Guia 2

Unidad Sistema de Control Interno MECI
didáctica y su transición al modelo COSO
Subdirección de Proyección Institucional ESAP

Sistema de Control Interno MECI
y su transición al modelo COSO
Escuela Superior de Administración Pública Sistema de Control Interno MECI

ESAP. y su transición al modelo COSO
Pedro Eugenio Medellín Torres Autor

Director Nacional Andrés Merizalde
Fernando Guzmán Rodríguez Corrección de estilo, acompañamiento

Subdirector Académico pedagógico, diseño instruccional, diseño
gráfico y virtualización.
Jairo Díaz Pinzón
Subdirector de Alto Gobierno Equipo Componente 1
Fortalecimiento del proceso de
Mauricio Vasco Moscovith capacitación virtual
Subdirector de Proyección Institucional Proyecto ESAP – CMA
Ruby Maritza Gerena Useche Fecha última versión

Jefe Departamento de Capacitación Junio 2019
ESAP - CMA ha verificado, hasta donde es posible, que el contenido de los enlaces web citados
y presentados en este curso sean verídicos y que correspondan; sin embargo, y debido a la
naturaleza dinámica de internet, ESAP - CMA no puede responsabilizarse por el correcto y
adecuado funcionamiento de los mismos.
Las imágenes de este documento han sido compradas a través de: https://www.123rf.com/
Objetivo de aprendizaje.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
1. Generalidades y conceptos precedentes.. . . . . . . . . . . . . . . . . . . . 7

1.1. Principios y puntos de enfoque de cada componente del modelo COSO para tener
en cuenta en la implementación del MECI. . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
2. Componente Ambiente de Control.. . . . . . . . . . . . . . . . . . . . . . . 17

2.1. Principio: la organización demuestra compromiso con laintegridad y valores
éticos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.2. Principio: ejercer responsabilidad de supervisión. . . . . . . . . . . . . . . . . . . . . 19
2.3. Principio: establece estructura, autoridad y responsabilidad.. . . . . . . . . . . . . 20
2.4. Principio: demostrar compromiso con la competencia. . . . . . . . . . . . . . . . . . 21
2.5. Principio: la organización define las responsabilidades dentro del Sistema de
Control Interno. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22
3. Componente Evaluación de Riesgo.. . . . . . . . . . . . . . . . . . . . . . . 23

3.1. Principio: especificar objetivos adecuados. . . . . . . . . . . . . . . . . . . . . . . . . 26
3.2. Principio: identifica y analiza riesgos asociados a los objetivos. . . . . . . . . . . . . 28
3.3. Principio: evalúa el riesgo del fraude. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
3.4. Principio: identifica y analiza cambios significativos.. . . . . . . . . . . . . . . . . . . 30
3
4. Componente Actividades de Control.. . . . . . . . . . . . . . . . . . . . . . 31

4.1. Principios: Selecciona y desarrolla actividades de control. . . . . . . . . . . . . . . 33
4.2. Principios: selecciona y desarrolla controles sobre las Tecnologías de la Informa-
ción y la Comunicación (TIC). . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34
4.3. Principio: implementar actividades de control a través de políticas y
procedimientos. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
5. Componente Información y Comunicación.. . . . . . . . . . . . . . . . . . 37

5.1. Principio: usa información relevante. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 39
5.2. Principio: comunica internamente la información relevante. . . . . . . . . . . . . . 40
5.3. Principio: comunica externamente los asuntos relevantes al SCI. . . . . . . . . . . 41
6. Componente Actividades de Supervisión.. . . . . . . . . . . . . . . . . . . 42

6.1. Principio: conduce evaluaciones continuas e independientes. . . . . . . . . . . . . 44
6.2. Principio: evalúa y comunica las deficiencias a los responsables de establecer
acciones correctivas. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
6.3. Responsabilidades en el Modelo Estándar de Control Interno (MECI).. . . . . . . 46
Glosario.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Referencias bibliográficas.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4
Objetivo
de Aprendizaje
Comprender la estructura y funcionalidad del modelo MECI como referen-
te para establecer e implementar un Sistema de Control Interno; reconocer
el desarrollo alcanzado y aportes que, en ese mismo sentido, puede brindar
el modelo COSO.
5
Resumen
En el marco del diseño de la segunda versión de Modelo Integrado de Pla-
neación y Gestión (MIPG) se consideró necesario actualizar el MECI me-
diante un cambio estructural adoptado del modelo internacional COSO;
además de presentarlo como la séptima dimensión del MIPG.
Esta tercera versión del modelo MECI presenta los mismos cinco compo-
nentes del modelo COSO, que surgió en los Estados Unidos en 1992 como
una estructura conceptual unificada, que ha tenido algunas actualizaciones
y ha resultado muy eficaz a nivel internacional como referente para estable-
cer sistemas de control interno. Esto, debido a que busca el uso eficiente de
los recursos humanos, logísticos y financieros de una organización y consi-
dera las necesidades y dinámicas del entorno actual, así como la integración
de conceptos gerenciales, administrativos y operativos.
Esta Unidad desarrollan las generalidades, funcionalidades y componentes

del modelo MECI, lo que complementa las reflexiones sobre la base de los
principios y enfoques que propone el modelo COSO.
6
Tema 1
Generalidades y conceptos precedentes
La publicación de Merizalde referencia que el sistema de control interno surge como:
…un conjunto de principios, instrumentos y buenas prácticas de control de los procesos contables, que
posteriormente evolucionó y aumentó su alcance hacia el control de todos los procesos de una orga-
nización, en función de la generación de información confiable, del cumplimiento de requisitos legales,
y de los objetivos y lineamientos de la alta dirección (2017)
Gracias al Control Interno se cuenta con una serie de estrategias y herramientas que permiten a
una empresa privada o entidad pública, desde un análisis minucioso de los riesgos en todos los
sectores, planificar de forma preventiva las acciones necesarias para cumplir de forma eficaz, efi-
ciente y efectiva la misión y alcanzar los objetivos institucionales, diseñar e implementar métodos
de monitoreo y evaluación para el mejoramiento. Siempre contando con la oportunidad de hacerle
frente a las contingencias que puedan interferir con los propósitos de la organización.
7
Desde (Mantilla y Cante, 2005) los autores dar de Control Interno (MECI) como un texto
sugieren la importancia del modelo de Esta- técnico que expone tres principios: autorregu-
dos Unidos planteado por el Committee of lación, autogestión y autocontrol; coordinados
Sponsoring Organizations of the Treadway por la dirección; que divide el Sistema de Con-
Commission (COSO, por sus siglas en inglés), trol Interno en tres Subsistemas, cada uno con
ya que este puede ser usado como base para tres componentes que, a su vez, contienen
revisar la efectividad de los sistemas de con- veintinueve elementos de control estandariza-
trol y determinar cómo mejorarlos. Además, dos. Que en ese momento pudieron conside-
presenta líneas de funcionamiento para evitar rarse suficientes para facilitarle a las entidades
que se vulnere la estructura de organización y públicas el establecimiento de sus Sistemas de
de sus sistemas (Ricardo, 2005). Control Interno (Figura 1).
Inicialmente en Colombia, mediante Decreto

1599 de 2005 se presentó el Modelo Están-
8
-Acuerdos, compromisos o
1.1. Ambiente protocolos éticos
de control -Desarrollo de talento humano
-Estilo de dirección
-Planes y programas
1. Subsistema 1.2. Direccionamiento -Modelo de operación
de Control estratégico por procesos
Estratégico -Estructura organizacional
-Contexto Estratégico
-Identificación de Riesgos
1.3. Administración -Análisis de Riesgos
de Riesgos -Valoración de Riesgos
-Política de Administración
de Riesgos
-Políticas de operación
2.1. Actividades -Procedimientos
de Control -Controles
-Indicadores
-Manual de procedimientos
2. Subsistema
-Información primaria
de Control
2.2. Información -Información secundaria
de Gestión
-Sistemas de Información
-Comunicación organizacional
2.3. Comunicación
-Comunicación informativa
pública
-Medios de comunicación
-Autoevaluación del Control
3.1. Autoevaluación
-Autoevaluación de Gestión
-Evaluación del sistema de

3. Subsistema 3.2. Evaluación control interno
de Control independiente -Auditoría interna
de Evaluación
-Plan de mejoramiento institucional
3.3. Planes de -Plan de mejoramiento funcional
mejoramiento -Plan de mejoramiento individual
Figura 1. Estructura del Sistema de Control Interno MECI 2005

Fuente: adaptada del Departamento Administrativo de la Función Pública (2005)
9
Posteriormente, el Decreto 943 de 2014 actualizó el Modelo Estándar de Control Interno (MECI),
con el fin de hacer más fácil su acogida e implementación articulándose con los objetivos y linea-
mientos de cada organización (Figura 2).
ón y comunica
rmaci ción
Info
luación y seg
d e eva uim
ul o ien
ó d to
M
Talento
n humano
Auto tió M
ód
ges u
evaluación y Auditoría
lo
n
institucional interna
ió
de
ac
pla
ne
ne
pla
ació
E
de
n y ge
Módulo
M
Módul o d e
stión
guimien o
t
I
C
Administración
Direccionamiento
y se
del riesgo
eva
estratégico
M
lua
ód n
ión
ulo ge s ti ó
d e pla
n e ació n y
ció
ac
lu
n
va
y
eg e
s
ui de
m
ien Planes de u lo
to Mejoramiento M ód
Figura 2: Estructura del Sistema de Control Interno MECI 2014

Fuente: adaptada del Departamento Administrativo de la Función Pública
10
Finalmente, en el marco de la actualización del Modelo Integrado de Planeación y Gestión (MIPG),

aprobada y publicada en septiembre de 2017, se presentó el MECI en forma de la séptima Dimen-
sión del MIPG, denominada “Control Interno”, que plantea un modelo MECI muy diferente de las
versiones 2005 y 2014. Presenta en sus estructuras mayor descripción de los elementos del ciclo
PHVA, que en pudieron ser equivocadamente comparables con modelos de Sistemas de Gestión
en su momento. Por lo tanto, de no modificar la estructura y su planteamiento, la versión 2014
del MECI podía entrar en conflicto con el MIPG debido a que este último hoy es planteado como
el referente para establecer e implementar el Sistema de Gestión global de una entidad pública.
Con su estructura y planteamiento actual, el MECI se articula con el Modelo Integrado de Planea-
ción y Gestión en perfecta armonía con las otras seis dimensiones y haciendo más pertinente el
Sistema de Control Interno de las entidades públicas colombianas.
Las entidades y servidores

públicos son además sujetos de:
- Control Social
- Control Fiscal
- Control disciplinario
- Control Político
Mé
rito e integridad
Va
lo r es, u ral
Transp C ult
arencia y Cambio
Figura 3: Operación del MIPG basada en siete Dimensiones.

11
La estructura actual del MECI se adopta de la tímulo para la eficiencia operativa y la eficacia
propuesta original del modelo COSO, que se administrativa, teniendo absoluto conocimien-
presenta como un esquema de planificación to de los movimientos financieros, ingresos y
preventiva, acompañado de mecanismos de egresos de una entidad.
verificación y reacción, que pueden articular-
se con roles especializados en cada entidad El último MECI, que corresponde al propuesto
y complementarse con el Sistema de Gestión en el presente documento expone cinco capí-
global de la organización. tulos articulados, se integran de forma multi-
direccional e interactiva. Como se muestra en
En Mantilla (2018), el autor sugiere el mode- la Figura 4, donde se detalla la transversalidad
lo COSO para la implementación del control de las responsabilidades operacionales, de la
interno en Colombia, entendido como un pro- presentación de formatos e informes y el cum-
ceso que debe ser ejecutado por la dirección plimiento de todos los compromisos ligados al
general, los directores y la parte administrati- control interno y en todas las dependencias
va, además del vínculo del personal de una en- del ámbito de una organización como son la
tidad u organización, y “está diseñado para lo- dirección de la entidad, las divisiones o depar-
grar la eficacia y eficiencia de las operaciones, tamentos, la unidad de producción y las fun-
tener confiabilidad en los reportes financieros, ciones, y los productos o servicios ofrecidos
tener conformidad con las regulaciones y leyes por una entidad.
aplicables y contar con un salvaguarda de los
activos de la entidad” (2018, p. 5).
Se han definido diferentes modelos de control

interno que, si bien buscan los mismos pro-
pósitos, difieren un poco en la profundidad
de aplicación. La evolución de dichos mode-
los siempre ha sido congruente con aportar
al cumplimiento de los objetivos y metas de
las organizaciones, además del fomento y es-
12
Ambiente de Control
Conjunto de directrices y condiciones mínimas que brinda la alta dirección

de las organizaciones con el fin de implementar y fortalecer su Sistema de
Control Interno.
Evaluación del Riesgo
Proceso dinámico e interactivo que le permite a la entidad identificar,

evaluar y gestionar aquellos eventos, tanto internos como externos, que
pueden afectar o impedir el logro de sus objetivos institucionales.
Actividades de Control
Acciones determinadas por la entidad, generalmente expresadas a través

de políticas de operación, procesos y procedimientos, que contribuyen al
desarrollo de las directrices impartidas por la alta dirección frente al logro
de los objetivos.
Información y comunicación
La información sirve como base para conocer el estado de los controles, así
como para conocer el avance de la gestión de la entidad. La comunicación
permite que los servidores públicos comprendan sus roles y responsabili-
dades, y sirve como medio para la rendición de cuentas.
Actividades de monitoreo
La información sirve como base para conocer el estado de los controles, así
como para conocer el avance de la gestión de la entidad. La comunicación
permite que los servidores públicos comprendan sus roles y responsabili-
dades, y sirve como medio para la rendición de cuentas.
Figura 4: Componentes del MECI versión 2017

13
Figura 5: Representación gráfica del modelo COSO

Fuente: adaptada del Committee of Sponsoring Organizations of the Treadway Commission (2013)
En la Figura 5 observamos la imagen de cubo orientadora de los pasos en el modelo COSO, los
ámbitos de participación y responsabilidad, como los formatos, obligaciones y procedimiento para
implementar y verificar el Control Interno en una organización.
• El Ambiente de Control corresponde a sonas idóneas y calificadas para los oficios

cómo se genera un ámbito organizacional y labores requeridos en cada dependencia
relativo a la competencia de los productos de la entidad, se fomenta la calificación de
ofrecidos, se vincula operativamente per- los existentes y se genera un medio propi-
14
cio para que el desempeño sea más eficaz, como posibles deficiencias o fallas dentro
eficiente y efectivo en la prestación de sus del funcionamiento y rendimiento de la
servicios. entidad.
• La Evaluación de Riesgos, donde todas las Debido al éxito como referente que ha tenido
partes involucradas en el cumplimiento el modelo COSO, a continuación, se presen-
de los objetivos organizacionales tienen tarán los contenidos desarrollados por dicho
el compromiso de identificar y gestionar modelo para cada uno de los cinco compo-
cualquier tipo de riesgo, para mitigar o dis- nentes, en términos de 17 principios inmersos
minuir el mismo. en los cinco componentes antes mencionados
y revisando los 87 puntos de enfoque que se
• Las Actividades de Control corresponden detallan a un nivel más operativo para la in-
a una serie de responsabilidades asignadas tervención, la pertinencia de las responsabili-
de forma pertinente y oportuna, para ha- dades de cada una de las partes involucradas
cerle frente a todos los aspectos o riesgos y la transversalidad de las acciones de Control
identificados que necesite ser corregidos Interno.
en diferentes momentos del desempeño.
• La Información y Comunicación asertiva

de las actividades de control permiten que
todas las personas de la entidad se ente-
ren de forma oportuna de los ejercicios de
control interno, de los resultados y expec-
tativas de la entidad; es necesario desa-
rrollar estrategias de comunicación interna
y externa a la organización.
• Las Actividades de Supervisión incluyen
auditorías y evaluaciones para identificar
avances en el proceso de Control Interno,
15
1.1 Principios y puntos de enfoque de cada componente del modelo COSO para
tener en cuenta en la implementación del MECI
A continuación, sobre una estructura basada en relaciones jerárquicas, se presentan las líneas de
intervención para implementar un Sistema de Control Interno. A partir de cada componente del
modelo MECI se hace una aproximación a los principios y sus correspondientes puntos de enfoque
planteados por el modelo COSO.
16
Tema 2
Componente Ambiente de Control
El Ambiente de Control es el conjunto de directrices y condiciones mínimas que brinda la alta di-
rección de las organizaciones con el fin de implementar y fortalecer su Sistema de Control Interno.
Corresponde a los estándares, procedimientos y estrategias que proveen la base para ejecutar el
proceso de control interno a través de la organización.
Función Pública (2018), en los lineamientos de la política de control interno del MIPG aclara que la
implementación del componente se logra con el compromiso, liderazgo y los lineamientos de la alta
dirección y del Comité Institucional de Coordinación de Control Interno en las siguientes materias:
• La integridad (valores) y principios del servicio público

• Asignación de la responsabilidad y autoridad en todos los niveles organizacionales, incluyendo
líneas de reporte
• Definición de una planeación estratégica, responsables, metas, tiempos que faciliten el segui-
miento y aplicación de controles que garanticen de forma razonable su cumplimiento
• Una gestión del talento humano con carácter estratégico y con un despliegue de actividades
clave para todo el ciclo de vida del servidor público
17
Componente Principios
Demuestra compromi-
so con la integridad y
los valores éticos.
s o
ne e nt
cio rm im
ie Ejerce
ra fo pl
O
pe In
um
responsabilidad de
C supervisión
Función
Unidad Operativa
Ambiente de Control
Establece estructura,
Ambiente autoridad y
de Control responsabilidad.
División
Entidad
Demuestra compromi-
Información & Comunicación so con la competencia.
Actividades de Supervisión
La organización define
las responsabilidades
dentro del Sistema de
Control Interno.
Figura 6: Principios del componente Ambiente de Control desde la perspectiva del COSO
Fuente: adaptada de Auditool (2017)
18
2.1 Principio: la organización demues- entorno de convivencia laboral.

tra compromiso con la integridad y
valores éticos 2.1.4 Abordar cualquier desviación de
Es importante reflexionar sobre el concepto de forma oportuna
la ética a nivel interno, cuál debe ser la respon- Con respecto a los propósitos misionales se
sabilidad en los propósitos organizacionales, la deben tener en cuenta todas las oportunida-
filosofía y el compromiso de comportamiento des corporativas que no generen conflicto de
inherente a cada una de las partes. intereses y que no estén fuera de los objetivos
de la organización, igualmente se debe contar
2.1.1 Establecer el tono o estilo de la con los procedimientos adecuados, y la capaci-
dirección dad de afrontar las contingencias o situaciones
Los dos primeros pasos corresponden a esta- negativas que puedan interferir con el cumpli-
blecer acuerdos, compromisos o protocolos miento de los objetivos misionales (Incumpli-
éticos, definir los patrones éticos de la organi- miento de leyes, fraude, corrupción).
zación y promoverlos.
2.2 Principio: ejercer responsabili-
2.1.2 Establecer las normas de conducta dad de supervisión
Es el segundo aspecto a tener en cuenta en El Consejo de Administración funciona de for-
una organización, para describir de manera ma independiente de la administración y su-
mucho más extensiva los comportamientos pervisa el desarrollo y rendimiento del control
aceptables en determinadas situaciones, defi- interno.
niendo normas de conducta puntuales, códi-
gos de ética o integridad. 2.2.1 Establecer responsabilidades de
supervisión
2.1.3 Evaluar el cumplimiento de las En todos los sectores o divisiones de una or-
normas de conducta ganización se delegan responsables de moni-
Es muy importante diseñar estrategias de eva- torear los indicadores adecuados para mante-
luación de estas normas de conducta, para ge- ner el óptimo funcionamiento de la entidad.
nerar acciones correctivas y permitir un mejor
19
2.2.2 Aplicar los conocimientos espe- cieros independientes, de esta forma la orga-
cializados relevantes nización podrá afrontar los riesgos, plantear
Para el óptimo funcionamiento de una organi- la compensación ejecutiva y realizar las citas
zación, se debe asegurar que las competencias de gestión correspondientes. Es fundamental
y perfiles de las personas de cada dependen- para esto realizar el nombramiento y selección
cia de la organización, correspondan al obje- de directores no ejecutivos, que faciliten el
to, funciones y a las necesidades particulares, despliegue de todas las necesidades de gober-
Igualmente es necesario mantener actividades nabilidad organizacional y políticas corporativas.
y espacios de fortalecimiento de capacidades
y calificación a todo el personal, cada vez que 2.3 Principio: establece estructura,
se requiera mejorar en los procedimientos. autoridad y responsabilidad
La Administración establece, con aprobación
2.2.3 Conserva o delega responsabilida- del Consejo Directivo, estructuras, líneas de
des de supervisión reporte y las autoridades y responsabilidades
Es muy importante saber delegar responsabili- apropiadas en la búsqueda de objetivos insti-
dades en el ámbito organizacional, de acuerdo tucionales.
con los perfiles de los integrantes y a las ne-
cesidades de control interno de cada área o 2.3.1 Tienen en cuenta toda la estructu-
dependencia. ra de la organización
En cada dependencia o división de la entidad
2.2.4 Operar con independencia debe existir una persona responsable, no obs-
Es muy importante evitar conflictos de inte- tante, todos los integrantes deben conocer
reses entre los actores del seguimiento y los ampliamente las políticas de producción y ser-
responsables de objetivos y metas. vicio para funcionar óptimamente.
2.2.5 Proporcionar supervisión para el 2.3.2 Establece líneas de comunicación

Sistema de Control Interno de información
Es muy importante mantener auditorías de Entre cada dependencia y funcionario existen
control interno apoyadas con expertos finan- medios y estrategias de comunicación en to-
20
dos los niveles de la entidad, para conocer to- bles y abordar la falta de estas
das las perspectivas y expectativas. Es importante delegar las responsabilidades
de acuerdo a las competencias disponibles y
2.3.3 Define, asigna y limita facultades fomentar espacios para el fortalecimiento y
y responsabilidades calificación de algunos integrantes del equipo
De acuerdo con los perfiles y competencias de pertinentes con las necesidades que surgen
los integrantes de cada dependencia o división en el mercado.
se deben definir, asignar y limitar las facultades
de todos y las responsabilidades institucionales. 2.4.3 Atraer, desarrollar y retener pro-
fesionales competentes
2.4 Principio: demostrar compromiso Los estándares de producción van cambiando
con la competencia de acuerdo con la demanda del mercado, para
La entidad debe demostrar compromiso en esto se debe contar con personal competente
atraer, fomentar, fortalecer y mantener per- y calificado para las necesidades actuales.
sonal competente para el cumplimiento de los
objetivos institucionales. 2.4.4 Planificar y preparar sucesión
Se debe procurar la asignación a personas jó-
2.4.1 Establecer políticas y prácticas venes en ascenso de nuevas responsabilida-
Contar con políticas claras y prácticas sobre des encaminadas a controlar riesgos evalua-
recursos humanos brinda confiabilidad a todos dos; esta asignación brinda en muchos casos,
los integrantes de la organización y le imprime un nivel de confianza y autoridad razonable a
niveles de integridad, de una entidad que sigue estos encargados que les permitirá cubrir es-
un comportamiento ético y es altamente com- tas necesidades operativas cuando se requie-
petente en temas relacionados con la emplea- ra un relevo generacional. Generalmente este
bilidad, orientación, asistencia, entrenamiento, empoderamiento incentiva la creatividad de la
evaluación compensaciones, consejería, accio- persona encargada y aumenta la competencia
nes de remedio y asistencia médica. de la entidad.
2.4.2 Evaluar las competencias disponi-
21
2.5 Principio: la organización define 2.5.4 Tener en cuenta las presiones excesivas
las responsabilidades dentro del Sis- Es muy importante no generar cargas y pre-
tema de Control Interno siones laborales sobre su personal ya que esto
La organización debe mantener personal com- puede influir en la calidad y la competencia del
prometido con sus responsabilidades de control servicio hacia los usuarios.
interno, para el cumplimiento de los objetivos.
2.5.5 Aplicar las medidas disciplinarias
2.5.1 Responsabilidades para rendición Así como se estimulan los logros y se generan
de cuentas recompensas por las situaciones positivas, se
Es crucial conocer y reconocer todos los al- deben sancionar y aplicar medidas disciplina-
cances e impactos del desempeño de la enti- rias ante los incumplimientos y acciones que
dad, para aumentar estrategias y acciones que no sean compatibles con la filosofía de la or-
demuestren un matiz de responsabilidad en la ganización.
organización. Mecanismos para mejorar la co-
municación y la rendición de cuentas.
2.5.2 Establecer parámetros de desempeño,

incentivos y recompensas
La organización debe establecer las buenas
prácticas, generar incentivos y recompensas
a los logros de desempeño en los diferentes
niveles de la entidad.
2.5.3 Evaluar parámetros de desempe-

ño, incentivos y recompensas
La organización debe evaluar la implementa-
ción de las buenas prácticas y estimular con
incentivos y recompensas a los logros de des-
empeño relevantes.
22
Tema 3
Componente Evaluación de Riesgo
Una organización debe afrontar los riesgos y las oportunidades. Existen diferentes definiciones
del término Riesgo. Tradicionalmente se ha definido como la posibilidad de que un evento ocurra
y afecte adversamente el cumplimiento de los propósitos institucionales. Sin embargo, la norma
ISO 31000 (ICONTEC 2018), lo define como el efecto de la incertidumbre sobre los objetivos. La
misma norma presenta las siguientes tres notas aclaratorias de la definición:
• Que un efecto es una desviación respecto a lo previsto y que dicho efecto puede ser positivo,
negativo o ambos, y puede abordar, crear, o resultar en oportunidades y amenazas.
• Que los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferen-
tes niveles.
• Que, con frecuencia, el riesgo se expresa en términos de: fuentes de riesgo, eventos potencia-
les, sus consecuencias y sus probabilidades.
23
Por otra parte, la oportunidad, también lla- Se puede concluir que la Evaluación del Ries-
mada riesgo positivo, es la posibilidad de que go es el componente del modelo MECI que
un evento ocurra y afecte favorablemente el le permite a la organización abordar de forma
cumplimiento de los propósitos institucionales. anticipada y proactiva, las situaciones negati-
Tradicionalmente se denomina Gestión del vas o positivas que pueden afectar el logro de
Riesgo, al conjunto de tareas que adelanta una todos los objetivos e intereses.
organización para comprender el contexto,
evaluar los riesgos, darles tratamiento, hacer-
les seguimiento y mejorar el desempeño y la En la Figura 7 detallamos los principios para la
efectividad de los controles. evaluación de riesgos.
Merizalde (2017, pp. 78-79) se refiere a la Ges-

tión del Riesgo como un proceso dinámico e
interactivo, que le permite al Sistema de Con-
trol Interno abordar los diferentes enfoques o
disciplinas sobre el esquema de operación de
la organización.
En la norma ISO 31000 (ICONTEC, 2011) se

menciona que la gestión del riesgo se considera
parte central de los procesos de gestión de la or-
ganización, de modo que los riesgos están consi-
derados en términos del efecto de la incertidum-
bre en los objetivos. La estructura y los procesos
de gobierno se basan en la gestión del riesgo. La
gestión eficaz del riesgo es considerada por los
directores un factor esencial para el logro de los
objetivos de la organización.
24
Especifica objetivos
ne
s
e nt
o adecuado
io ie
ac orm im
er Inf pl
p m
O Cu
Función
Identifica y
Unidad Operativa
Ambiente de Control analiza riesgos

Evaluación
del Riesgo
División
Evalúa el riesgo
Actividades de Control del fraude
Entidad
Información & Comunicación
Identifica y analiza
cambios significativos
Figura 7: Principios del componente Evaluación del Riesgo desde la perspectiva del COSO
25
3.1 Principio: especificar objetivos cluye objetivos de desempeño y rentabilidad

adecuados financiera.
La organización define todos los objetivos, de
procesos y planes, y en todos los niveles, de 3.1.4 Los objetivos operacionales Forman
forma tal, que se posibilita la identificación y una base sobre la cual se asignan los recursos
valoración de todos los riesgos pertinentes a Es así como necesitan reflejar el ámbito de ne-
estos. gocios, productos y servicios, en torno al cual
funciona la entidad. Requieren ser pertinentes
3.1.1 Los objetivos operacionales reflejan frente a las necesidades competitivas por ca-
las decisiones de la dirección lidad, ciclos de tiempo, tecnologías necesarias.
La definición de objetivos debe tener lugar an- Si los objetivos no son claros y no están bien
tes de iniciar la valoración de riesgos, a fin de justificados dentro del desempeño institucio-
que la dirección pueda definir cuantos riesgos nal, sus recursos pueden despilfarrarse.
es prudente aceptar y tomar las decisiones
para administrarlos. 3.1.5 Los objetivos de información finan-
ciera externa cumplen las normas contables
3.1.2 Los objetivos operacionales conside- aplicables
ran las tolerancias al riesgo Los estados financieros son públicos y deben
La definición de objetivos operacionales aso- reflejar aceptación general, deben ser apropia-
ciados a los procesos le permite identificar a la dos a las circunstancias y cumplir con todas las
entidad los niveles y criterios de desempeño regulaciones vigentes.
institucional, centrándose en los factores críti-
cos para el éxito. 3.1.6 Los objetivos de información financie-
ra externa consideran la materialidad
3.1.3 Los objetivos operacionales Inclu- Es inherente encontrar errores o inconsisten-
yen metas de desempeño financiero y de cias en la presentación de los estados finan-
operaciones cieros, el principio de materialidad se refiere
Hacen referencia a la efectividad y eficiencia en términos contables a determinados tipos
operativa de los procesos de la entidad e inde transacciones, saldos y movimientos finan-
26
cieros que presentan riesgos de inexactitud La información en los reportes no financieros

material. externos debe reflejar coherencia con los pro-
cesos y con la estrategia de la entidad.
3.1.7 Los objetivos de información financie-
ra externa reflejan las actividades de la or- 3.1.11 Los objetivos de información finan-
ganización ciera interna cumplen las normas contables
La contabilidad financiera o contabilidad ex- aplicables
terna nos permite conocer el nivel de desem- Por otro lado, la información financiera inter-
peño en la prestación de un bien o servicio na debe reflejar claramente la contabilidad de
por medio de la entidad. costos de forma clara y cumpliendo con todas
las exigencias legales y contables.
3.1.8 Los objetivos de Reporte No financiero
externo cumplen con los estándares y marcos
externos establecidos
Toda la información debe cumplir con las es-
pecificaciones externas establecidos por los
grupos de interés considerados autoridades u
organismos de control.
3.1.9 Los objetivos de Reporte No finan-

ciero externo consideran los niveles de pre-
cisión requeridos 3.1.12 Los objetivos de información finan-
El nivel de precisión y claridad alcanzado en ciera interna consideran el nivel necesario
estos reportes no financieros externos es fun- de precisión
damental para generar confianza entre la enti- El nivel de precisión y claridad alcanzado en
dad y los grupos de interés. estos reportes de información interna, pue-
den eventualmente liberar ganancias reporta-
3.1.10 Los objetivos de Reporte No financiero das en los estados financieros para invertir los
externo reflejan las actividades de la entidad gastos operativos de la entidad.
27
3.1.13 Los objetivos de información finan- para disminuir algún riesgo.

ciera interna reflejan las actividades de la
organización 3.2 Principio: identifica y analiza ries-
Los estados financieros reflejan todos los mo- gos asociados a los objetivos
vimientos de la entidad, transacciones, eventos A través de la entidad se identifican claramen-
fundamentales, de tal forma que refleja la situa- te y analizan todos los riesgos que pueden
ción financiera, las operaciones y los flujos de di- afectar el desempeño de planes y procesos
neros definidos en unos límites razonables. activamente, en un sistema de control interno
efectivo.
3.1.14 Los objetivos de cumplimiento reflejan
las leyes y regulaciones externas 3.2.1 Incluye los niveles de la organización
Estos objetivos se enmarcan en los compromi- Los riesgos deben ser relacionados con el
sos de ley y regulaciones, que deben ser cum- cumplimiento de los objetivos institucionales
plidas por una entidad, para garantizar su buen en todos los niveles de la entidad y deben ser
funcionamiento y el correcto manejo de todos administrados mediante acciones pertinentes.
sus recursos financieros, logísticos y ambien-
tales. 3.2.2 Analiza los factores internos y externos
Los riesgos a nivel de desempeño de la entidad
3.1.15 Los objetivos de cumplimiento tienen pueden provenir de diferentes factores exter-
en cuenta la tolerancia al riesgo nos o internos. Por ejemplo, los desarrollos
Los objetivos de cumplimiento se relacionan tecnológicos, pueden afectar la naturaleza de
con las regulaciones que debe cumplir la or- la investigación y desarrollo, o dirigir hacia la
ganización, por ejemplo, las regulaciones de procura de cambios; las necesidades o expec-
seguridad laboral; así que actividades relacio- tativas del mercado, pueden afectar el desa-
nadas con el manejo de personal y su dedi- rrollo del producto, el proceso de producción,
cación; puede hacer que una entidad defina el servicio al cliente, los precios o las garantías.
sus objetivos y defina procedimientos que se Por otro lado, las regulaciones podrían incidir
relacionarán con programas de comunicación, en realizar inversiones y forzar a cambios en
inspecciones, capacitaciones y entrenamiento las políticas de la operación de la entidad.
28
3.2.3 Involucra los niveles apropiados de la 3.3 Principio: evalúa el riesgo del fraude
organización La organización debe mantenerse alerta ante
Los riesgos del funcionamiento y desempeño las posibilidades de fraude en el desempeño
global de la entidad pueden depender de fac- de la organización y debe contar con mecanis-
tores externos, no obstante, muchas veces de- mos para identificarlo.
penden de poder llegar al nivel de los riesgos
de actividades operativas, preoperativas y de 3.3.1 Tiene en cuenta distintos tipos de fraude
funcionamiento, para gestionar efectivamente Los fraudes se pueden presentar a diferentes
un riesgo de nivel global. niveles y pueden repercutir en cómo perciben
los usuarios a la entidad. Es importante revisar
3.2.4 Estima la importancia de los riesgos minuciosamente las actividades y subactivida-
identificados des de operación, como las actividades admi-
Muchas veces gestionar los riesgos en niveles nistrativas para determinar gastos excesivos e
operativos o sub-operativos, pueden influir en inconsistencias en los balances generales.
riesgos de calidad. Es importante conocer las
características de motricidad o dependencia 3.3.2 Evalúa los incentivos y las presiones
de los riesgos identificados para determinar la Se establecen incentivos para fomentar el
importancia y la pertinencia de estos. compromiso y la disminución de ocurrencia de
un riesgo y se establecen reglas y sanciones
3.2.5 Determina como responder a los riesgos claras para quienes no se comprometan y con
Existen muchos métodos para determinar el sus actos, comprometan y generen riesgos en
costo de una perdida a partir de un riesgo diferentes niveles de operación.
identificado, así se puede estimar como res-
ponder y cuanto invertir para responder al 3.3.3 Considera el riesgo de fraude por ad-
riesgo identificado. quisiciones no autorizadas
La entidad debe asegurar que la adquisición
29
de bienes y servicios se realiza a lo estricta- 3.4.1 Evalúa los cambios en el entorno externo
mente necesario y siguiendo las regulaciones Implica manejar sistemas de información que
externas e internas en la materia e implemen- nos permitan conocer eventos, acciones y si-
tando revisiones y aprobaciones por el nivel tuaciones que indiquen cambios frente a los
directivo. cuales la entidad debe reaccionar; regulacio-
nes, tendencias del mercado, oferta y deman-
3.3.4 Evalúa las actitudes y justificaciones da, etc.
Muchas veces la identificación de riesgos
debe considerar los comportamientos y acti- 3.4.2 Evalúa los cambios en el modelo de
tudes de cada dependencia de la entidad para negocio
afrontar los riesgos, que justifican acciones de El manejo de la información externa también
mitigación o intervenciones en programas de puede implicar cambios en las preferencias
trabajo. de los clientes u otros aspectos que afecten
la demanda por los productos o servicios que
ofrece la entidad. Estos cambios pueden impli-
car nuevas tecnologías, nuevos esquemas de
producción, como pueden suscitar cambios o
ajustes en los modelos de negocio para sacar
provecho de nuevas oportunidades.
3.4.3 Evalúa los cambios en la alta dirección

Se debe contar con mecanismos para antici-
par, identificar y reaccionar ante los eventos
que interfieren con los propósitos misionales
3.4 Principio: identifica y analiza o incluso con los objetivos a nivel de actividad
cambios significativos de la entidad y que puedan requerir de cam-
La organización tiene capacidad de identificar bios en las políticas o mecanismos de inter-
y evaluar todos los cambios que puedan afec- vención de la alta dirección.
tar el sistema de Control Interno.
30
Tema 4
Componente Actividades de Control
Son actividades y tareas operativas que se establecen como medidas de control para reducir o
mantener la probabilidad de materialización de los riesgos evaluados. Se establecen como parte de
políticas, procedimientos, instructivos, protocolos, formatos, entre otros, para apoyar la operación
de los procesos en la mitigación de los riesgos que se pueden presentar. Los principios sugeridos
para las actividades de control se observan en la Figura 8.
31
s o
ne e nt Selecciona y
ie
acio orm im
er Inf pl desarrolla actividades
p m
O Cu de control
Función
Unidad Operativa
Ambiente de Control Selecciona y

desarrolla controles
Actividades sobre la
de control tecnología
División
Entidad
Implementar
actividades de control
Información & Comunicación a través de políticas y
procedimientos
Figura 8: Principios del componente Actividades de Control desde la perspectiva del COSO
32
4.1 Principios: Selecciona y desarro- propósito será prevenirlo, detectarlo o corregirlo.

lla actividades de control
Las actividades de control son de naturaleza 4.1.2 Tiene en cuenta factores específicos de
muy diversa y se encuentran en todos los ni- la organización
veles de la organización, en formas diferentes Las actividades de control tienen lugar en to-
y generalmente como actividades preventivas, dos los sectores de la organización, en todos
detectivas y correctivas, que pueden ser: los niveles y en todas las funciones; revisiones
de alto nivel, funciones directas o actividades
• Revisiones administrativas.
• Verificaciones
• Validaciones 4.1.3 Determina los procesos de negocio
• Aprobaciones relevante
• Autorizaciones Por ejemplo, un administrador de ventas, para
• Disposiciones para la seguridad de mantener la participación en ventas de un pro-
activos ducto debe mantenerse enterado de las ten-
• Restricciones dencias del mercado general y así esa informa-
• Conciliaciones ción podrá articularse con las necesidades de
• Indicadores de desempeño producción y se facilitará la decisión de parti-
• Fianzas y seguros cipar o denegar una oportunidad de negocio
• Registro de información en particular.
• Seguimientos
• Mediciones 4.1.4 Evalúa los distintos tipos de actividades
• Análisis de información de control
• Segregación de responsabilidades, Los tipos de actividades de control correspon-
etc. den al procesamiento de información, a con-
troles físicos, a indicadores de desempeño y a
4.1.1 Se integra con la evaluación de riesgos la segregación de responsabilidades de todos
El establecimiento de una acción de control es los integrantes de la entidad.
una consecuencia a un riesgo evaluado y su
33
4.1.5 Tiene en cuenta a que nivel se aplican 4.2 Principios: selecciona y desarro-
las actividades lla controles sobre las Tecnologías de la
Las actividades de control se realizan a todo Información y la Comunicación (TIC)
nivel y en todos las dependencias o sectores La organización elige y desarrolla actividades
de la entidad. De acuerdo al nivel en que se de control generales apoyados en tecnologías
apliquen estas acciones de control se pueden de información para mejorar en el cumplimien-
evaluar los cambios significativos frente al to de los objetivos.
riesgo gestionado.
4.2.1 Establece la relación existente entre el
4.1.6 Aborda la segmentación de funciones uso de TIC en los procesos de negocios y los
Aunque el control se construye directamente controles generales sobre tecnología
sobre el proceso administrativo, las responsa- Todas las organizaciones deberían apoyarse
bilidades se dividen o segregan y cada depar- hardware y software para el manejo y proce-
tamento de la entidad tiene injerencia en las samiento de la información.
actividades de control que están dentro de
sus funciones, para reducir el riesgo o la apari-
ción de acciones inapropiadas.
34
4.2.2 Establece actividades de control para 4.2.4 Establece actividades de control sobre
la infraestructura tecnológica relevante los procesos relevantes de adquisición, desa-
El término Controles Generales incluyen co- rrollo y mantenimiento de tecnologías
múnmente los controles sobre las operaciones Controles al software del sistema permiten te-
de centros de datos, adquisiciones, actualiza- ner control sobre las adquisiciones de nuevos
ción de software, seguridad de acceso y ma- software, implementación y mantenimiento,
nejo de plataformas y aplicaciones de todos sistema operativo, sistema de administración
los sistemas. de bases de datos, el software de telecomuni-
caciones, el de seguridad, etc.
4.2.3 Establece actividades de control so-
bre los procesos relevantes de gestión de 4.3 Principio: implementar activida-
seguridad des de control a través de políticas y
Los controles de seguridad previenen el acce- procedimientos
so inapropiado o el uso no autorizado del sis- La entidad pone en ejercicio actividades de
tema y podrían eventualmente detectar per- control a través de las políticas que establecen
sonas expertas en acceder de forma ilegal a lo que se estima y procedimientos que ponen
las informaciones u otro tipo de violaciones de estas políticas en funcionamiento.
carácter informático.
35
4.3.1 Establecer políticas y procedimientos y se acuerda entre todos los involucrados en

para respaldar las instrucciones adoptadas un sistema de producción, acuerdos entre in-
por la dirección tegrantes de diferentes departamentos de la
El objeto de una entidad, la tipología y alcan- entidad que conlleven a solucionar algunos
ce de sus productos o servicios, determina sus riesgos observados en diferentes niveles de
programas de control. Las entidades más com- funcionamiento.
plejas pueden vincular muchas actividades de
control y resultados de control más complejos 4.3.5 Se pone en práctica a través del personal
que otras entidades más sencillas. Las activi- competente
dades de control las determina la dirección, Las actividades de control financiero y técnico
para lo cual debe establecer políticas y proce- deben ser realizadas por especialistas en cada
dimientos claros. tema, auditores expertos en el rendimiento es-
pecífico del sector intervenido.
4.3.2 Establece responsabilidades sobre la
ejecución de políticas y procedimientos 4.3.6 Revisa las políticas y procedimientos
El manejo de las actividades de control debe Un evaluador debe tener capacidad de consi-
direccionar los mecanismos correctivos, las in- derar si las actividades de control se relacionan
versiones a la operatividad y las responsabili- acertadamente con el proceso de valoración
dades de cada sector sobre el cumplimiento de riesgos y si son las adecuadas para cumplir
de las políticas y procedimientos que se deben con las directrices de la administración.
abordar o gestionar.
4.3.3 Se efectúa en el momento oportuno

La actuación sobre los riesgos identificados
debe lograrse una vez son detectados para
disminuir la pérdida de recursos.
4.3.4 Adopta medidas correctivas

Se establecen protocolos de funcionamiento
36
Tema 5
Componente Información y Comunicación

La Ley 1712 de 2014, por la cual se crea la Ley de transparencia y del derecho de acceso a la
información pública, define la Información como un conjunto organizado de datos contenidos en
cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o con-
trolen, por otra parte, Andrade (2005) define la comunicación como el conjunto total de mensajes
que se intercambian entre los integrantes de una organización, y entre esta y sus diferentes públi-
cos externos.
La información es muy importante para que la entidad cumpla sus responsabilidades de control
interno y pueda demostrar el cumplimiento de sus objetivos y debe ser un proceso asertivo que
permita de proveer, compartir y obtener la información interna y externa pertinente para el buen
funcionamiento de la organización.
En la Figura 9 se observan los principios para la información y comunicación.
37
s o
ne e nt
ie
cio rm im
ra fo pl
pe In m Usa información
O Cu
relevante
Función
Unidad Operativa
Ambiente de Control
Información y Comunica
Comunicación internamente
División
Entidad
Comunica
Información & Comunicación externamente
Figura 9: Principios del componente Información y Comunicación desde la perspectiva del COSO
Fuente: Adaptada de Auditools (2017)
38
5.1 Principio: usa información relevante 5.1.3 Procesa datos relevantes y los transfor-
La organización recibe, usa y produce informa en información
mación relevante y de calidad para apoyar el Los datos captados en las actividades de con-
funcionamiento del control interno. trol deben traducirse en información relevante
para medir el rendimiento interno y compa-
5.1.1 Identifica requisitos de información rarlo con sucesos, eventos y condiciones del
El sistema de información procesa documen- ambiente externo que repercuten en la toma
tos que deben proveer información operacio- de decisiones y en el manejo de la información
nal, financiera y relacionada con el cumplimien- externa de los negocios o responsabilidades
to de los objetivos institucionales, lo que hace de la entidad.
posible funcionar coherentemente a la organi-
zación y optimizar el uso de sus recursos. 5.1.4 Mantiene la calidad a lo largo de todo el
proceso
5.1.2 Capta fuentes de datos internos y externos La calidad de la información generada por di-
Es importante mantener información externa ferentes sistemas puede afectar las decisiones
y cotejarla con la información interna de rendi- tomadas por la gerencia, por lo general la ca-
miento financiero y operacional. lidad de la información externa se evalúa y se
39
gestiona con los mismos usuarios, sondeando 5.2.1 Comunica la información de control
la utilidad, disponibilidad, precisión, accesibili- interno
dad, etc. Debe darse una comunicación amplia en todas
las direcciones de la entidad, de tal forma que
5.1.5 Evalúa costos y beneficios de la buena todo el personal operativo reciba un mensaje
información claro y asertivo de parte de la dirección, sobre
La naturaleza, cantidad, calidad y precisión de todas las responsabilidades de control que de-
la información comunicada es proporcional a ben acogerse de forma seria y rigurosa.
la consecución de los objetivos. Entre mejor
sea la información más probable será el logro 5.2.2 La dirección y el consejo de administra-
de los objetivos. ción se comunican
Todas las partes, dirección, consejo de admi-
nistración y personal operativo deben com-
prender su propio papel en el sistema de con-
trol interno y deben mantenerse las líneas de
comunicación abiertas.
5.2.3 Facilita líneas de comunicación inde-

pendientes (canales de denuncias)
El personal necesita tener medios de comu-
nicación a diferentes niveles en una organiza-
ción y deben tener la oportunidad de comuni-
car información de primera mano, por medio
5.2 Principio: comunica internamen- de canales abiertos de comunicación. Por me-
te la información relevante dio del Decreto 338 del 4 de marzo de 2019
La organización comunica información inter- se crea la Red Anticorrupción, por la cual se
namente, incluyendo objetivos y responsabili- generan canales de comunicación y denuncias
dades sobre el control interno, necesarios para de irregularidades observadas en la entidad.
apoyar funcionamiento del control interno.
40
5.2.4 Define el método de comunicación los productos o servicios ofrecidos.

relevante
Comunicaciones directas con el ejecutivo 5.3.3 La información relevante de evaluacio-
principal, el auditor interno, jefe o, en última nes de terceros se comunica con el consejo de
instancia, el consejero legal de la entidad en administración
caso de que los canales establecidos no sean Las comunicaciones externas reflejan por lo
apropiados para la irregularidad o el evento a general el funcionamiento del sistema de con-
comunicar. trol interno y permiten al consejo administra-
tivo conocer algunas debilidades importantes
5.3 Principio: comunica externa- de control observada por auditores externos.
mente los asuntos relevantes al SCI
La organización mantiene comunicación con 5.3.4 Líneas de denuncias a líderes o repre-
grupos externos, relacionados con situacio- sentantes sociales o comunitarios externos
nes que afectan el funcionamiento del con- stakeholders
trol interno. Se deben abrir y mantener canales directos
con los usuarios y líderes comunitarios para
5.3.1 Se comunica con las partes interesadas constante comunicación sobre las necesida-
externas des de los clientes y usuarios, así como para
Todo el personal debe tener un medio de co- retroalimentarse con las partes que han tenido
municación de información relevante y opor- conciencia de los estándares éticos de la orga-
tunidad de comunicarse con los actores ex- nización.
ternos, como clientes, usuarios, proveedores,
reguladores y accionistas. 5.3.5 Define métodos de comunicación per-
tinentes
5.3.2 Permite la recepción de comunicacio- La Organización debe establecer los medios
nes de partes interesadas directos y los canales de comunicación, como
Es muy importante poder recibir las comuni- encuestas de satisfacción, reportes de servi-
caciones de los clientes y usuarios, ya que per- cios, boletines informativos, carteleras, me-
miten conocer la percepción de estos frente a morandos, reuniones.
41
Tema 6
Componente Actividades de Supervisión
Se deben realizar evaluaciones permanentes e independientes para asegurar el cumplimiento de

los cinco componentes del Sistema de Control Interno, validando la existencia y el funcionamien-
to efectivo de cada uno. Las auditorías internas y externas permiten verificar el cumplimiento de
todas las obligaciones de ley y los resultados deben ser comunicados a todo el equipo de la orga-
nización. En la Figura 10 se observan los principios para los ejercicios de auditorías y supervisión.
42
s o
ne e nt
ie
cio rm im
ra fo pl
pe In m
O Cu
Se llevan a cabo
Función
evaluaciones
continuas y/o
Unidad Operativa
Ambiente de Control
separadas
Actividades de
Supervisión
División
Actividades de Control Evalúa y comunica

Entidad
deficiencias
Información & Comunicación
Figura 10: Principios del componente Actividades de Supervisión desde la perspectiva del COSO
Fuente: adaptada de Auditools (2017)
43
6.1 Principio: conduce evaluacio- estado del arte de la organización a diferentes

nes continuas e independientes niveles.
La entidad planifica y lleva a cabo evaluacio-
nes periódicas para verificar cuando están 6.1.4 Emplea personal capacitado
presentes y funcionando los componentes de Los auditores internos y externos deben en-
control interno. tender y conocer las actividades de la enti-
dad y todos los aspectos relativos al control
6.1.1 Tiene en cuenta una mezcla o combi- interno; igualmente tener la capacidad de re-
nación de evaluaciones continuas comendar sobre la forma como los sistemas
Evaluaciones que se realizan en medio del desde control interno pueden fortalecerse. Con-
empeño de las obligaciones de la entidad para gresos, seminarios de entrenamiento, ejerci-
medir su rendimiento, incluye las actividades cios de planeación son muy importantes para
regulares administrativas y de supervisión. reconocer desde el nivel administrativo, si los
ejercicios de control y auditorías realizadas son
6.1.2 Tienen en cuenta el ritmo del cambio efectivos y eficientes.
Los sistemas de control interno cambian y evo-
lucionan con el tiempo, así mismo la manera 6.1.5 Se integra con los procesos del negocio
como se realizan los controles y auditorías de Se debe mantener vinculado a todo el perso-
monitoreo deben cambiar y evolucionar para nal para conocer puntualmente si comprenden
no perder efectividad de desempeño. y aplican el código de conducta de la entidad;
igualmente se puede requerir a los encargados
6.1.3 Establece referencias para las del sector contable y cuestionar si los sistemas
evaluaciones de monitoreo y control financiero son suficien-
Los datos registrados en los sistemas de infor- tes para evaluar todos los aspectos del funcio-
mación son comparados periódicamente y se namiento de la organización y si se cumplen.
convierten en referente para reportar mejorías
o disminución en el rendimiento de las acti-
vidades de producción, por ejemplo; es decir,
permiten puntos de referencia para conocer el
44
6.2 Principio: evalúa y comunica tos relacionados con el desempeño correctivo

las deficiencias a los responsables (donde iniciar y cómo hacerlo).
de establecer acciones correctivas
La organización evalúa y comunica deficien- 6.2.4 La dirección realiza seguimiento para
cias de control interno de manera oportuna a determinar si las deficiencias se solucionan de
aquellos responsables de tomar acción correc- manera oportuna y puntual
tiva, incluyendo la Alta Dirección y el Consejo Ante las acciones correctivas que implican la
de Administración, según sea apropiado. inversión de recursos logísticos y financieros y
que buscan solucionar aspectos relacionados
6.2.1 Evaluación objetiva con el rendimiento institucional, se establecen
Las evaluaciones independientes realizadas metodologías de seguimiento para determinar
periódicamente proporcionan retroalimenta- si se solucionan los hallazgos reportados.
ción objetiva sobre los cambios del contexto y
la capacidad de la organización para responder
a dichos cambios.
6.2.2 La dirección o el consejo de admi-

nistración evalúan los resultados de las
evaluaciones
Los ejecutivos deben monitorear el progreso Sabías que el Departamento Administrativo
y la aparición de hallazgos en las evaluaciones de la Función Pública, mediante el Decre-
de los sistemas de control interno. to 338 del 4 de marzo de 2009 modifica
el Decreto 1083 de 2015, Único Regla-
6.2.3 Las deficiencias se comunican a los mento del Sector de Función Pública, en
responsables de adoptar medidas correc- lo relacionado con el Sistema de Control
tivas, incluida la Dirección y el Consejo de Interno y se crea la Red Anticorrupción.
Administración Puedes conocer este decreto en: https://
Desde la Dirección se deben evaluar las dife- bit.ly/2N1dfkL
rentes opciones de acción frente a los aspec-
45
6.3. Responsabilidades en el Modelo Estándar de Control Interno (MECI)

La dimensión siete del MIPG, Control Interno, abarca todas las etapas que se deben desarrollar
para establecer e implementar los elementos, instrumentos y prácticas necesarias para el adecua-
do funcionamiento del Sistema de Control Interno en cada entidad pública; etapas que se presen-
tan enmarcadas en los cinco componentes que propone el MECI, actualizado mediante el Decreto
1499 de 2017.
Además, la dimensión de Control Interno presenta un esquema de asignación de responsabilida-

des, adaptada del modelo Líneas de Defensa, propuesto por el Instituto Internacional de Auditores
IIA, en la publicación Declaración de posición (2013) y que se presenta en la siguiente figura:
1. línea de Defensa
(Gerentes públicos)
1 2
3 4
5
1 2 3 4 5 2. Línea de Defensa
(Jefes de planeación)
Línea
Estratégica
Mé
rito e integridad
Va
lo tu ral
re s ,
Transpa io Cul
rencia y Camb 5
3. Línea de Defensa
MECI (Oficinas de control interno)
4
1. Ambiente de Control 3
2. Evaluación del Riesgo 1
2
3. Actividades de Control Políticas asociadas:

4. Información y Comunicación
5. Actividades de Monitoreo - Control interno
- Control interno contable
- Línea estratégica
Figura 11. Modelo Líneas de Defensa como parte de la Dimensión Control Interno del MIPG.
Fuente: adaptada del Departamento Administrativo de la Función Pública (2018).
46
El modelo Líneas de Defensa presenta en su gía, así como a los planes de tratamiento de
esquema la siguiente estructura: riesgos identificados en todos los niveles de la
entidad, de tal forma que se asegure su imple-
Línea Estratégica: representa el rol que des- mentación.
empeñan los Comités de Auditoría de las Em-
presas Industriales y Comerciales del Estado Tercera Línea de defensa: representa el rol que
y/o a los Comités Institucionales de Coordina- desempeñan las Oficinas de Control Interno al
ción de Control Interno, como al establecer la realizar la evaluación independiente sobre la
Política de Gestión de Riesgos y asegurarse de gestión del riesgo en la entidad, catalogándola
su permeabilización en todos los niveles de la como una unidad auditable más dentro de su
organización pública, de tal forma que se co- universo de auditoría; por lo tanto debe dar a
nozcan claramente los niveles de responsabi- conocer a toda la entidad el Plan Anual de Au-
lidad y autoridad que posee cada una de las ditorias basado en riesgos, y los resultados de
tres líneas de defensa frente a la gestión del la evaluación de la gestión del riesgo.
riesgo.
Primera Línea de defensa: representa el rol

que desempeñan los jefes de dependencias
o responsables de procesos al asegurarse de
implementar esta metodología para mitigar
los riesgos en la operación, al realizar las ac-
tividades conforme a los procedimientos y al
reportar a la segunda línea sus avances y difi-
cultades.
Segunda Línea de defensa: representa el rol

que desempeña el área encargada de la coor-
dinar la gestión del riesgo, al difundir, asesorar
y hacer seguimiento a la presente metodolo-
47
Glosario
Alta Dirección: integrada por las máximas autoridades administrativas de una entidad y quién
posee el máximo nivel de responsabilidad. Para las entidades de la Rama Ejecutiva, la alta dirección
se define en los términos de los Decretos 770 y 785 de 2005.
Autocontrol: capacidad que deben desarrollar todos y cada uno de los servidores públicos de
la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo,
detectar desviaciones y efectuar correctivos de manera oportuna para el adecuado cumplimiento
de los resultados que se esperan en el ejercicio de su función, de tal manera que la ejecución de
los procesos, actividades y/o tareas bajo su responsabilidad, se desarrollen con fundamento en los
principios establecidos en la Constitución Política.
Autogestión: capacidad de toda organización pública para interpretar, coordinar, aplicar y evaluar
de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Cons-
titución, la ley y sus reglamentos.
Autorregulación: capacidad de cada una de las organizaciones para desarrollar y aplicar en su

interior métodos, normas y procedimientos que permitan el desarrollo, implementación y fortale-
cimiento incremental del Sistema de Control Interno, en concordancia con la normatividad vigente.
Calidad: entendida como el impulso hacia la mejora permanente de la gestión, para satisfacer
cabalmente las necesidades y expectativas de la ciudadanía con justicia, equidad, objetividad y
eficiencia en el uso de los recursos públicos (Concepto de calidad en la gestión pública tomado de
la Carta Iberoamericana de la Calidad).
48
Capacidad de gestión: competencias necesarias de una organización para establecer y alcanzar

sus propios objetivos de desarrollo a lo largo del tiempo. (Adaptado del documento “Desarrollo de
Capacidades. Nota de Práctica” del Programa de las Naciones Unidas para el Desarrollo, 2008).
Corrupción: según el documento CONPES 167 de 2013, se entiende como el uso del poder para
desviar la gestión de lo público hacia el beneficio privado.
Desempeño: medida en la que la gestión de una entidad logra sus resultados finales en el cumpli-
miento de su misión y en términos de eficiencia, eficacia, calidad y cumplimiento normativo (adap-
tado de CEPAL, Indicadores de Desempeño en el Sector Público, 2005).
Dimensión: según la RAE (2019), es el aspecto o faceta de algo. Visión multidimensional: descrip-
ción de componente operativo del Modelo a partir del análisis de los múltiples aspectos (o dimen-
siones) que sustentan la gestión y el desempeño de una organización pública.
Direccionamiento Estratégico: ejercicio emprendido por el equipo directivo de una entidad, en

el que, a partir del propósito fundamental de la misma, las necesidades de sus grupos de valor, las
prioridades de los planes de desarrollo (nacionales y territoriales) y su marco normativo, define los
grandes desafíos y metas institucionales a lograr en el corto, mediano y largo plazo, así como las
rutas de trabajo a emprender para hacer viable la consecución de dichos desafíos.
Evaluación: según la OCDE (2002), es la apreciación sistemática y objetiva de un proyecto, pro-

grama o política en curso o concluido, en relación con su diseño, su puesta en práctica y sus resul-
tados. El objetivo es determinar la pertinencia y el logro de los objetivos, así como la eficiencia, la
eficacia, el impacto y la sostenibilidad para el desarrollo
Gestión: según la RAE (2019), corresponde a la acción y efecto de administrar, organizar y poner
en funcionamiento una empresa, actividad económica u organismo.
49
Grupos de Interés: según el DNP (2014), corresponde a los individuos u organismos específicos
que tienen un interés especial en la gestión y los resultados de las organizaciones públicas. Com-
prende, entre otros, instancias o espacios de participación ciudadana formales o informales.).
Grupos de valor: personas naturales (ciudadanos) o jurídicas (organizaciones públicas o privadas)

a quienes van dirigidos los bienes y servicios de una entidad.
Impacto: según la OCDE (2002), corresponde al efecto de largo plazo, positivo y negativo, pri-
mario y secundario, producido directa o indirectamente, por una intervención para el desarrollo,
intencionalmente o no.
Indicador: según la OCDE (2002), corresponde a la variable o factor cuantitativo o cualitativo que
proporciona un medio sencillo y fiable para medir logros, reflejar los cambios vinculados con la
gestión o evaluar los resultados de una entidad.
Integridad: cumplimiento de las promesas que hace el Estado a los ciudadanos frente a la garantía
de su seguridad, la prestación eficiente de servicios públicos, la calidad en la planeación e imple-
mentación de políticas públicas que mejoren la calidad de vida de cada uno de ellos.
MIPG: Modelo Integrado de Planeación y Gestión.
Modelo: es una representación simplificada de un sistema y permite mostrar sus componentes,

sus relaciones del sistema con su entorno. Un modelo se caracteriza porque no expresa todas las
propiedades del sistema. Dentro de las clases de modelo, se encuentra el modelo teórico o con-
ceptual, en el cual fijan el objeto de estudio, categorizan el sistema y generan y desarrollan hipóte-
sis. Se construyen con base en conceptos, entendidos estos como conjuntos de ideas ordenadas,
sistematizadas y que mantienen una relación con un entorno dado.
Niveles de madurez: grupos de características comunes que definen el estado o el grado de

avance o desarrollo de algún proceso, modelo o sistema.
50
Objetivo: son los logros que la organización pública espera concretar en un plazo determinado
(mayor de un año), para el cumplimiento de su propósito fundamental de forma eficiente y eficaz
(CEPAL, 2011).
Objetivos estratégicos: es la expresión de los logros que se espera que las entidades públicas
alcancen en el largo y mediano plazo, en el marco del cumplimiento de su propósito fundamental y
de las prioridades del gobierno. (CEPAL, 2011).
Operación: según Moore (1998), hace referencia a las capacidades legales, financieras, materiales
y humanas de las organizaciones públicas, para la obtención de resultados buscados con la aplica-
ción de una política generadora de valor público.
Organización: conjunto de personas y/o grupos que, de acuerdo con procedimientos y reglas
comunes, se esfuerza por conseguir uno o más objetivos preestablecidos (Technical Assistance for
Civil Society Organisations: ID/OS: Concepts & Framework).
Plan Anticorrupción: es un instrumento de tipo preventivo para el control de la corrupción, que

debe ser diseñado por las entidades públicas pertenecientes a todos los niveles de gobierno. Estos
documentos se estructuran sobre cinco componentes: Gestión de Riesgos de Corrupción, Racio-
nalización de Trámites, Rendición de Cuentas, Mecanismos para mejorar la Atención al Ciudadano
y Transparencia y Acceso a la Información Pública. (Secretaría de Transparencia de la Presidencia
de la República).
Plan estratégico: es el documento en el que se formulan y establecen los objetivos de carácter

prioritario, cuya característica principal es el establecimiento de los cursos de acción (estrategias)
de mediano y largo plazo, para atender el propósito fundamental de una entidad y las prioridades
de los planes de desarrollo.
51
Plan: documento que recoge de manera detallada lo que una entidad desea hacer para cumplir
un propósito incorporando aspectos como rutas de trabajo (estratégicas u operativas), objetivos,
cronogramas, responsables, indicadores, recursos, riesgos y controles.
Principio: Según el diccionario Word reference (2019), corresponde a la máxima idea, regla o nor-
ma de carácter general que orienta y rige la acción de una entidad pública que aplica el Modelo.
Procedimiento: forma especificada o detallada para llevar a cabo una actividad o un proceso.
Proceso: secuencia ordenada de actividades, interrelacionadas, para agregar valor, tomando como
enfoque y prioridad fundamental, al ciudadano como el eje fundamental de la gestión (Carta Ibe-
roamericana de la Calidad).
Recursos físicos: hacen referencia, a los bienes muebles (mobiliario de las oficinas, equipos infor-
máticos, vehículos) e inmuebles (edificios, espacios de trabajo) de los que dispone la entidad para
atender sus funciones y competencias, producir los bienes y prestar los servicios a su cargo.
Recursos presupuestales: son las asignaciones consignadas en el presupuesto anual de cada en-
tidad, acorde con las normas que rigen la materia para cada una, y que le permiten definir monto de
gastos a incurrir para cumplir con sus funciones y competencias, para producir los bienes y prestar
los servicios a su cargo.
Resultado: según la OCDE (2002), se refiere al producto, efecto o impacto (intencional o no, po-
sitivo y/o negativo) de la gestión de una entidad.
52
Sistema de Control Interno: según la Ley 87 de 1993, se trata del esquema de organización y
conjunto de planes, métodos, principios, normas, procedimientos y mecanismos de verificación y
evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, opera-
ciones y actuaciones, así como la administración de la información y los recursos, se realicen de
acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la
dirección y en atención a las metas u objetivos previstos.
Talento humano: son las personas, sus conocimientos, experiencias, habilidades y pasiones que
permiten movilizar a la organización hacia el logro de sus cometidos.
53
Lista de referencias
Andrade, H. (2005). Comunicación organizacional interna. Proceso, disciplina y práctica. España:

Editorial Gesbiblo.
Armijo, M. (2011). Planificación Estratégica e Indicadores de desempeño en el sector público - Se-

rie Manuales. CEPAL n.º 69. Instituto Latinoamericano y del Caribe de Planificación Económica
y Social (ILPES). Recuperado de: https://bit.ly/2JyR3Mm
Centro Latinoamericano de Administración para el Desarrollo (CLAD). (2008). Carta Iberoamerica-

na de la Calidad. Editorial/fuente: Aprobada por la X Conferencia Iberoamericana de Ministros
de Administración Pública y Reforma del Estado. San Salvador, El Salvador, 26 y 27 de junio de
2008. Recuperado de: https://bit.ly/2vJkxiK
Committee of sponsoring organizations of the treadway commission (COSO). (2017). Marco Inte-
grado para la Administración de Riesgos Empresariales- ERM. Recuperado de: ERM.
https://bit.ly/2eLcybj
Congreso de Colombia. (2014). Por medio de la cual se crea la Ley de Transparencia y del Derecho
de Acceso a la Información Pública Nacional y se dictan otras disposiciones [Ley 1712]. Recu-
perado de: https://bit.ly/2J31aWF
Departamento Administrativo de la Función Pública (20 de mayo de 2005). Derogado por el art. 5,
Decreto Nacional 943 de 2014. Por el cual se adopta el Modelo Estándar de Control Interno
para el Estado Colombiano [Decreto 1599 de 2005]. Recuperado de: https://bit.ly/2PDZaXW
54
Departamento Administrativo de la Función Pública (2018). Marco General. Sistema de Gestión.

Modelo Integrado de Planeación y Gestión – MIPG. Recuperado en: https://bit.ly/2oLPwXK
Departamento Administrativo de la Función Pública (21 de mayo de 2014). Por el cual se actualiza
el Modelo Estándar de Control Interno. [Decreto 943 de 2014]. Recuperado de:
https://bit.ly/309Mkqi
Departamento Administrativo de la Función Pública, (2014). Manual Técnico del Modelo Estándar
de Control Interno para el estado colombiano MECI. Bogotá Colombia: Función Pública. Recu-
perado de: https://bit.ly/2VqKW48
Departamento Administrativo de la Función Pública. (11 de septiembre 2017). Por el cual se modi-
fica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo
relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015.
[Decreto 1499 de 2017]. Recuperado de: https://bit.ly/2MpdUcO
Departamento Administrativo de la Función Pública. (17 de marzo de 2005). Por el cual se establece
el sistema de funciones y de requisitos generales para los empleos públicos correspondientes a
los niveles jerárquicos pertenecientes a los organismos y entidades del Orden Nacional, a que
se refiere la Ley 909 de 2004. [Decreto 770 de 2005]. Recuperado de: https://bit.ly/2W6sT2w
Departamento Administrativo de la Función Pública. (17 de marzo de 2005). “por el cual se esta-
blece el sistema de nomenclatura y clasificación y de funciones y requisitos generales de los
empleos de las entidades territoriales que se regulan por las disposiciones de la Ley 909 de
2004.” [Decreto 770 de 2005]. Recuperado de: https://bit.ly/2PWEbRt
55
Departamento Administrativo de la Función Pública. (2018). Descripción de las líneas de defensa

del Sistema de Control Interno [Diagrama]. Guía para la administración del riesgo y el diseño de
controles en entidades públicas. Recuperado de: https://bit.ly/2V5XZD3
Departamento Administrativo de la Función Pública. (4 de marzo de 2019). Por el cual se modifica

el Decreto 1083 de 2015, Único Reglamento del Sector de Función Pública, en lo relacionado
con el Sistema de Control Interno y se crea la Red Anticorrupción. [Decreto 338 de 2019].
Recuperado de: https://bit.ly/308Uy1U
Departamento de Planeación Nacional. (2013). CONPES 167 de 2013. Consejo Nacional de Polí-
tica Económica y Social República de Colombia. Secretaría de Transparencia. Recuperado de:
https://bit.ly/2wc522a
Departamento Nacional de Planeación, (2014). Guía metodológica para la caracterización de ciuda-

danos, usuarios y grupos de interés. Recuperado de: https://bit.ly/1fpNntX
ICONTEC. (2011) Gestión de riesgo. Principios y directrices. NTC-ISO 31000, versión 2011.
López, M. (2003) Principios de organización y gestión empresarial. Universidad Autónoma de Co-

lombia. Pretextos grupo editorial. En: Ocampo, A.; Restrepo, J.; López, C. & Osorio, J. (2011).
Costos ABC. Una concepción sistémica formal. Contaduría Universidad de Antioquia, 58-59,
73-96. Recuperado de: https://urlzs.com/fraxm
Mantilla B., S. A. (2018). Auditoría de Control Interno. Cuarta Edición. EcoEdiciones. p. 9.
Mantilla B., S. A., y Cante S., S. Y. (2005). Auditoria del control interno. Bogotá: Ecoe Ediciones.
56
Merizalde, J.A. (2017). Modelo conceptual sobre las relaciones entre el sistema de gestión de la
calidad ISO 9001:2015 y el sistema de control interno MECI: 2014. Trabajo de grado para
optar al título de Magister en Calidad y Gestión Integral. Convenio universidad Santo Tomas –
ICONTEC Maestría en Calidad y Gestión Integral. BOGOTÁ. 2017.
MIPG – Función Pública (2018). Glosario. Sistema de Gestión. Versión 3. Modelo Integrado de
Planeación y Gestión – MIPG. Agosto 2018. Recuperado de: https://bit.ly/2Q j5Y1Z
MIPG – Función Pública (2018). Marco General. Sistema de Gestión. Modelo Integrado de Planea-
ción y Gestión – MIPG.
Moore, M.H., (1998). Gestión estratégica y creación de valor en el sector público”, Editorial Paidós,
Barcelona, 1998. Recuperado de: https://bit.ly/2LFhgMi
Organización para la Cooperación Económica y el Desarrollo – OCDE (2005). Glosario de términos

sobre evaluación y gestión de la Organización para la Cooperación y Desarrollo. Recuperado
de: https://bit.ly/2U9iHq4
Ricardo, M. (2005). Enfoques de la auditoría de estados contables. Argentina: Universidad Na-

cional de Litoral. AUDITOOL. Red Global de Conocimientos en Auditorías y Control Interno.
Recuperado de: https://bit.ly/2J7cKEd
The Institute of Internal Auditors, (2013). IIA Declaración de Posición. Las Tres líneas de Defensa
para una Efectiva Gestión de Riesgos y Control. Enero 2013. Recuperado de:
https://bit.ly/2wGwoNO
57
Unidad Sistema de Control Interno MECI
didáctica y su transición al modelo COSO
Subdirección de Proyección Institucional ESAP

Guia 2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Guia 2

Cargado por

Copyright:

Formatos disponibles

Unidad Sistema de Control Interno MECI

didáctica y su transición al modelo COSO

Subdirección de Proyección Institucional ESAP

Escuela Superior de Administración Pública Sistema de Control Interno MECI

Pedro Eugenio Medellín Torres Autor

Fernando Guzmán Rodríguez Corrección de estilo, acompañamiento

Ruby Maritza Gerena Useche Fecha última versión

1. Generalidades y conceptos precedentes.. . . . . . . . . . . . . . . . . . . . 7

2. Componente Ambiente de Control.. . . . . . . . . . . . . . . . . . . . . . . 17

3. Componente Evaluación de Riesgo.. . . . . . . . . . . . . . . . . . . . . . . 23

4. Componente Actividades de Control.. . . . . . . . . . . . . . . . . . . . . . 31

5. Componente Información y Comunicación.. . . . . . . . . . . . . . . . . . 37

6. Componente Actividades de Supervisión.. . . . . . . . . . . . . . . . . . . 42

Esta Unidad desarrollan las generalidades, funcionalidades y componentes

Inicialmente en Colombia, mediante Decreto

-Evaluación del sistema de

Figura 1. Estructura del Sistema de Control Interno MECI 2005

Figura 2: Estructura del Sistema de Control Interno MECI 2014

Finalmente, en el marco de la actualización del Modelo Integrado de Planeación y Gestión (MIPG),

Las entidades y servidores

Figura 3: Operación del MIPG basada en siete Dimensiones.

Se han definido diferentes modelos de control

Conjunto de directrices y condiciones mínimas que brinda la alta dirección

Evaluación del Riesgo

Proceso dinámico e interactivo que le permite a la entidad identiﬁcar,

Acciones determinadas por la entidad, generalmente expresadas a través

Figura 4: Componentes del MECI versión 2017

Figura 5: Representación gráfica del modelo COSO

• El Ambiente de Control corresponde a sonas idóneas y calificadas para los oficios

• La Información y Comunicación asertiva

• La integridad (valores) y principios del servicio público

2.1 Principio: la organización demues- entorno de convivencia laboral.

2.2.5 Proporcionar supervisión para el 2.3.2 Establece líneas de comunicación

2.4.2 Evaluar las competencias disponi-

2.5.2 Establecer parámetros de desempeño,

2.5.3 Evaluar parámetros de desempe-

Merizalde (2017, pp. 78-79) se refiere a la Ges-

En la norma ISO 31000 (ICONTEC, 2011) se

Ambiente de Control analiza riesgos

Información & Comunicación

3.1 Principio: especificar objetivos cluye objetivos de desempeño y rentabilidad

cieros que presentan riesgos de inexactitud La información en los reportes no financieros

3.1.9 Los objetivos de Reporte No finan-

3.1.13 Los objetivos de información finan- para disminuir algún riesgo.

3.4.3 Evalúa los cambios en la alta dirección

Ambiente de Control Selecciona y

4.1 Principios: Selecciona y desarro- propósito será prevenirlo, detectarlo o corregirlo.

4.3.1 Establecer políticas y procedimientos y se acuerda entre todos los involucrados en

4.3.3 Se efectúa en el momento oportuno

4.3.4 Adopta medidas correctivas

En la Figura 9 se observan los principios para la información y comunicación.

5.2.3 Facilita líneas de comunicación inde-

5.2.4 Define el método de comunicación los productos o servicios ofrecidos.

Se deben realizar evaluaciones permanentes e independientes para asegurar el cumplimiento de

Actividades de Control Evalúa y comunica

Información & Comunicación

6.1 Principio: conduce evaluacio- estado del arte de la organización a diferentes

6.2 Principio: evalúa y comunica tos relacionados con el desempeño correctivo

6.2.2 La dirección o el consejo de admi-

6.3. Responsabilidades en el Modelo Estándar de Control Interno (MECI)

Además, la dimensión de Control Interno presenta un esquema de asignación de responsabilida-

3. Actividades de Control Políticas asociadas:

Primera Línea de defensa: representa el rol