Documentos de Académico
Documentos de Profesional
Documentos de Cultura
42
C.P.C. y P.C.CA. Rosa María Cruz Lesbros II. Objetivos del sistema de control
Presidenta interno 4
C.P.C. Álvaro Enrique Cordón Álvarez
Vicepresidente de Desarrollo y Capacitación Profesional III. Estructura del control interno 4
L.C.P. Luis Bernardo Madrigal Hinojosa
Director Ejecutivo IV. Los mecanismos de control interno 6
Comisión de Desarrollo SE Auditoría Interna – Sur
V. Mejores prácticas internacionales 7
Presidente
C.P.C. Adolfo Ramírez Fernández del Castillo
VI. Estructura del sistema de control
Vicepresidente interno en modelos internacionales 8
C.P. Gabriel Sánchez Curiel
Integrantes
El reto que enfrentan actualmente las áreas de auditoría interna se encuentra en llevar a cabo
una adecuada evaluación del control interno existente que permita proporcionar opiniones y
recomendaciones al Cuerpo Directivo y al Consejo de Administración sobre las áreas de
oportunidad que detecte y que se traduzcan en aportaciones que agreguen valor para mejorar la
operación y la rentabilidad del negocio.
El plan de auditoría deberá asegurar que el sistema de control interno cuenta con la adecuada
fortaleza tanto en su diseño como en su cumplimiento y una eficiente administración, evaluación
y monitoreo de los riesgos relevantes del negocio debiendo, en su caso, revelar con la debida
oportunidad las recomendaciones de mejora y eficiencia de la operación y sus procesos. No
puede pasarse por alto evaluar la confiabilidad, integridad, seguridad y privacidad de la
información tanto financiera como operativa y de otros datos de importancia estratégica sobre el
negocio, tales como formulas, patentes, planos y diseños.
De acuerdo con lo anterior, en este boletín se analizan los objetivos y los componentes del control
interno cuya aplicación se ha generalizado en los escenarios empresariales más destacados, así
como el enfoque, alcance y la colaboración que la función de auditoría interna debe realizar sobre
dichos objetivos y componentes para el mejoramiento permanente de su estructura, siendo
fundamental que no se ponga en juicio o riesgo el sentido de independencia del auditor, que es
clave para la función y que ha sido explicado a detalle en boletines anteriores.
La evolución de las entidades y las expectativas de sus propietarios e inversionistas, así como
de la comunidad, en relación de cómo debe implementarse un sistema de control interno, se han
visto influidas por la globalización. Construyendo sobre los mejores puntos de vista disponibles,
esta comisión considera que un concepto del control interno se debe identificar con las
necesidades de la compañía y las expectativas de los inversionistas como sigue:
Asegurar que el sistema de control interno y otras actividades produzcan resultados que puedan
ser medibles.
Recomendar los índices de medición, desempeño o cumplimiento a efecto de que estén alineados
a los riesgos y a los controles.
Apoyar en los esfuerzos para obtener un sistema de control interno certificado (Sawyer´s Guide for
Internal Auditors, 2012).
De acuerdo con lo anterior, se analizan los objetivos y los componentes del control interno como
sigue.
Un sistema de control interno bajo un enfoque moderno debe coadyuvar a la consecución de los
objetivos organizacionales, los cuales son marcados por la Alta Gerencia y están encaminados a
lograr la eficiencia y eficacia operacional; contar con información efectiva; y dar cumplimiento a
los controles internos implementados y a legislaciones o reglas externas.
Asegurar que la operación cumpla con su planeación cabalmente con un mínimo de esfuerzo y
recursos y un máximo de utilidad de acuerdo con las políticas generales especificadas por la
Administración.
Para que la información financiera sea de utilidad se debe asegurar que su contenido cumpla con
la veracidad y confiabilidad necesaria y que sea presentada a los usuarios en forma oportuna.
Será confiable para la organización si se cuenta con un sistema que permita su estabilidad,
objetividad y verificabilidad, proporcionando así protección a los recursos de la empresa evitando
sustracciones y mitigando todo riesgo que pueda amenazarlos.
Toda acción que emprenda la Dirección de la organización debe estar alineada con las
disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad que le
sea aplicable. Asimismo, este objetivo incluye las políticas que emita la Alta Administración hacia
el interior de la organización asegurando su cumplimiento, las cuales deben ser suficientemente
conocidas por todos los integrantes de la organización quienes las adoptarán como propias para
así lograr el éxito de la misión que ésta se propone.
Es el componente primario del control interno. Las áreas funcionales en que se divide la entidad
deben bastar, sin excesos, para enfrentar con eficacia los retos del entorno en que se llevan a
Las empresas simplifican su organización y sustituyen los procesos manuales con recursos
electrónicos, bajo el axioma de que el control interno es más contundente si se ejerce en
estructuras simplificadas.
Otro componente indispensable en la estructura del control interno son los recursos humanos.
Las empresas cubren los puestos de su organización con personal cuyas competencias humanas
y técnicas se identifiquen con los valores de la organización, así como con las funciones que
estarán a su cargo; por ello, los mecanismos para reclutar y contratar capital humano deben ser
más sofisticados y dar preferencia a la naturaleza y retos de cada puesto.
La facultad para entender las cosas en su justa dimensión, ya se reconoce como un recurso
valioso en la estructura del control interno. El capital intelectual implica experiencia y capacidad
de servicio; por ello la prevención de riesgos y el diseño de una estrategia de negocios, como
factores críticos del control interno, tienen mayores posibilidades de éxito si la empresa identifica,
protege y desarrolla sus recursos intelectuales. Dentro de las mejores prácticas en las empresas
se considera conveniente asignar un valor monetario al capital intelectual y registrarlo en la
contabilidad.
Los recursos materiales son otro componente importante del control interno. Los inmuebles,
maquinaria, equipos de todas clases y la plataforma de cómputo son indispensables no sólo para
las operaciones de la empresa, sino como un recurso estratégico de gran peso en la
administración de riesgos. Los mecanismos de control interno sobre los recursos materiales
implican, entre otros puntos, prevenir conflictos de intereses, evitar desperdicios por capacidades
no aprovechadas, proteger la información a todos los niveles, apoyar sin interferencias la
dinámica operativa y contribuir a la seguridad física de la empresa frente a los riesgos internos y
externos. A su vez, las políticas, normas y criterios, en conjunto, resultan necesarios para dar
cohesión a los flujos de transacciones dentro de cualquier entidad económica.
En el vértice superior se encuentran las políticas, que son señalamientos generales o modos de
actuar de la empresa o de cada una de las áreas que la integran, a fin de lograr sus objetivos.
Las políticas orientan la vida de la entidad y por ello se encuentran en los segmentos clave como
la producción, las ventas, las finanzas y los recursos humanos.
Por su parte, las normas son reglas institucionales que complementan a las políticas y aportan
especificaciones para construir un sistema.
Un sistema es un conjunto de procedimientos que constituyen una estructura dinámica para lograr
varios objetivos; un procedimiento sirve como apoyo para dar cumplimiento a las políticas y nos
indica las actividades para definir qué hacer; finalmente, un método es el señalamiento de la
manera de ejecutar una actividad y define cómo hacerlo.
Cada uno de los componentes anteriores recibe parte de la carga de los mecanismos de control
interno que corresponden a su naturaleza, por lo que, en el marco de sus responsabilidades,
Son el conjunto de actividades que en forma coordinada se llevan a cabo para contribuir a
minimizar los riesgos que se presentan en las entidades, maximizar la efectividad y la eficiencia
operativa, fortalecer la confianza en la información y el cumplimiento del marco legal, así como
para responder a las expectativas de los accionistas e inversionistas de la empresa y de los
terceros vinculados a ella. Los mecanismos de control interno son el mejor esfuerzo del gobierno
corporativo, pero no garantizan evitar todos los manejos fraudulentos o eventos adversos que
pueden ocurrir en la empresa.
Los sistemas deben incluir narrativas y descripciones a los conceptos aplicables con la finalidad
de que los procedimientos y los métodos sean accesibles y de fácil comprensión y aplicación por
los usuarios. El manual que los incluye debe contemplar modelos de todos los formularios de
control interno que se utilizan para procesar las transacciones, así como instrucciones sobre el
objetivo de cada uno de ellos, las fuentes de los datos que contienen y los puestos facultados
para autorizarlos. En este contexto, los mecanismos de control interno que deben estar incluidos
en cualquier sistema son los siguientes:
a. Controles de prevención
Los más significativos para agregar valor a la estructura. Son los procedimientos para evitar
transacciones y eventos adversos o perjudiciales a los recursos de la entidad. Constituyen la
parte más importante de la administración de los riesgos a que esta Comisión se ha referido en
el boletín núm. 28 titulado “Auditoría Interna y Administración de Riesgos”, publicado en julio de
2015.
b. Controles de detección
Puesto que los controles de prevención no son infalibles, estos mecanismos permiten identificar
omisiones y violaciones que han ocurrido en el marco de un sistema; su eficacia está determinada
por la oportunidad con que se localizan las transacciones indebidas y su impacto en la
organización y en los recursos de la empresa.
Tanto los controles de prevención como los controles de detección son parte esencial de las
responsabilidades de la primera línea de defensa, es decir, las áreas encargadas de ejecutar los
procedimientos frente a los riesgos cotidianos. Estas áreas también son responsables de
implantar acciones correctivas para optimizar los procesos y eliminar las deficiencias de control.1
El control interno es una estructura dinámica cuya evolución debe ir siempre un paso adelante de
la empresa. Por ello, estos controles guardan estrecha relación con el desarrollo y el
mantenimiento de los sistemas manuales y electrónicos y corresponden a las responsabilidades
1Para más información, consúltese el boletín titulado “Auditoría interna y el fraude”, núm. 34, publicado en
enero de 2016.
Cabe mencionar que los controles no importando su clasificación, deben ser actualizados y
revisados de forma periódica y constante, con base en la frecuencia de aplicación, así como con
los cambios generados en los negocios y la organización.
Por otra parte, el área de Informática debe atender sus propios mecanismos de control interno,
dentro de los cuales destacan los relativos a la seguridad física, la seguridad lógica, la integridad
de la información en las bases de datos y, desde luego, el plan de contingencia o de continuidad
del servicio del que depende la vida de la empresa.
La auditoría interna es parte de la tercera línea de defensa respecto de los mecanismos de control
interno y se concentra en cerciorarse de que los dueños de los procesos, así como de las
actividades de control y las áreas a cargo de la supervisión operativa cumplan trabajando en
equipo con sus respectivas responsabilidades.
El COSO fue emitido por primera vez en 1992, marcando la formalización del llamado Enfoque
Moderno de Control Interno. Desde entonces ha sufrido dos actualizaciones: la primera en 2004
cuando se emitió el COSO-ERM para la Administración de Riesgos Corporativos, y la segunda,
en 2013, que actualiza el Modelo 1992 e incorpora el COSO ERM. En esta última versión, se
define al control interno como sigue:
Previo a la publicación del Modelo COSO en 1992, las definiciones del control interno no
mantenían uniformidad de criterios ni un marco teórico que considerara todos los puntos de vista
de los diferentes interesados.
El Modelo COSO agrupa en tres categorías los objetivos organizacionales cuyo logro apoya un
efectivo sistema de control interno:
I. Objetivos operativos. Relacionados con la efectividad y eficiencia de las operaciones, incluidos sus
objetivos de rendimiento financiero y operacional, y la protección de sus activos frente a posibles
pérdidas;
II. Objetivos de información. Referidos a la preparación de reportes para uso de la organización y los
accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia; y
III. Objetivos de cumplimiento. Vinculados con el cumplimiento de las leyes y regulaciones a las que
está sujeta la entidad. La entidad debe desarrollar sus actividades en función de las leyes y normas
específicas a las que está sujeta.
La arquitectura de un sistema de control interno efectivo bajo el Modelo COSO 2013 comprende
cinco componentes que deben estar presentes y funcionando. El Modelo establece 17 Principios
y 77 Puntos de Enfoque asociados a los Componentes, constitutivos de directrices y criterios que
deben considerarse tanto para el diseño e implementación del sistema, como para su evaluación
I. Ambiente de control
V. Monitoreo.
I. Ambiente de control
3. La Dirección establece con la supervisión del Consejo, las estructuras, líneas de reporte y los
niveles de autoridad y responsabilidad apropiados para la consecución de los objetivos.
5. La organización define las responsabilidades de las personas a nivel de control interno para la
consecución de los objetivos.
Algunos factores a considerar para evaluar el ambiente de control son: a) Plan estratégico
(misión, visión, objetivos); b) Políticas; c) Integridad y valores éticos; d) Competencia profesional;
e) Atmósfera de confianza; f) Filosofía y estilo de dirección; g) Estructura organizacional,
asignación de autoridad y responsabilidad.
1. La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados.
2. La organización identifica los riesgos para la consecución de sus objetivos en todos los niveles de
la entidad y los analiza como base sobre la cual determina cómo se deben gestionar.
4. La organización identifica y evalúa los cambios que podrían afectar significativamente al sistema
de control interno.
La entidad requiere identificar, evaluar, priorizar y estructurar un plan de respuesta a los riesgos
a los que se enfrenta en la consecución de sus objetivos con el propósito de establecer acciones
Son las acciones que la entidad establece por medio de las políticas y procedimientos para
garantizar que las instrucciones de la Administración que mitigan los riesgos con impacto
potencial en los objetivos se lleven a cabo. Deben quedar claramente expresadas y definidas en
los manuales de operación.
2. La organización define y desarrolla actividades de control general sobre la tecnología para apoyar
la consecución de los objetivos.
3. La organización despliega las actividades de control por medio de políticas que establecen las
líneas de actuación esperadas y procedimientos que ponen las políticas en acción.
Las actividades de control tienen como fin mitigar la probabilidad de ocurrencia de los riesgos y
(o) su posible impacto; se ejecutan en todos los niveles de la organización y en cada una de las
etapas de la gestión.
3. La organización se comunica con los grupos de interés externos sobre los aspectos clave que
afectan al funcionamiento del control interno.
El sistema de información de la entidad, desde una perspectiva de control interno debe diseñarse
atendiendo a las necesidades derivadas de la planeación estratégica, el plan anual operativo, la
operación, la administración de la entidad y el reporte regulatorio.
2. La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las
partes responsables de aplicar medidas correctivas, incluyendo la Alta Dirección y el Consejo,
según corresponda.
El monitoreo se lleva a cabo por medio de actividades puntuales y periódicas. Las puntuales son
aquellas que son parte del quehacer diario incorporadas al sistema, como la supervisión y la
comprobación automática de las operaciones producto de una adecuada segregación de
funciones y, en su caso, el ejercicio de los controles compensatorios.
VII. Conclusiones
Las empresas globales y las que se encuentran en etapa de desarrollo han comprobado que un
sistema de control interno estructurado bajo las mejores prácticas existentes representa un
valioso apoyo al gobierno corporativo en su aspiración de lograr los objetivos institucionales.
Ahora bien, un sistema de control interno que contempla mecanismos desarrollados por la
empresa o adaptaciones de modelos internacionales como COSO no garantiza éxito absoluto en
materia de prevención, mitigación y detección de eventos adversos. La participación de los
recursos humanos a todos los niveles de la organización, apuntalada por un plan de auditoría
interna basado en riesgos, contribuye a disminuir los actos fraudulentos significativamente.
En este contexto, la auditoría interna actúa como un eslabón que cierra la cadena de valor
compuesta por los objetivos institucionales y la administración de los riesgos, con énfasis en los
aspectos más relevantes de la organización.