Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Lectura fundamental
Contenido
1 Generalidades de la organización
2 Control interno
6 Materialidad
Palabras clave: amenaza, aseveraciones, causa, control interno, organización, riesgo, seguridad razonable.
1. Generalidades de la organización
En el siglo XVI, hablar de empresa referenciaba la necesidad de logro personal y mientras que el
concepto de organización giraba en torno al proceso de ubicar cada cosa en su lugar. La revolución
industrial mostró al hombre que cualquier avance o desarrollo tecnológico generaría nuevas formas
en las relaciones humanas y laborales dentro y fuera de la unidad productiva. Los individuos, a través
del conocimiento y de las competencias que poseen, están en capacidad de crear y desarrollar nuevas
formas de organización y con ello nuevos mundos (Rosales, 2008).
Los condicionamientos, los resultados y los efectos desarrollados por los diferentes elementos que
integrarían la empresa moderna, hicieron posible reconocer que las diferentes características, una vez
eran categorizadas, permitían al sujeto identificar diferentes modelos organizacionales. Varios autores
explicaron dichos modelos y los asociaron a parámetros psicológicos, sociales, políticos, culturales y
económicos que permitieron establecer la forma en que los individuos se relacionaban, los objetivos
que perseguían en conjunto e individualmente y las limitaciones que debían enfrentar.
Cada modelo ha sido asociado a una estructura entendida no solo desde la dimensión física sino desde
la abstracción, que en últimas representa el concepto de organización empresarial moderna. Dicho
concepto, basado en la abstracción, muestra la organización empresarial moderna como una idea que
se convierte en imaginario colectivo. Este imaginario reúne varios y diversos componentes que se
concentran en tres grandes grupos: las personas, la estructura y el negocio.
Por un lado, las personas están representadas por sujetos con diversidad de intereses. La estructura,
por su parte, se da como resultado de las relaciones entre las personas y los múltiples recursos, en
función de las políticas establecidas para el direccionamiento de las actividades que buscan: el avance
de los trabajadores, el fortalecimiento de la estructura y el desarrollo del negocio1. Finalmente, el
negocio se entiende como el conjunto de actividades tendientes a conseguir los recursos de capital,
que permitan sostener la operación normal de la organización empresarial (Rosales, 2008).
Uno de los modelos más estudiados es el formulado por el sociólogo Max Weber en Alemania, quien
escribió acerca de las "estructuras maquinales o burocráticas" en las cuales las actividades quedaban
formalizadas mediante reglas, descripciones del puesto y preparación previa. (Henry Mintzberg,
2002). Posteriormente el proceso se acentuó en los espacios públicos y luego en los privados, con
grandes efectos operativos, pero que, desde la administración de personal, o acuñando una frase
Mcgregoriana, desde el lado humano de la organización, rutinizó su desarrollo y de alguna forma
eliminó su capacidad de crear.
1. Negocio: Del latín Negotium: actividades necesarias de realización para la generación de utilidad.
POLITÉCNICO GRANCOLOMBIANO 2
Ahora bien, la organización empresarial moderna, logra sus procesos de estructuración a través de
mecanismos de control tales como:
• Supervisión directa: se presenta cuando las organizaciones superan la estructura simple. Así,
una persona es responsable del trabajo de los demás, ocupando un rol superior y generando
variadas combinaciones de intereses.
• Normalización: logra la coordinación de las partes con anterioridad a la realización del trabajo
y busca estructurar organizaciones bajo el enfoque de procesos que acompañan la labor al
interior de las mismas. Este mecanismo recoge tres grandes momentos en la estructuración
de organizaciones complejas; i) en la entrada con la especificación del tipo de habilidades
y conocimientos de las personas requeridas para la realización del trabajo; ii) en el proceso
con la definición del contenido del mismo; iii) en los resultados con el establecimiento de la
especificación de los mismos en sus dimensiones y rendimiento). Este mecanismo es la base de
los sistemas de gestión de la calidad, presentes hoy en la gran mayoría de las organizaciones.
De este modo, si se amplía cualquier mecanismo se encuentra una explicación compleja para hacer
referencia a que independientemente del tamaño de la organización, son las personas, los roles que
asumen y las relaciones que entablan (de acuerdo con los intereses particulares y colectivos) quienes
dinamizan las operaciones al interior de la organización, que, a su vez, a través del conocimiento
y de las competencias que poseen están en capacidad de crear y desarrollar nuevas formas de
organización y con ello nuevos mundos (Lazzarato, 2006). Estos esfuerzos individuales y colectivos,
formales e informales, sumados a los esfuerzos de los grupos de interés (stakeholders) que rodean a
la organización, generan nuevas posibilidades que la actual gestión humana está llamada a descubrir,
analizar y entender.
POLITÉCNICO GRANCOLOMBIANO 3
Mucho se ha hablado del desarrollo empresarial y del alcance e impacto que puedan tener las
organizaciones empresariales no solo en terrenos económicos sino también políticos, sociales y
culturales. Así, la empresa se ha convertido en uno de los actores más destacados de las sociedades
modernas, pero ¿realmente se habla de desarrollo o de crecimiento empresarial? Para dar respuesta
a esta pregunta es necesario retomar el concepto de empresa reconociendo que la organización
empresarial moderna es una construcción abstracta en donde se reconocen tres grandes
componentes. Lo que nos sugiere al hablar de desarrollo, contemplar un avance equitativo entre ellos
(Rosales, 2008).
Con respecto a las responsabilidades de las organizaciones empresariales modernas, es pertinente
citar a Jairo Carrillo quien en su libro Ética y Empresa señala que:
Por lo tanto, la preocupación central de cualquier institución, negocio o servicio, estatal o de
derecho privado, girará alrededor del impacto de su actividad en el bienestar de la comunidad y su
responsabilidad social estará por encima, incluso de sus propias utilidades. Los gobiernos y las entidades
creadas para el fomento del desarrollo empresarial incentivarán con estímulos realmente significativos a
los dirigentes públicos y privados que abran nuevos puestos permanentes de trabajo. Siempre será mejor
que dos empleados hagan el trabajo de uno, que, al contrario. (Carrillo, 2006)
Con base en lo anterior el auditor deberá conocer la organización en todos sus aspectos:
Tipo de empresa
Industrial
Comercial Sociedad Anónima (SA)
Servicios Otras características a conocer
Sociedad por acciones
simplificadas (SAS)
Estructura Tendencia del
Limitada (LTDA) organizacional negocio
Control interno Informes financieros
Entidad Comandita por acciones Políticas Informes de gestión
sin ánimo Planes y programas
de lucro Procesos
Comandita simple
Procedimientos
POLITÉCNICO GRANCOLOMBIANO 4
2. Control interno
La dinámica de las organizaciones empresariales hace necesario que la administración construya
una instrumentalidad de gestión que, basada en la comprensión ampliada del control, le permita a la
dirección poder responder ante las exigencias internas y externas de los mercados competitivos.
Con este propósito se desarrolla un campo denominado control interno, constituido con la
instrumentalidad necesaria para la evaluación operacional, sustentada en los principios de eficiencia,
eficacia y efectividad, y basado, además, en la calidad de información financiera y en el aseguramiento
del direccionamiento de la organización bajo el cumplimiento de la tecnoestructura (regulación
normativa y política).
Desde los diferentes componentes del control interno, se pueden identificar varios elementos:
actividades, ambiente, información y comunicación, seguimiento y monitoreo y gestión de riesgos
(incluyendo desde la etapa de identificación hasta valoración) abordándose de forma sistémica. Estos
elementos indican que el control interno hace parte del corazón y del cerebro de la organización, ya
que es, en sí misma, una tecnología de control.
La gestión de riesgos implica, además, dar pauta para entender cómo la acción humana representada
en la toma de decisiones, desde el ápice de la organización hasta el nivel operativo es susceptible de
error. Esto presupone la necesidad de fortificar el sistema de control interno y de sus componentes
para dar respuesta y para prevenir posibles fallas dentro y fuera del sistema (en especial en lo
referente al ambiente externo en el que se desarrolla la organización y en la que habitan infinitas
variables que no dependen de la misma).
El compromiso gerencial con el control interno implica su mayor oportunidad. Es así como al interior
de las organizaciones se han creado áreas funcionales dedicadas específicamente al manejo de este
tema. Por ejemplo, la figura del director del control interno hoy goza de reconocimiento nacional e
internacional en la esfera pública y privada y ha posibilitado que desde la academia se tengan procesos
de formación avanzada en dicho campo temático.
En la actualidad y desde que la Ley 87 de 1993 institucionalizó la aplicación del control interno en el
Estado Colombiano, ha sido claro que este juega un papel fundamental para el desarrollo económico
y social del país y en particular para el fortalecimiento de la confianza en las instituciones del Estado y
en la empresa privada. Con respecto a los modelos de control interno, es importante hacer referencia
al avance que el Estado colombiano ha logrado con el desarrollo y la operación del Modelo Estándar
de Control Interno MECI, que ha significado el acompañamiento y el pronunciamiento positivo
alrededor del sistema del Control Interno en Colombia.
POLITÉCNICO GRANCOLOMBIANO 5
A nivel internacional son múltiples los pronunciamientos alrededor del control interno, sin embargo,
se resalta la labor de la Comisión Nacional de Reporte Financiero de Fraude (National commission
on fraudulent financial reporting) al crear en 1985 en Estados Unidos el Comité Patrocinador de
Organizaciones (Commitee of sponsoring organizations). Este comité crearía las orientaciones para
fundamentar conceptualmente el control interno y lograr una plataforma común para el abordaje en
los diferentes campos donde se trabajara el tema.
Es decir, el control interno, como lo sugiere el profesor Humberto Rosales (2015), constituye la base
de dispositivos más importantes para el desarrollo y la estructuración de la organización, así como
para asegurar el cumplimiento de los objetivos de la gestión moderna. Se suman diferentes versiones
complementarias que hoy se conocen como el caso del COSO, así como las de la Comisión de
Normas de Control Interno de la organización internacional de Entidades Fiscalizadoras Superiores
(INTOSAI). Se entiende pues, que el control interno y sus componentes representan el ADN de
la organización en su sentido amplio y posibilitan el avance de las dinámicas de control y el uso de la
información para la comprensión de mundo empresarial moderno.
Al revisar los componentes y su relación con los objetivos en el marco general COSO (proyecto
orientado al fortalecimiento del control interno, la comprensión del riesgo empresarial y la disminución
del fraude), es importante analizar que los componentes tienen un avance transversal en el
desempeño de la organización. Es así como COSO se ha encargado a través del tiempo (desde el
pronunciamiento de 1992 de orientaciones básicas para el fortalecimiento de los sistemas de control
interno) de robustecer la experiencia de cada uno de los componentes descritos al inicio de este tema.
to
ien
s
n
ne
ió
im
cio
ac
m
pe
fo
Cu
O
In
Función
Actividades de Control
los ejercicios de auditoría que están llamados a
realizar para el fortalecimiento de la organización.
Información y Comunicación
Supervisión
POLITÉCNICO GRANCOLOMBIANO 6
La comprensión del control interno como proceso, implica la necesidad de que la organización
proyecte las implicaciones humanas, sociales, tecnológicas y políticas en la empresa y fuera de esta.
Si el objeto del control interno de aumentar la confianza por el conocimiento profundo de la actividad
operacional, informativa y por el cumplimiento de los objetivos de la organización no se da, estamos
ante una de las crisis de mayor complejidad: la perdida de la confianza empresarial.
No tener la información bajo las condiciones necesarias constituye un elemento significativo dentro
del espectro de riesgo. Sin embargo, esta noción es mucho más amplia si se tiene en cuenta que el
riesgo encierra numerosos factores relacionados al desarrollo adecuado de los acontecimientos que,
de no darse, puedan tener efectos negativos en la operación de la organización.
El seguimiento efectivo de dichos riesgos hace parte de la necesidad de activar la evaluación continua
e independiente, que, si bien se puede leer en dos categorías diferentes, puede constituir de forma
mixta una oportunidad para el componente de supervisión. El desarrollo permanente de un sistema
de control interno demuestra claramente el compromiso de la organización con la ética y con la
validación de ejercicios independientes de supervisión, lo que permite romper lógicas perversas que
solo conducen la organización al fracaso.
Un estudio profundo de los modelos de control interno y de su alcance, permite que se avance en el
desarrollo y en la consolidación de una cultura de control para la sostenibilidad empresarial. Teniendo
en cuenta lo anterior, el auditor deberá evaluar y analizar el control interno con base en cinco
componentes establecidos por el modelo COSO:
POLITÉCNICO GRANCOLOMBIANO 7
Ambiente Evaluación Actividades
de control del riesgo de control
Actitud de la administración y el Identificar y evaluar los riesgos Corresponde a cada una de las
personal de la organización con internos y externos con el fin de acciones, politicas y procedimientos
respecto a la importancia del alcanzar los objetivos de trabajo, así que sirven para asegurar que las
control interno, su incidencia en como la manera de ser administrados. normas de la Dirección
las actividades y el resultado. Administrativa se cumplan.
Información Supervisión
y comunicación y monitoreo
POLITÉCNICO GRANCOLOMBIANO 8
Tabla 1. Ejemplo cuestionario ambiente de control
Ambiente de control
Evaluación Preguntas
¿La gerencia tiene planteadas las estrategias para la reducción de actos frente al fraude, que puedan
Valores éticos e cometer los colaboradores?
integridad
¿La organización cuenta con un código de ética?
Estructura ¿La empresa cuenta con una estructura organizacional adecuada de acuerdo con el tipo de empresa
organizacional y con sus actividades?
Conocimiento del ¿La organización cuenta con mecanismos para capacitar a sus colaboradores en cuanto al control
control interno y se asegura que han entendido?
Aportes de la
junta directiva ¿La junta directiva se involucra e identifica los procesos que aplica la gerencia para monitorear los
en el gobierno riesgos que puedan afectar el negocio?
corporativo
Políticas de
¿La organización diseñó manual de funciones y este se ha comunicado a los colaboradores?
recursos humanos
Evaluación de riesgos
Evaluación Preguntas
¿La organización cuenta con mecanismos que identifiquen los riesgos del negocio de acuerdo a las
Evaluación circunstancias que se puedan presentar?
del riesgo
¿Cuándo existen nuevos mercados la gerencia considera los riesgos a los que pueden estar
dispuestos?
¿La auditoría interna realiza evaluaciones a los riesgos por lo menos una vez al año?
POLITÉCNICO GRANCOLOMBIANO 9
Tabla 3. Ejemplo cuestionario Información y comunicación
Información y comunicación
Evaluación Preguntas
¿La organización tiene un proceso para que sus colaboradores comuniquen sobre situaciones
impropias?
Actividades de control
Evaluación Preguntas
¿Se realizan los cierres contables de acuerdo con las políticas establecidas en la organización?
¿La organización revisa las políticas establecidas en cada una de las áreas y verifica que aún sean
adecuadas?
Actividades ¿Los estados financieros se entregan de manera oportuna y con los respectivos análisis?
de control
¿Se protege la información generada electrónicamente de acuerdo con las políticas establecidas?
POLITÉCNICO GRANCOLOMBIANO 10
Tabla 5. Ejemplo cuestionario, supervisión y monitoreo
Supervisión y monitoreo
Evaluación Preguntas
¿La gerencia requiere procedimientos para la revisión del control de los procesos, identificando si
han servido?
¿Conforme a las recomendaciones dadas por la auditoría externa con relación al control interno,
procedimientos y políticas, la gerencia responde con oportunidad y en forma apropiada?
Supervisión
y monitoreo
¿Las actividades de planeación realizadas por la auditoría interna, específicamente en el alcance, son
revisadas por gerencia, auditoría externa o junta directiva?
¿Los hallazgos y recomendaciones dadas por la superintendencia son tratados de manera oportuna
y apropiada?
Un riesgo es cuando hay probabilidad de que algo negativo suceda o que algo positivo no suceda,
impactando los objetivos (Estupiñan, 2013). Así, es importante que la empresa identifique los riesgos
a los que están expuestos, los cuales pueden originarse interna o externamente. Los riesgos que
cualquier organización debe enfrentar pueden dividirse en tres grandes categorías de acuerdo con su
origen o posible ocurrencia: externos, internos y mixtos (Calderón, 2016).
POLITÉCNICO GRANCOLOMBIANO 11
Internos
Se generan dentro
de la organización
por personas, fallas
en los procesos, Mixtos
entre otros
Combinación de
los riesgos internos
y externos
Fuera de la
organización
Afectan directa o
indirectamente
estructura
organizacionacional -
económica o
Externos productiva
POLITÉCNICO GRANCOLOMBIANO 12
Tabla 6. Tipo de riesgos empresariales
Riesgo de intervención
Corrupción - desencajes - colocaciones a largo plazo
estatal
POLITÉCNICO GRANCOLOMBIANO 13
El proceso de gestión del riesgo cuenta con los siguientes elementos:
Determinar contexto puede ser Identificar el riesgo, hacerse Se realiza un estudio consideran- Realizar comparación del nivel
estratégico, organizacional o de preguntas de qué, por qué, y do las consecuencias potenciales del riesgo y calcular contra los
gestión conforme al proceso. cómo pueden suceder (inclu- y la probabilidad de que dichas criterios ya establecidos.
yendo los elementos base). consecuencias puedan ocurrir.
Es el momento de actuar, y emprender Controlar y revisar el cómo se ha Se deben comunicar los riesgos a
acciones que modifiquen el riesgo, aliviarlo, manejado el riesgo y su gestión las partes involucradas, así como
prevenirlo, eliminarlo, cambiar de rumbo así como los cambios que cada una de las etapas del mismo.
(Isaza,2018). pudieran existir.
Con el fin de conocer y visualizar los riesgos se debe diseñar una matriz de riesgo. Esta es una
herramienta que permite identificar los riesgos empresariales a los que está expuesta la organización
frente a cada uno de los procesos, sus causas internas o externas, la descripción y las consecuencias,
así como su valoración y control.
Proceso de la organización
Objetivo de cada Las causas que Identificación Describir Número de Lo que puede
proceso ocasionan el riesgo del riesgo el riesgo veces que pueda suceder si se
identificado suceder materializa el riesgo
POLITÉCNICO GRANCOLOMBIANO 14
4. Administración del riesgo
En la administración del riesgo se establece la matriz con base en la norma ISO 31.000 de 2009. En
ella se identifica la probabilidad (posibilidad que pueda ocurrir el riesgo) identificando la frecuencia y el
impacto del riesgo.
B. Análisis cuantitativo: representa valores numéricos que se le asignan para poder calificar y
evaluar los riesgos.
POLITÉCNICO GRANCOLOMBIANO 15
Tabla 9. Análisis cuantitativo de la probabilidad e impacto del riesgo
Finalmente, se debe calificar cada uno de los riesgos identificados según la matriz mencionada
anteriormente. Una vez evaluado el riesgo, se tiene en cuenta la posición de la tabla para establecer la
zona en que se encuentra y tomar la medida de reducción, evitar el riesgo, compartirlo o transferirlo.
POLITÉCNICO GRANCOLOMBIANO 16
El Auditor deberá conocer y evaluar el control interno conforme a los cinco componentes de acuerdo
con el modelo COSO (Ambiente de control – valoración del riesgo – actividades de control -
información y comunicación –– supervisión y monitoreo)
Igualmente, el auditor identificará y valorará los riesgos de incorrección material. Se entiende por
este riesgo de la auditoría, la probabilidad de generar una conclusión equivocada en la evaluación de
gobierno, los controles y riesgos, así como de emitir un informe incorrecto por no haber detectado
errores significativos en las diferentes áreas de la organización, que podría modificar la opinión en el
informe presentado.
A. Identificar los riesgos establecidos por la entidad y su entorno, así como los controles referentes
a los mismos. Para ello deberá considerar las diferentes transacciones y los saldos de las cuentas
identificados en los estados financieros, así como sus revelaciones.
B. Relacionar los riesgos identificados que puedan llevar a una afirmación equivocada.
Según la NIA 200, refiere a la susceptibilidad de una afirmación sobre un tipo transacción,
saldo contable u otra revelación de información a una incorrección que pudiera ser material, ya
sea individualmente o de forma agregada con otras incorrecciones, antes de tener en cuenta los
posible controles correspondientes.
El riesgo inherente es responsabilidad de la administración
Riesgo inherente Ejemplo:
POLITÉCNICO GRANCOLOMBIANO 17
Según la NIA 200 se entiende como el riesgo de que una incorrección que pudiera existir en
una afirmación sobre un tipo de transacción, saldo contable u otra revelación de información, y
que pudiera ser material, ya sea individulamente o de forma agragada con otras incorrecciones,
no sea prevenida o detectada y corregida oportunamente por el sistema de control interno de
la entidad.
Riesgo de control
El riesgo de control es responsabilidad de la administración
Ejemplo:
• No existe segregación de funciones en algunos cargos específicos.
• Los funcionarios no ejecutan los controles establecidos por la entidad en algunas areas.
Según la NIA 200 es el riesgo de que los procedimientos aplicados por el auditor para
reducir el riesgo de auditoría a un nivel aceptablemente bajo, no detecten la existencia de una
incorrección que podría ser material, considerada individualmente o de forma agregada con
otras incorrecciones.
El riesgo de detección es responsabilidad del auditor
Riesgo de detección
Ejemplo:
• Aplicar procedimiento de auditoría no apropiado.
• La muestra establecida no es la adecuada.
• El programa de auditoría no cumple los requisitos para poder dar una opinión adecuada.
Fuente: elaboración propia
6. Materialidad
Dentro de los objetivos globales del auditor está obtener seguridad razonable en los estados
financieros y determinar que esten libres de incorrección material, debidas al fraude o al error.
Es así como conforme a la Norma Internacional de Auditoría NIA 320 “Importancia relativa o
materialidad en la planificación y ejecución de la auditoría”, se menciona la definición de materialidad
y de importancia relativa:
“La cifra o cifras determinadas por el auditor, por debajo del nivel de la importancia relativa establecida para
los estados financieros en su conjunto, al objeto de reducir a un nivel adecuadamente bajo la probabilidad de
que la suma de las incorrecciones no corregidas y no detectadas supere la importancia relativa determinada
para los estados financieros en su conjunto. En su caso, la importancia relativa para la ejecución del trabajo
también se refiere a la cifra o cifras determinadas por el auditor por debajo del nivel o niveles de importancia
relativa establecidos para determinados tipos de transacciones, saldos contables o información a revelar (…)
La importancia relativa se refiere a los estados financieros sobre los que el auditor emite su informe. En el
caso de que los estados financieros se preparen para un periodo superior o inferior a doce meses, como puede
ser el caso de una entidad de nueva creación o cuando hay un cambio en el período de información financiera,
la importancia relativa se refiere a los estados financieros preparados para dicho periodo”. NIA 320
POLITÉCNICO GRANCOLOMBIANO 18
Las declaraciones equivocadas (incluyendo las omisiones) se consideran como materiales,
individualmente o en el agregado. Así, se puede esperar que influyan en las decisiones financieras que
los usuarios toman con base en los estados financieros.
De acuerdo con la NIA 200, el riesgo de declaración equivocada material es el riesgo de que los
estados financieros estén declarados equivocadamente en forma material antes de la auditoría.
(Estupiñán, 2015)
De acuerdo con la NIA 320, el riesgo de auditoría es función de los riesgos de incorrección material
y de detección. Es así como la importancia relativa y el riesgo de auditoría se tienen en cuenta en el
transcurso de la auditoría, al identificar y valorar los riesgos de incorrección material, al determinar
la naturaleza y proceso de auditoría y al evaluar el efecto de las incorrecciones frente a los estados
financieros y frente a la formación de la opinión.
POLITÉCNICO GRANCOLOMBIANO 19
Referencias
Carrillo, J. (2006). Ética y empresa: ¿son compatibles la ética y la gestión empresarial en el contexto de
la economía de mercado? Bogotá, Colombia: Universidad Nacional de Colombia. Facultad de Ciencias
Humanas.
Estupiñan, R. (2015). Administración de riesgos E.R.M. y la auditoría interna. Bogotá, Colombia: Ecoe
Ediciones.
Lazzarato, M. (2006). Por una política menor. Acontecimiento y política en las sociedades de control.
Madrid, España: Traficantes de Sueños.
Rosales, H. (2008). Incidencia del talento humano en el desarrollo empresarial moderno. En: Colombia
REVISTA LIBRE EMPRESA ISSN.
POLITÉCNICO GRANCOLOMBIANO 20
INFORMACIÓN TÉCNICA
POLITÉCNICO GRANCOLOMBIANO 21