Septiembre de 2016 Boletín de Investigación Comisión de Desarrollo SE Auditoría Interna - Sur No.

42

El reto de auditoría interna frente al sistema de control interno

Por
C.P.C. Agustín Francisco Albarrán Carranza
L.C.P. Miguel Ángel Castillo Bautista
C.P. Omar Cruz Fuentes
C.P. Salvador Cruz Hernández
L.C. Gerardo Amando Díaz Valdez
Mtro. y C.P. Gabriel Espino García
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
L.C.P.C. Fernando Pérez Mendoza
C.P.C. Adolfo Ramírez Fernández del Castillo
C.P.C. Arturo Salvador Reyes Figueroa
Mtro. y C.P. Antonio Riverón Sarmiento
C.P. Gabriel Sánchez Curiel
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto
 ÍNDICE PÁGINA

I. Marco conceptual del control

interno 3
2016 – 2018

C.P.C. y P.C.CA. Rosa María Cruz Lesbros II. Objetivos del sistema de control
Presidenta interno 4
C.P.C. Álvaro Enrique Cordón Álvarez
Vicepresidente de Desarrollo y Capacitación Profesional III. Estructura del control interno 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo IV. Los mecanismos de control interno 6
Comisión de Desarrollo SE Auditoría Interna – Sur
V. Mejores prácticas internacionales 7
Presidente
C.P.C. Adolfo Ramírez Fernández del Castillo
VI. Estructura del sistema de control
Vicepresidente interno en modelos internacionales 8
C.P. Gabriel Sánchez Curiel

Secretario VII. Conclusiones 11

C.P. Omar Cruz Fuentes

Integrantes

C.P.C. Agustín Francisco Albarrán Carranza

L.C.P. Miguel Ángel Castillo Bautista
C.P. Salvador Cruz Hernández
L.C. Gerardo Amando Díaz Valdez
Mtro. y C.P. Gabriel Espino García
C.P.C. y A. Jaime Ignacio García Jiménez
C.P. Mario Enrique Mota Sevchovicius
L.C.P.C. Fernando Pérez Mendoza
C.P.C. Arturo Salvador Reyes Figueroa
Mtro. y C.P. Antonio Riverón Sarmiento
C.P. Mario Sánchez Martínez
C.P. José de Jesús Sandoval Muñoz
C.P. Fernando Soto Barreto

Gerencia de Comunicación y Diseño

Comisión de Desarrollo Sector Empresa Auditoría

Interna - Sur del Colegio, año III, núm. 42, septiembre de
2016. Boletín Informativo edición e impresión por el
Colegio de Contadores Públicos de México, A.C.
Responsables de la Edición: Alejandra Mendoza
Espinosa, Lic. Asiria Olivera Calvo, Lic. Aldo Plazola
González. Bosque de Tabachines Núm. 44, Fracc.
Bosques de las Lomas, Deleg. Miguel Hidalgo 11700. El
contenido de los artículos firmados es responsabilidad
del autor; prohibida la reproducción total o parcial, sin
previa autorización.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

2
 I. Marco conceptual del control interno

El reto que enfrentan actualmente las áreas de auditoría interna se encuentra en llevar a cabo
una adecuada evaluación del control interno existente que permita proporcionar opiniones y
recomendaciones al Cuerpo Directivo y al Consejo de Administración sobre las áreas de
oportunidad que detecte y que se traduzcan en aportaciones que agreguen valor para mejorar la
operación y la rentabilidad del negocio.

El plan de auditoría deberá asegurar que el sistema de control interno cuenta con la adecuada
fortaleza tanto en su diseño como en su cumplimiento y una eficiente administración, evaluación
y monitoreo de los riesgos relevantes del negocio debiendo, en su caso, revelar con la debida
oportunidad las recomendaciones de mejora y eficiencia de la operación y sus procesos. No
puede pasarse por alto evaluar la confiabilidad, integridad, seguridad y privacidad de la
información tanto financiera como operativa y de otros datos de importancia estratégica sobre el
negocio, tales como formulas, patentes, planos y diseños.

De acuerdo con lo anterior, en este boletín se analizan los objetivos y los componentes del control
interno cuya aplicación se ha generalizado en los escenarios empresariales más destacados, así
como el enfoque, alcance y la colaboración que la función de auditoría interna debe realizar sobre
dichos objetivos y componentes para el mejoramiento permanente de su estructura, siendo
fundamental que no se ponga en juicio o riesgo el sentido de independencia del auditor, que es
clave para la función y que ha sido explicado a detalle en boletines anteriores.

La evolución de las entidades y las expectativas de sus propietarios e inversionistas, así como
de la comunidad, en relación de cómo debe implementarse un sistema de control interno, se han
visto influidas por la globalización. Construyendo sobre los mejores puntos de vista disponibles,
esta comisión considera que un concepto del control interno se debe identificar con las
necesidades de la compañía y las expectativas de los inversionistas como sigue:

Una estructura en constante evolución, compuesta por recursos humanos, recursos

materiales, políticas, normas y sistemas, cuya dinámica integral es regular los procesos a fin
de que las operaciones resultantes de los mismos cumplan con objetivos con una seguridad
razonable.

Bajo estos conceptos, la auditoría interna podrá:

 Recomendar que al diseñar el sistema de control interno se asegure su medición.

 Asegurar que el sistema de control interno y otras actividades produzcan resultados que puedan
ser medibles.

 Recomendar los índices de medición, desempeño o cumplimiento a efecto de que estén alineados
a los riesgos y a los controles.

 Priorizar los riesgos en orden a su impacto en el desempeño: ¿Cómo se mide el desempeño?

¿Cómo la medición del desempeño maneja el riesgo? ¿Los riesgos se interrelacionan? ¿Existe
entre ellos un efecto sistémico?

 Recomendar el establecimiento de controles.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

3
  Determinar los controles específicos necesarios para el logro de los niveles de desempeño
deseados: ¿Cómo pueden tales controles ser implementados bajo un enfoque costo-beneficio?
¿Qué controles son redundantes o no tienen un enfoque costo-beneficio cuando son comparados
contra su impacto o desempeño?

 Desarrollar revisiones periódicas en forma integral al diseño y a la efectividad de la operación del

sistema de control interno. Este trabajo es similar a una revisión tradicional de control interno pero
más amplia, con un enfoque de evaluación integral al sistema de control interno o a un componente
de éste.

 Apoyar en los esfuerzos para obtener un sistema de control interno certificado (Sawyer´s Guide for
Internal Auditors, 2012).

De acuerdo con lo anterior, se analizan los objetivos y los componentes del control interno como
sigue.

II. Objetivos del sistema de control interno

Un sistema de control interno bajo un enfoque moderno debe coadyuvar a la consecución de los
objetivos organizacionales, los cuales son marcados por la Alta Gerencia y están encaminados a
lograr la eficiencia y eficacia operacional; contar con información efectiva; y dar cumplimiento a
los controles internos implementados y a legislaciones o reglas externas.

 Efectividad y eficiencia de las operaciones

Asegurar que la operación cumpla con su planeación cabalmente con un mínimo de esfuerzo y
recursos y un máximo de utilidad de acuerdo con las políticas generales especificadas por la
Administración.

 Suficiencia y confiabilidad de la información financiera

Para que la información financiera sea de utilidad se debe asegurar que su contenido cumpla con
la veracidad y confiabilidad necesaria y que sea presentada a los usuarios en forma oportuna.
Será confiable para la organización si se cuenta con un sistema que permita su estabilidad,
objetividad y verificabilidad, proporcionando así protección a los recursos de la empresa evitando
sustracciones y mitigando todo riesgo que pueda amenazarlos.

 Cumplimiento de las leyes y regulaciones aplicables

Toda acción que emprenda la Dirección de la organización debe estar alineada con las
disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad que le
sea aplicable. Asimismo, este objetivo incluye las políticas que emita la Alta Administración hacia
el interior de la organización asegurando su cumplimiento, las cuales deben ser suficientemente
conocidas por todos los integrantes de la organización quienes las adoptarán como propias para
así lograr el éxito de la misión que ésta se propone.

III. Estructura del control interno

Es el componente primario del control interno. Las áreas funcionales en que se divide la entidad
deben bastar, sin excesos, para enfrentar con eficacia los retos del entorno en que se llevan a

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

4
 cabo sus operaciones. La industria, el comercio y los servicios, bajo cualquier enfoque,
presuponen dividir la estructura en áreas dedicadas a generar ingresos y al apoyo directo o
tangencial de estas operaciones.

Las empresas simplifican su organización y sustituyen los procesos manuales con recursos
electrónicos, bajo el axioma de que el control interno es más contundente si se ejerce en
estructuras simplificadas.

Otro componente indispensable en la estructura del control interno son los recursos humanos.
Las empresas cubren los puestos de su organización con personal cuyas competencias humanas
y técnicas se identifiquen con los valores de la organización, así como con las funciones que
estarán a su cargo; por ello, los mecanismos para reclutar y contratar capital humano deben ser
más sofisticados y dar preferencia a la naturaleza y retos de cada puesto.

La facultad para entender las cosas en su justa dimensión, ya se reconoce como un recurso
valioso en la estructura del control interno. El capital intelectual implica experiencia y capacidad
de servicio; por ello la prevención de riesgos y el diseño de una estrategia de negocios, como
factores críticos del control interno, tienen mayores posibilidades de éxito si la empresa identifica,
protege y desarrolla sus recursos intelectuales. Dentro de las mejores prácticas en las empresas
se considera conveniente asignar un valor monetario al capital intelectual y registrarlo en la
contabilidad.

Los recursos materiales son otro componente importante del control interno. Los inmuebles,
maquinaria, equipos de todas clases y la plataforma de cómputo son indispensables no sólo para
las operaciones de la empresa, sino como un recurso estratégico de gran peso en la
administración de riesgos. Los mecanismos de control interno sobre los recursos materiales
implican, entre otros puntos, prevenir conflictos de intereses, evitar desperdicios por capacidades
no aprovechadas, proteger la información a todos los niveles, apoyar sin interferencias la
dinámica operativa y contribuir a la seguridad física de la empresa frente a los riesgos internos y
externos. A su vez, las políticas, normas y criterios, en conjunto, resultan necesarios para dar
cohesión a los flujos de transacciones dentro de cualquier entidad económica.

En el vértice superior se encuentran las políticas, que son señalamientos generales o modos de
actuar de la empresa o de cada una de las áreas que la integran, a fin de lograr sus objetivos.
Las políticas orientan la vida de la entidad y por ello se encuentran en los segmentos clave como
la producción, las ventas, las finanzas y los recursos humanos.

Por su parte, las normas son reglas institucionales que complementan a las políticas y aportan
especificaciones para construir un sistema.

Un sistema es un conjunto de procedimientos que constituyen una estructura dinámica para lograr
varios objetivos; un procedimiento sirve como apoyo para dar cumplimiento a las políticas y nos
indica las actividades para definir qué hacer; finalmente, un método es el señalamiento de la
manera de ejecutar una actividad y define cómo hacerlo.

Cada uno de los componentes anteriores recibe parte de la carga de los mecanismos de control
interno que corresponden a su naturaleza, por lo que, en el marco de sus responsabilidades,

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

5
 facultades y funciones, una auditoría interna no debe involucrarse en el desarrollo y
mantenimiento de todos ellos, ya que de hacerlo se perdería la independencia mental.

IV. Los mecanismos de control interno

Son el conjunto de actividades que en forma coordinada se llevan a cabo para contribuir a
minimizar los riesgos que se presentan en las entidades, maximizar la efectividad y la eficiencia
operativa, fortalecer la confianza en la información y el cumplimiento del marco legal, así como
para responder a las expectativas de los accionistas e inversionistas de la empresa y de los
terceros vinculados a ella. Los mecanismos de control interno son el mejor esfuerzo del gobierno
corporativo, pero no garantizan evitar todos los manejos fraudulentos o eventos adversos que
pueden ocurrir en la empresa.

Los sistemas deben incluir narrativas y descripciones a los conceptos aplicables con la finalidad
de que los procedimientos y los métodos sean accesibles y de fácil comprensión y aplicación por
los usuarios. El manual que los incluye debe contemplar modelos de todos los formularios de
control interno que se utilizan para procesar las transacciones, así como instrucciones sobre el
objetivo de cada uno de ellos, las fuentes de los datos que contienen y los puestos facultados
para autorizarlos. En este contexto, los mecanismos de control interno que deben estar incluidos
en cualquier sistema son los siguientes:

a. Controles de prevención

Los más significativos para agregar valor a la estructura. Son los procedimientos para evitar
transacciones y eventos adversos o perjudiciales a los recursos de la entidad. Constituyen la
parte más importante de la administración de los riesgos a que esta Comisión se ha referido en
el boletín núm. 28 titulado “Auditoría Interna y Administración de Riesgos”, publicado en julio de
2015.

b. Controles de detección

Puesto que los controles de prevención no son infalibles, estos mecanismos permiten identificar
omisiones y violaciones que han ocurrido en el marco de un sistema; su eficacia está determinada
por la oportunidad con que se localizan las transacciones indebidas y su impacto en la
organización y en los recursos de la empresa.

Tanto los controles de prevención como los controles de detección son parte esencial de las
responsabilidades de la primera línea de defensa, es decir, las áreas encargadas de ejecutar los
procedimientos frente a los riesgos cotidianos. Estas áreas también son responsables de
implantar acciones correctivas para optimizar los procesos y eliminar las deficiencias de control.1

c. Controles de corrección o remediación

El control interno es una estructura dinámica cuya evolución debe ir siempre un paso adelante de
la empresa. Por ello, estos controles guardan estrecha relación con el desarrollo y el
mantenimiento de los sistemas manuales y electrónicos y corresponden a las responsabilidades

1Para más información, consúltese el boletín titulado “Auditoría interna y el fraude”, núm. 34, publicado en
enero de 2016.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

6
 de la segunda línea de defensa, es decir, aquellas áreas a cargo de la supervisión operativa que
apoyan a la administración de riesgos en el diseño, actualización e implantación del control
interno.

d. Controles de cómputo o de tecnología electrónica de información

La plataforma de cómputo existe para procesar electrónicamente las operaciones y producir la

información con la oportunidad y el contenido que esperan los usuarios. Por ello, es indispensable
que trabaje en armonía con los mecanismos del control interno de todas las áreas de la empresa.

Cabe mencionar que los controles no importando su clasificación, deben ser actualizados y
revisados de forma periódica y constante, con base en la frecuencia de aplicación, así como con
los cambios generados en los negocios y la organización.

Por otra parte, el área de Informática debe atender sus propios mecanismos de control interno,
dentro de los cuales destacan los relativos a la seguridad física, la seguridad lógica, la integridad
de la información en las bases de datos y, desde luego, el plan de contingencia o de continuidad
del servicio del que depende la vida de la empresa.

La auditoría interna es parte de la tercera línea de defensa respecto de los mecanismos de control
interno y se concentra en cerciorarse de que los dueños de los procesos, así como de las
actividades de control y las áreas a cargo de la supervisión operativa cumplan trabajando en
equipo con sus respectivas responsabilidades.

V. Mejores prácticas internacionales

A nivel internacional existen diversos modelos de sistemas estructurados de control interno

aceptados como mejores prácticas. El más utilizado y aceptado, incluso por organizaciones con
alcance internacional como la Comisión de Valores de los Estados Unidos (SEC), el Banco
Mundial, el Comité de Basilea y el Banco Interamericano de Desarrollo, es el conocido bajo el
acrónimo COSO por sus siglas en inglés (Committee of Sponsoring Organizations of the
Treadway Commission).

El COSO fue emitido por primera vez en 1992, marcando la formalización del llamado Enfoque
Moderno de Control Interno. Desde entonces ha sufrido dos actualizaciones: la primera en 2004
cuando se emitió el COSO-ERM para la Administración de Riesgos Corporativos, y la segunda,
en 2013, que actualiza el Modelo 1992 e incorpora el COSO ERM. En esta última versión, se
define al control interno como sigue:

El control interno es un proceso efectuado por el Consejo de Administración, la Dirección y

demás personal, diseñado para proporcionar una seguridad razonable en cuanto a la
consecución de los objetivos relacionados con las operaciones, la presentación de informes y
el cumplimiento.

Previo a la publicación del Modelo COSO en 1992, las definiciones del control interno no
mantenían uniformidad de criterios ni un marco teórico que considerara todos los puntos de vista
de los diferentes interesados.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

7
 Objetivos del sistema de control interno en modelos internacionales

El Modelo COSO agrupa en tres categorías los objetivos organizacionales cuyo logro apoya un
efectivo sistema de control interno:

I. Objetivos operativos. Relacionados con la efectividad y eficiencia de las operaciones, incluidos sus
objetivos de rendimiento financiero y operacional, y la protección de sus activos frente a posibles
pérdidas;

II. Objetivos de información. Referidos a la preparación de reportes para uso de la organización y los
accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia; y

III. Objetivos de cumplimiento. Vinculados con el cumplimiento de las leyes y regulaciones a las que
está sujeta la entidad. La entidad debe desarrollar sus actividades en función de las leyes y normas
específicas a las que está sujeta.

VI. Estructura del sistema de control interno en modelos internacionales

La arquitectura de un sistema de control interno efectivo bajo el Modelo COSO 2013 comprende
cinco componentes que deben estar presentes y funcionando. El Modelo establece 17 Principios
y 77 Puntos de Enfoque asociados a los Componentes, constitutivos de directrices y criterios que
deben considerarse tanto para el diseño e implementación del sistema, como para su evaluación

Los Componentes, Principios y Puntos de Enfoque demandan el desarrollo de una serie de

herramientas técnicas documentadas, actualizadas, oficializadas, socializadas y suficientemente
comprendidas por el personal, como un soporte efectivo del sistema.

Los componentes interactuantes, íntimamente relacionados entre sí e integrados a la gestión de

gobierno de las organizaciones, son los siguientes:

I. Ambiente de control

II. Evaluación de riesgos,

III. Actividades de control,

IV. Información y comunicación, y

V. Monitoreo.

I. Ambiente de control

Piedra angular para la existencia y funcionamiento de un efectivo sistema de control interno.

Determina los controles suaves referidos a las condiciones que norman y orientan la conducta de
las personas, fundamental para el sistema pues son ellas quienes lo operan e interactúan, y los
controles duros constituidos por las políticas, normas y procedimientos materializados en
manuales de operación, de políticas y administrativos.

La existencia de un sistema de control interno efectivo requiere de sus participantes la posesión

de conocimientos conceptuales, además del involucramiento y compromiso de todos los
integrantes de la organización desde su más alto nivel hasta los niveles operativos.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

8
 El compromiso sobre el control interno debe emanar desde las más altas esferas de la
organización, permeándose por medio de los diferentes niveles de dirección, mandos medios,
supervisores y demás personal.

Para ello, es fundamental el compromiso manifiesto de los órganos de gobierno y la Dirección

General con el control interno, y la implementación de adecuados canales de comunicación para
transmitir a los niveles inferiores de la organización la seriedad con que deben tomarse las
acciones que la entidad decida adoptar sobre esta materia.

Los principios establecidos por COSO asociados al ambiente de control son:

1. La organización demuestra compromiso con la integridad y los valores éticos.

2. El Consejo de Administración demuestra independencia de la Dirección y ejerce supervisión sobre

el desarrollo y desempeño del control interno.

3. La Dirección establece con la supervisión del Consejo, las estructuras, líneas de reporte y los
niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos.

4. La organización demuestra compromiso para atraer, desarrollar y retener a profesionales

competentes, en concordancia con los objetivos de la organización.

5. La organización define las responsabilidades de las personas a nivel de control interno para la
consecución de los objetivos.

Algunos factores a considerar para evaluar el ambiente de control son: a) Plan estratégico
(misión, visión, objetivos); b) Políticas; c) Integridad y valores éticos; d) Competencia profesional;
e) Atmósfera de confianza; f) Filosofía y estilo de dirección; g) Estructura organizacional,
asignación de autoridad y responsabilidad.

II. Evaluación de riesgos

Las organizaciones como entidades sociales económicas se enfrentan cotidianamente a una

serie de riesgos, entendidos como tales todas aquellas situaciones provocadas por factores
internos y externos que ante su eventual ocurrencia pueden atentar contra la consecución de sus
objetivos.

Los principios de COSO asociados a la evaluación de riesgos son:

1. La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.

2. La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de
la entidad y los analiza como base sobre la cual determina cómo se deben gestionar.

3. La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de

los objetivos.

4. La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema
de control interno.

La entidad requiere identificar, evaluar, priorizar y estructurar un plan de respuesta a los riesgos
a los que se enfrenta en la consecución de sus objetivos con el propósito de establecer acciones

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

9
 de mitigación adecuadas a su apetito de riesgo al nivel de tolerancia que el máximo órgano de
gobierno determine y a su costo-beneficio. Las acciones de mitigación deben quedar integradas
en los manuales respectivos.

III. Actividades de control

Son las acciones que la entidad establece por medio de las políticas y procedimientos para
garantizar que las instrucciones de la Administración que mitigan los riesgos con impacto
potencial en los objetivos se lleven a cabo. Deben quedar claramente expresadas y definidas en
los manuales de operación.

Los principios COSO asociados a las actividades de control son:

1. La organización define y desarrolla actividades de control que contribuyen a la mitigación de los

riesgos hasta niveles aceptables para la consecución de los objetivos.

2. La organización define y desarrolla actividades de control general sobre la tecnología para apoyar
la consecución de los objetivos.

3. La organización despliega las actividades de control por medio de políticas que establecen las
líneas de actuación esperadas y procedimientos que ponen las políticas en acción.

Las actividades de control tienen como fin mitigar la probabilidad de ocurrencia de los riesgos y
(o) su posible impacto; se ejecutan en todos los niveles de la organización y en cada una de las
etapas de la gestión.

El monitoreo y la validación de aplicación y cumplimiento de dichas actividades es fundamental,

siendo clave la participación de los dueños en los procesos y del auditor interno, para que se
emitan opiniones objetivas, independientes y de generación de mejora para su adecuación.

IV. Información y comunicación

Se refiere a la forma en que las áreas operativas, administrativas y financieras de la entidad

identifican, capturan, procesan e intercambian información, y lo más importante, se asegura que
la información que se requiere para tomar decisiones, para cumplir con las disposiciones
regulatorias y observar las políticas y procedimientos internos sea precisa, veraz y oportuna.

Los principios COSO asociados a la información y comunicación son:

1. La organización obtiene o genera y utiliza información relevante y de calidad para apoyar el

funcionamiento de los otros componentes del control interno.

2. La organización comunica la información internamente, incluidos los objetivos y responsabilidades

que son necesarios para apoyar el funcionamiento del sistema de control interno.

3. La organización se comunica con los grupos de interés externos sobre los aspectos clave que
afectan al funcionamiento del control interno.

El sistema de información de la entidad, desde una perspectiva de control interno debe diseñarse
atendiendo a las necesidades derivadas de la planeación estratégica, el plan anual operativo, la
operación, la administración de la entidad y el reporte regulatorio.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

10
 V. Monitoreo

Comprende las actividades orientadas a evaluar la presencia y funcionamiento de los otros

componentes y principios de control interno en la organización. El monitoreo representa el cierre
de la cadena de valor riesgo-control. Por medio de este componente se evalúa la suficiencia y
ejercicio del sistema de control interno, así como su adecuado desempeño en la práctica. Sirve
para que la Administración de la empresa conozca las oportunidades de mejora y tome las
acciones pertinentes para fortalecerlo.

Los principios COSO asociados al monitoreo son:

1. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o independientes para

determinar si los componentes del sistema están presentes y funcionando.

2. La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las
partes responsables de aplicar medidas correctivas, incluyendo la Alta Dirección y el Consejo,
según corresponda.

El monitoreo se lleva a cabo por medio de actividades puntuales y periódicas. Las puntuales son
aquellas que son parte del quehacer diario incorporadas al sistema, como la supervisión y la
comprobación automática de las operaciones producto de una adecuada segregación de
funciones y, en su caso, el ejercicio de los controles compensatorios.

VII. Conclusiones

Las empresas globales y las que se encuentran en etapa de desarrollo han comprobado que un
sistema de control interno estructurado bajo las mejores prácticas existentes representa un
valioso apoyo al gobierno corporativo en su aspiración de lograr los objetivos institucionales.

Ahora bien, un sistema de control interno que contempla mecanismos desarrollados por la
empresa o adaptaciones de modelos internacionales como COSO no garantiza éxito absoluto en
materia de prevención, mitigación y detección de eventos adversos. La participación de los
recursos humanos a todos los niveles de la organización, apuntalada por un plan de auditoría
interna basado en riesgos, contribuye a disminuir los actos fraudulentos significativamente.

De acuerdo con sus responsabilidades, facultades y funciones, la auditoría interna debe

involucrarse en la construcción y la actualización del control interno: tanto en la estructura de los
procesos manuales, como en la de los aplicativos informáticos. A fin de salvaguardar su
independencia, dicha participación se limita al señalamiento de los atributos básicos de control
que deben cumplirse y al seguimiento respectivo, todo ello bajo el respaldo de un
pronunciamiento del Consejo de Administración difundido a todos los niveles de la empresa.

En este contexto, la auditoría interna actúa como un eslabón que cierra la cadena de valor
compuesta por los objetivos institucionales y la administración de los riesgos, con énfasis en los
aspectos más relevantes de la organización.

Este cambio de enfoque ha modificado sensiblemente las recomendaciones de la auditoría

interna, ya que ahora están orientadas a la prevención y mitigación de los riesgos que enfrentan
las empresas.

Boletín de Investigación de Comisión SE Auditoría Interna – Sur – Septiembre de 2016

11