemas y cambios a programas.
 En ocasiones los cambios no son probados por el usuario que lo requirió.
Continuidad del Negocio.
 Los respaldos solo se resguardan en las oficinas de la organización.
65
Identificación de Efecto/Causa:
EFECTO CAUSA
1 Uso inadecuado de contraseñas Cambios con periodos largos de tiempo
Acceso de usuarios que ya no laboren en la Despido o denuncias no informadas
2
empresa oportunamente
Desconocimiento de la administracion de
3 Asignacion incorrecta de accesos
los accesos asignados a los usuarios
Daños a equipo principal, accidenta o mal Acceso no restringuido al area de
4
intencionalmente. servidores
En el caso de que el equipo se sobrecalentara
5 y provocara fuego, este no podria ser No tienen alarmas de incendio
controlado a tiempo
Los cambios a programas pueden no cumplir Cambios a programas sin el Vo.Bo. Del
6
con las necesidades del usuario que lo requirio. usuario que los requirio
En el caso de algun desastre o robo, los Los respaldos (backups) solo son
respaldos pueden ser dañados o robados por
7
lo que, en caso de ser necesario, la informacion
puede ser no recuperada resguardados en las oficinas.
66
CONCLUSIONES
1. El control interno constituye una parte fundamental en toda organización ya

que de este depende que todas las operaciones se realicen adecuadamente y
que los riesgos existentes puedan ser manejados y eliminados.
2. Según el Informe COSO el Control Interno es un proceso efectuado por el

Consejo de Administración, la dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar un grado de seguridad razonable en
cuanto a la consecución de objetivos dentro de las siguientes categorías:
Eficiencia y eficacia de las operaciones, confiabilidad de la información, así
como el cumplimiento de las leyes y normas aplicables.
3. El modelo de Coso III presenta cinco componentes que trabajan en conjunto

para prevenir y detectar o corregir errores materiales en informes financieros
para que la dirección pueda tener seguridad razonable de que los estados
financieros son confiables, de esta forma se podrá determinar que el control
interno existente es eficaz.
67
RECOMENDACIONES
1. En todas las organizaciones debe de aplicarse la evaluación de los

controles existentes, no solo como parte de la auditoria, sino como un
proceso integral de las operaciones, sobre todo cuando se implementen,
para que desde el principio, se efectúen la forma correcta con el adecuado
manejo de los riesgos existentes.
2. Se recomienda al futuro Contador Público y Auditor incorporar en la

evaluación de control interno que realice, los cinco componentes del Sistema
de control interno propuestos en el Informe COSO, ya que permite realizar en
forma completa y más eficiente el examen de las operaciones.
3. Como futuros asesores, es importante incluir este tema tanto en nuestros

conocimientos profesionales, así como también tomarlo en cuenta como una
técnica de evaluación de control interno examinando cada uno de los
componentes.
68
REFERENCIA BIBLIOGRÁFÍCA
1. CAMACHO LOMELI, LILIA Diseno Del Sistema De Control Interno Basado

En El Modelo Coso Para La Empresas, 7 de Enero 2009
2. Committee of Sponsoring Organizations of the Treadway Commission.

CONTROL INTERNO DEL REPORTE DE LA INFORMACION
FINANCIERA – GUÍA PARA PEQUEÑAS EMPRESAS COTIZADAS,
Volumen III: Herramientas de Evaluación. Junio 2006.
3. COOPERS & LYBRAND. LOS NUEVOS CONCEPTOS DEL CONTROL

INTERNO. INFORME COSO. Ed. Díaz de Santos
4. Guías de Auditoría Interna, Instituto Guatemalteco de Contadores Públicos

y Auditores
5. El informe COSO frente al contexto colombiano Angélica María Carmona

Ortega, Ángel Alonso Gutiérrez Pérez Revista ASFACOP Año 6, Pág. 89-
106
6. http://www.auditool.org/index.php?
option=com_content&view=article&id=290:el-informe-coso-i-y-
ii&catid=39:trip-deals&Itemid=56
7. http://www.slideshare.net/realma/presentacion-control-interno-coso-es?
src=related_normal&rel=6532863
8. http://www.tesis.ufm.edu.gt/pdf/3639.pdf
69
70

Investigacion Control Interno Coso Iii Pymes

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Investigacion Control Interno Coso Iii Pymes

Cargado por

Copyright:

Formatos disponibles

INTRODUCCIÓN

Para las organizaciones es de mucha importancia tener los controles internos

El presente trabajo consta de cuatro capítulos donde se desarrolla la evaluación del

Evaluación de Control Interno según criterios Coso III PYMES

1. PREFACIO A LA AUDITORIA INTERNA

La Auditoría Interna es un recurso gerencial; por la creciente complejidad y

En nuestro país la Auditoría Interna nació como una necesidad de las

Evaluación de Control Interno según criterios Coso III PYMES

En ese sentido, el presente documento se constituye en la primera guía, emitida

1.2. CLASIFICACION DE LA AUDITORIA

1.2.1. En base a la posición del auditor.

1.2.1.1. Auditoría interna

La Auditoría Interna forma parte de la estructura organizativa de la empresa y

1.2.1.2. Auditoría Externa

La Auditoría Externa tiene como principal propósito examinar los estados

Evaluación de Control Interno según criterios Coso III PYMES

1.2.2. En base a su objetivo

1.2.2.1. Auditoría financiera.

Consiste en examinar los estados financieros de una entidad por un período

1.2.2.2. Auditoria operacional.

Es examinar y evaluar sistemáticamente las operaciones de una entidad con el

En resumen, la Auditoría Operacional evalúa la calidad de las operaciones

1.2.2.3. Auditoria administrativa

Es un enfoque sistemático orientado a evaluar la ejecución de la administración.

Evaluación de Control Interno según criterios Coso III PYMES

1.2.2.4. Auditoría fiscal.

Es la evaluación de la información financiera, declaraciones de impuestos y otras

1.2.2.5. Auditoría social.

Consiste en evaluar las consecuencias sociales de las actividades de las

1.3. IMPORTANCIA DE LA AUDITORIA INTERNA.

Tradicionalmente la Auditoría Interna se há orientado hacia aquellos aspectos de

Siendo la Auditoría Interna un control de los controles e instrumento de medición

1.4. OBJETIVOS QUE PERSIGUEN LA AUDITORIA INTERNA

1.4.1. Garantizar información financiera confiable y oportuna.

El auditor debe evaluar la efectividad de los controles internos, ya que esto le

Evaluación de Control Interno según criterios Coso III PYMES

oportunamente la situación financiera de la empresa. La Auditoría Interna por

 Conocer la precisión y veracidad de la contabilidad.

1.4.2. Salvaguarda de los activos

Un examen adecuado y oportuno de los activos permitirá al auditor interno

 La propiedad de los activos de la empresa.

1.4.3. Promover la eficiencia operativa de la entidad

Cuando la Auditoría Interna evalúa actividades relacionadas con el uso

 Efectúa la evaluación de: estándares que miden si la utilización de los

Evaluación de Control Interno según criterios Coso III PYMES

 Si el recurso humano ha entendido y cumple con los estándares de

1.4.4. Cumplimiento de objetivos, políticas, planes, procedimientos, leyes y

 En toda empresa la administración es responsable de fijar objetivos,

1.5. ASPECTOS GENERALES DEL CONTROL

1.5.1. ANTECEDENTES HISTÓRICOS

Desde tiempos remotos, el ser humano ha tenido la necesidad de control Los

Evaluación de Control Interno según criterios Coso III PYMES

En 1518 se constituyó el Consejo de Indias como órgano supremo de

Hacia el siglo XVI en Colombia se formó la Real Audiencia de Santa Fe de

De ahí en adelante se presentaron modificaciones, leyes, actos legislativos, hasta

Evaluación de Control Interno según criterios Coso III PYMES

figura Fiscal de Contador, cuya función consistía en examinar cuentas del

Mediante el Decreto-Ley 222 de 1983 se mantiene el control posterior en la

1.5.2. DEFINICIÓN DE CONTROL

Es un mecanismo preventivo y correctivo adoptado por la administración de una

El control es el proceso de verificar el desempeño de distintas áreas o funciones

Declaración formal de los resultados que se esperan de la implantación de

La importancia del control es concebido como una actividad no sólo a nivel