Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESAP - CMA ha verificado, hasta donde es posible, que el contenido de los enlaces web citados
y presentados en este curso sean verídicos y que correspondan; sin embargo, y debido a la
naturaleza dinámica de internet, ESAP - CMA no puede responsabilizarse por el correcto y
adecuado funcionamiento de los mismos.
Las imágenes de este documento han sido compradas a través de: https://www.123rf.com/
Sistema de Control Interno MECI
y su transición al modelo COSO
Objetivo de aprendizaje.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
3
Sistema de Control Interno MECI
y su transición al modelo COSO
Glosario.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 48
Referencias bibliográficas.. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54
4
Sistema de Control Interno MECI
y su transición al modelo COSO
Objetivo
de Aprendizaje
Comprender la estructura y funcionalidad del modelo MECI como referen-
te para establecer e implementar un Sistema de Control Interno; reconocer
el desarrollo alcanzado y aportes que, en ese mismo sentido, puede brindar
el modelo COSO.
5
Sistema de Control Interno MECI
y su transición al modelo COSO
Resumen
En el marco del diseño de la segunda versión de Modelo Integrado de Pla-
neación y Gestión (MIPG) se consideró necesario actualizar el MECI me-
diante un cambio estructural adoptado del modelo internacional COSO;
además de presentarlo como la séptima dimensión del MIPG.
Esta tercera versión del modelo MECI presenta los mismos cinco compo-
nentes del modelo COSO, que surgió en los Estados Unidos en 1992 como
una estructura conceptual unificada, que ha tenido algunas actualizaciones
y ha resultado muy eficaz a nivel internacional como referente para estable-
cer sistemas de control interno. Esto, debido a que busca el uso eficiente de
los recursos humanos, logísticos y financieros de una organización y consi-
dera las necesidades y dinámicas del entorno actual, así como la integración
de conceptos gerenciales, administrativos y operativos.
6
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 1
Generalidades y conceptos precedentes
La publicación de Merizalde referencia que el sistema de control interno surge como:
…un conjunto de principios, instrumentos y buenas prácticas de control de los procesos contables, que
posteriormente evolucionó y aumentó su alcance hacia el control de todos los procesos de una orga-
nización, en función de la generación de información confiable, del cumplimiento de requisitos legales,
y de los objetivos y lineamientos de la alta dirección (2017)
Gracias al Control Interno se cuenta con una serie de estrategias y herramientas que permiten a
una empresa privada o entidad pública, desde un análisis minucioso de los riesgos en todos los
sectores, planificar de forma preventiva las acciones necesarias para cumplir de forma eficaz, efi-
ciente y efectiva la misión y alcanzar los objetivos institucionales, diseñar e implementar métodos
de monitoreo y evaluación para el mejoramiento. Siempre contando con la oportunidad de hacerle
frente a las contingencias que puedan interferir con los propósitos de la organización.
7
Sistema de Control Interno MECI
y su transición al modelo COSO
Desde (Mantilla y Cante, 2005) los autores dar de Control Interno (MECI) como un texto
sugieren la importancia del modelo de Esta- técnico que expone tres principios: autorregu-
dos Unidos planteado por el Committee of lación, autogestión y autocontrol; coordinados
Sponsoring Organizations of the Treadway por la dirección; que divide el Sistema de Con-
Commission (COSO, por sus siglas en inglés), trol Interno en tres Subsistemas, cada uno con
ya que este puede ser usado como base para tres componentes que, a su vez, contienen
revisar la efectividad de los sistemas de con- veintinueve elementos de control estandariza-
trol y determinar cómo mejorarlos. Además, dos. Que en ese momento pudieron conside-
presenta líneas de funcionamiento para evitar rarse suficientes para facilitarle a las entidades
que se vulnere la estructura de organización y públicas el establecimiento de sus Sistemas de
de sus sistemas (Ricardo, 2005). Control Interno (Figura 1).
8
Sistema de Control Interno MECI
y su transición al modelo COSO
-Acuerdos, compromisos o
1.1. Ambiente protocolos éticos
de control -Desarrollo de talento humano
-Estilo de dirección
-Planes y programas
1. Subsistema 1.2. Direccionamiento -Modelo de operación
de Control estratégico por procesos
Estratégico -Estructura organizacional
-Contexto Estratégico
-Identificación de Riesgos
1.3. Administración -Análisis de Riesgos
de Riesgos -Valoración de Riesgos
-Política de Administración
de Riesgos
-Políticas de operación
2.1. Actividades -Procedimientos
de Control -Controles
-Indicadores
-Manual de procedimientos
2. Subsistema
-Información primaria
de Control
2.2. Información -Información secundaria
de Gestión
-Sistemas de Información
-Comunicación organizacional
2.3. Comunicación
-Comunicación informativa
pública
-Medios de comunicación
-Autoevaluación del Control
3.1. Autoevaluación
-Autoevaluación de Gestión
9
Sistema de Control Interno MECI
y su transición al modelo COSO
Posteriormente, el Decreto 943 de 2014 actualizó el Modelo Estándar de Control Interno (MECI),
con el fin de hacer más fácil su acogida e implementación articulándose con los objetivos y linea-
mientos de cada organización (Figura 2).
ón y comunica
rmaci ción
Info
luación y seg
d e eva uim
ul o ien
ó d to
M
Talento
n humano
Auto tió M
ód
ges u
evaluación y Auditoría
lo
n
institucional interna
ió
de
ac
pla
ne
ne
pla
ació
E
de
n y ge
Módulo
M
Módul o d e
stión
guimien o
t
I
C
Administración
Direccionamiento
y se
del riesgo
eva
estratégico
M
lua
ód n
ión
ulo ge s ti ó
d e pla
n e ació n y
ció
ac
lu
n
va
y
eg e
s
ui de
m
ien Planes de u lo
to Mejoramiento M ód
10
Sistema de Control Interno MECI
y su transición al modelo COSO
Con su estructura y planteamiento actual, el MECI se articula con el Modelo Integrado de Planea-
ción y Gestión en perfecta armonía con las otras seis dimensiones y haciendo más pertinente el
Sistema de Control Interno de las entidades públicas colombianas.
Mé
rito e integridad
Va
lo r es, u ral
Transp C ult
arencia y Cambio
11
Sistema de Control Interno MECI
y su transición al modelo COSO
La estructura actual del MECI se adopta de la tímulo para la eficiencia operativa y la eficacia
propuesta original del modelo COSO, que se administrativa, teniendo absoluto conocimien-
presenta como un esquema de planificación to de los movimientos financieros, ingresos y
preventiva, acompañado de mecanismos de egresos de una entidad.
verificación y reacción, que pueden articular-
se con roles especializados en cada entidad El último MECI, que corresponde al propuesto
y complementarse con el Sistema de Gestión en el presente documento expone cinco capí-
global de la organización. tulos articulados, se integran de forma multi-
direccional e interactiva. Como se muestra en
En Mantilla (2018), el autor sugiere el mode- la Figura 4, donde se detalla la transversalidad
lo COSO para la implementación del control de las responsabilidades operacionales, de la
interno en Colombia, entendido como un pro- presentación de formatos e informes y el cum-
ceso que debe ser ejecutado por la dirección plimiento de todos los compromisos ligados al
general, los directores y la parte administrati- control interno y en todas las dependencias
va, además del vínculo del personal de una en- del ámbito de una organización como son la
tidad u organización, y “está diseñado para lo- dirección de la entidad, las divisiones o depar-
grar la eficacia y eficiencia de las operaciones, tamentos, la unidad de producción y las fun-
tener confiabilidad en los reportes financieros, ciones, y los productos o servicios ofrecidos
tener conformidad con las regulaciones y leyes por una entidad.
aplicables y contar con un salvaguarda de los
activos de la entidad” (2018, p. 5).
12
Sistema de Control Interno MECI
y su transición al modelo COSO
Ambiente de Control
Actividades de Control
Información y comunicación
La información sirve como base para conocer el estado de los controles, así
como para conocer el avance de la gestión de la entidad. La comunicación
permite que los servidores públicos comprendan sus roles y responsabili-
dades, y sirve como medio para la rendición de cuentas.
Actividades de monitoreo
La información sirve como base para conocer el estado de los controles, así
como para conocer el avance de la gestión de la entidad. La comunicación
permite que los servidores públicos comprendan sus roles y responsabili-
dades, y sirve como medio para la rendición de cuentas.
13
Sistema de Control Interno MECI
y su transición al modelo COSO
En la Figura 5 observamos la imagen de cubo orientadora de los pasos en el modelo COSO, los
ámbitos de participación y responsabilidad, como los formatos, obligaciones y procedimiento para
implementar y verificar el Control Interno en una organización.
14
Sistema de Control Interno MECI
y su transición al modelo COSO
cio para que el desempeño sea más eficaz, como posibles deficiencias o fallas dentro
eficiente y efectivo en la prestación de sus del funcionamiento y rendimiento de la
servicios. entidad.
• La Evaluación de Riesgos, donde todas las Debido al éxito como referente que ha tenido
partes involucradas en el cumplimiento el modelo COSO, a continuación, se presen-
de los objetivos organizacionales tienen tarán los contenidos desarrollados por dicho
el compromiso de identificar y gestionar modelo para cada uno de los cinco compo-
cualquier tipo de riesgo, para mitigar o dis- nentes, en términos de 17 principios inmersos
minuir el mismo. en los cinco componentes antes mencionados
y revisando los 87 puntos de enfoque que se
• Las Actividades de Control corresponden detallan a un nivel más operativo para la in-
a una serie de responsabilidades asignadas tervención, la pertinencia de las responsabili-
de forma pertinente y oportuna, para ha- dades de cada una de las partes involucradas
cerle frente a todos los aspectos o riesgos y la transversalidad de las acciones de Control
identificados que necesite ser corregidos Interno.
en diferentes momentos del desempeño.
15
Sistema de Control Interno MECI
y su transición al modelo COSO
1.1 Principios y puntos de enfoque de cada componente del modelo COSO para
tener en cuenta en la implementación del MECI
A continuación, sobre una estructura basada en relaciones jerárquicas, se presentan las líneas de
intervención para implementar un Sistema de Control Interno. A partir de cada componente del
modelo MECI se hace una aproximación a los principios y sus correspondientes puntos de enfoque
planteados por el modelo COSO.
16
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 2
Componente Ambiente de Control
El Ambiente de Control es el conjunto de directrices y condiciones mínimas que brinda la alta di-
rección de las organizaciones con el fin de implementar y fortalecer su Sistema de Control Interno.
Corresponde a los estándares, procedimientos y estrategias que proveen la base para ejecutar el
proceso de control interno a través de la organización.
Función Pública (2018), en los lineamientos de la política de control interno del MIPG aclara que la
implementación del componente se logra con el compromiso, liderazgo y los lineamientos de la alta
dirección y del Comité Institucional de Coordinación de Control Interno en las siguientes materias:
17
Sistema de Control Interno MECI
y su transición al modelo COSO
Componente Principios
Demuestra compromi-
so con la integridad y
los valores éticos.
s o
ne e nt
cio rm im
ie Ejerce
ra fo pl
O
pe In
um
responsabilidad de
C supervisión
Función
Unidad Operativa
Ambiente de Control
Establece estructura,
Ambiente autoridad y
Evaluación del Riesgo
de Control responsabilidad.
División
Actividades de Control
Entidad
Demuestra compromi-
Información & Comunicación so con la competencia.
Actividades de Supervisión
La organización define
las responsabilidades
dentro del Sistema de
Control Interno.
Figura 6: Principios del componente Ambiente de Control desde la perspectiva del COSO
Fuente: adaptada de Auditool (2017)
18
Sistema de Control Interno MECI
y su transición al modelo COSO
19
Sistema de Control Interno MECI
y su transición al modelo COSO
2.2.2 Aplicar los conocimientos espe- cieros independientes, de esta forma la orga-
cializados relevantes nización podrá afrontar los riesgos, plantear
Para el óptimo funcionamiento de una organi- la compensación ejecutiva y realizar las citas
zación, se debe asegurar que las competencias de gestión correspondientes. Es fundamental
y perfiles de las personas de cada dependen- para esto realizar el nombramiento y selección
cia de la organización, correspondan al obje- de directores no ejecutivos, que faciliten el
to, funciones y a las necesidades particulares, despliegue de todas las necesidades de gober-
Igualmente es necesario mantener actividades nabilidad organizacional y políticas corporativas.
y espacios de fortalecimiento de capacidades
y calificación a todo el personal, cada vez que 2.3 Principio: establece estructura,
se requiera mejorar en los procedimientos. autoridad y responsabilidad
La Administración establece, con aprobación
2.2.3 Conserva o delega responsabilida- del Consejo Directivo, estructuras, líneas de
des de supervisión reporte y las autoridades y responsabilidades
Es muy importante saber delegar responsabili- apropiadas en la búsqueda de objetivos insti-
dades en el ámbito organizacional, de acuerdo tucionales.
con los perfiles de los integrantes y a las ne-
cesidades de control interno de cada área o 2.3.1 Tienen en cuenta toda la estructu-
dependencia. ra de la organización
En cada dependencia o división de la entidad
2.2.4 Operar con independencia debe existir una persona responsable, no obs-
Es muy importante evitar conflictos de inte- tante, todos los integrantes deben conocer
reses entre los actores del seguimiento y los ampliamente las políticas de producción y ser-
responsables de objetivos y metas. vicio para funcionar óptimamente.
20
Sistema de Control Interno MECI
y su transición al modelo COSO
dos los niveles de la entidad, para conocer to- bles y abordar la falta de estas
das las perspectivas y expectativas. Es importante delegar las responsabilidades
de acuerdo a las competencias disponibles y
2.3.3 Define, asigna y limita facultades fomentar espacios para el fortalecimiento y
y responsabilidades calificación de algunos integrantes del equipo
De acuerdo con los perfiles y competencias de pertinentes con las necesidades que surgen
los integrantes de cada dependencia o división en el mercado.
se deben definir, asignar y limitar las facultades
de todos y las responsabilidades institucionales. 2.4.3 Atraer, desarrollar y retener pro-
fesionales competentes
2.4 Principio: demostrar compromiso Los estándares de producción van cambiando
con la competencia de acuerdo con la demanda del mercado, para
La entidad debe demostrar compromiso en esto se debe contar con personal competente
atraer, fomentar, fortalecer y mantener per- y calificado para las necesidades actuales.
sonal competente para el cumplimiento de los
objetivos institucionales. 2.4.4 Planificar y preparar sucesión
Se debe procurar la asignación a personas jó-
2.4.1 Establecer políticas y prácticas venes en ascenso de nuevas responsabilida-
Contar con políticas claras y prácticas sobre des encaminadas a controlar riesgos evalua-
recursos humanos brinda confiabilidad a todos dos; esta asignación brinda en muchos casos,
los integrantes de la organización y le imprime un nivel de confianza y autoridad razonable a
niveles de integridad, de una entidad que sigue estos encargados que les permitirá cubrir es-
un comportamiento ético y es altamente com- tas necesidades operativas cuando se requie-
petente en temas relacionados con la emplea- ra un relevo generacional. Generalmente este
bilidad, orientación, asistencia, entrenamiento, empoderamiento incentiva la creatividad de la
evaluación compensaciones, consejería, accio- persona encargada y aumenta la competencia
nes de remedio y asistencia médica. de la entidad.
21
Sistema de Control Interno MECI
y su transición al modelo COSO
2.5 Principio: la organización define 2.5.4 Tener en cuenta las presiones excesivas
las responsabilidades dentro del Sis- Es muy importante no generar cargas y pre-
tema de Control Interno siones laborales sobre su personal ya que esto
La organización debe mantener personal com- puede influir en la calidad y la competencia del
prometido con sus responsabilidades de control servicio hacia los usuarios.
interno, para el cumplimiento de los objetivos.
2.5.5 Aplicar las medidas disciplinarias
2.5.1 Responsabilidades para rendición Así como se estimulan los logros y se generan
de cuentas recompensas por las situaciones positivas, se
Es crucial conocer y reconocer todos los al- deben sancionar y aplicar medidas disciplina-
cances e impactos del desempeño de la enti- rias ante los incumplimientos y acciones que
dad, para aumentar estrategias y acciones que no sean compatibles con la filosofía de la or-
demuestren un matiz de responsabilidad en la ganización.
organización. Mecanismos para mejorar la co-
municación y la rendición de cuentas.
22
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 3
Componente Evaluación de Riesgo
Una organización debe afrontar los riesgos y las oportunidades. Existen diferentes definiciones
del término Riesgo. Tradicionalmente se ha definido como la posibilidad de que un evento ocurra
y afecte adversamente el cumplimiento de los propósitos institucionales. Sin embargo, la norma
ISO 31000 (ICONTEC 2018), lo define como el efecto de la incertidumbre sobre los objetivos. La
misma norma presenta las siguientes tres notas aclaratorias de la definición:
• Que un efecto es una desviación respecto a lo previsto y que dicho efecto puede ser positivo,
negativo o ambos, y puede abordar, crear, o resultar en oportunidades y amenazas.
• Que los objetivos pueden tener diferentes aspectos y categorías, y se pueden aplicar a diferen-
tes niveles.
• Que, con frecuencia, el riesgo se expresa en términos de: fuentes de riesgo, eventos potencia-
les, sus consecuencias y sus probabilidades.
23
Sistema de Control Interno MECI
y su transición al modelo COSO
Por otra parte, la oportunidad, también lla- Se puede concluir que la Evaluación del Ries-
mada riesgo positivo, es la posibilidad de que go es el componente del modelo MECI que
un evento ocurra y afecte favorablemente el le permite a la organización abordar de forma
cumplimiento de los propósitos institucionales. anticipada y proactiva, las situaciones negati-
Tradicionalmente se denomina Gestión del vas o positivas que pueden afectar el logro de
Riesgo, al conjunto de tareas que adelanta una todos los objetivos e intereses.
organización para comprender el contexto,
evaluar los riesgos, darles tratamiento, hacer-
les seguimiento y mejorar el desempeño y la En la Figura 7 detallamos los principios para la
efectividad de los controles. evaluación de riesgos.
24
Sistema de Control Interno MECI
y su transición al modelo COSO
Componente Principios
Especifica objetivos
ne
s
e nt
o adecuado
io ie
ac orm im
er Inf pl
p m
O Cu
Función
Identifica y
Unidad Operativa
Evalúa el riesgo
Actividades de Control del fraude
Entidad
Identifica y analiza
Actividades de Supervisión
cambios significativos
Figura 7: Principios del componente Evaluación del Riesgo desde la perspectiva del COSO
Fuente: adaptada de Auditool (2017)
25
Sistema de Control Interno MECI
y su transición al modelo COSO
26
Sistema de Control Interno MECI
y su transición al modelo COSO
27
Sistema de Control Interno MECI
y su transición al modelo COSO
28
Sistema de Control Interno MECI
y su transición al modelo COSO
3.2.3 Involucra los niveles apropiados de la 3.3 Principio: evalúa el riesgo del fraude
organización La organización debe mantenerse alerta ante
Los riesgos del funcionamiento y desempeño las posibilidades de fraude en el desempeño
global de la entidad pueden depender de fac- de la organización y debe contar con mecanis-
tores externos, no obstante, muchas veces de- mos para identificarlo.
penden de poder llegar al nivel de los riesgos
de actividades operativas, preoperativas y de 3.3.1 Tiene en cuenta distintos tipos de fraude
funcionamiento, para gestionar efectivamente Los fraudes se pueden presentar a diferentes
un riesgo de nivel global. niveles y pueden repercutir en cómo perciben
los usuarios a la entidad. Es importante revisar
3.2.4 Estima la importancia de los riesgos minuciosamente las actividades y subactivida-
identificados des de operación, como las actividades admi-
Muchas veces gestionar los riesgos en niveles nistrativas para determinar gastos excesivos e
operativos o sub-operativos, pueden influir en inconsistencias en los balances generales.
riesgos de calidad. Es importante conocer las
características de motricidad o dependencia 3.3.2 Evalúa los incentivos y las presiones
de los riesgos identificados para determinar la Se establecen incentivos para fomentar el
importancia y la pertinencia de estos. compromiso y la disminución de ocurrencia de
un riesgo y se establecen reglas y sanciones
3.2.5 Determina como responder a los riesgos claras para quienes no se comprometan y con
Existen muchos métodos para determinar el sus actos, comprometan y generen riesgos en
costo de una perdida a partir de un riesgo diferentes niveles de operación.
identificado, así se puede estimar como res-
ponder y cuanto invertir para responder al 3.3.3 Considera el riesgo de fraude por ad-
riesgo identificado. quisiciones no autorizadas
La entidad debe asegurar que la adquisición
29
Sistema de Control Interno MECI
y su transición al modelo COSO
de bienes y servicios se realiza a lo estricta- 3.4.1 Evalúa los cambios en el entorno externo
mente necesario y siguiendo las regulaciones Implica manejar sistemas de información que
externas e internas en la materia e implemen- nos permitan conocer eventos, acciones y si-
tando revisiones y aprobaciones por el nivel tuaciones que indiquen cambios frente a los
directivo. cuales la entidad debe reaccionar; regulacio-
nes, tendencias del mercado, oferta y deman-
3.3.4 Evalúa las actitudes y justificaciones da, etc.
Muchas veces la identificación de riesgos
debe considerar los comportamientos y acti- 3.4.2 Evalúa los cambios en el modelo de
tudes de cada dependencia de la entidad para negocio
afrontar los riesgos, que justifican acciones de El manejo de la información externa también
mitigación o intervenciones en programas de puede implicar cambios en las preferencias
trabajo. de los clientes u otros aspectos que afecten
la demanda por los productos o servicios que
ofrece la entidad. Estos cambios pueden impli-
car nuevas tecnologías, nuevos esquemas de
producción, como pueden suscitar cambios o
ajustes en los modelos de negocio para sacar
provecho de nuevas oportunidades.
30
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 4
Componente Actividades de Control
Son actividades y tareas operativas que se establecen como medidas de control para reducir o
mantener la probabilidad de materialización de los riesgos evaluados. Se establecen como parte de
políticas, procedimientos, instructivos, protocolos, formatos, entre otros, para apoyar la operación
de los procesos en la mitigación de los riesgos que se pueden presentar. Los principios sugeridos
para las actividades de control se observan en la Figura 8.
31
Sistema de Control Interno MECI
y su transición al modelo COSO
Componente Principios
s o
ne e nt Selecciona y
ie
acio orm im
er Inf pl desarrolla actividades
p m
O Cu de control
Función
Unidad Operativa
Actividades de Control
Entidad
Implementar
actividades de control
Información & Comunicación a través de políticas y
procedimientos
Actividades de Supervisión
Figura 8: Principios del componente Actividades de Control desde la perspectiva del COSO
Fuente: adaptada de Auditool (2017)
32
Sistema de Control Interno MECI
y su transición al modelo COSO
33
Sistema de Control Interno MECI
y su transición al modelo COSO
4.1.5 Tiene en cuenta a que nivel se aplican 4.2 Principios: selecciona y desarro-
las actividades lla controles sobre las Tecnologías de la
Las actividades de control se realizan a todo Información y la Comunicación (TIC)
nivel y en todos las dependencias o sectores La organización elige y desarrolla actividades
de la entidad. De acuerdo al nivel en que se de control generales apoyados en tecnologías
apliquen estas acciones de control se pueden de información para mejorar en el cumplimien-
evaluar los cambios significativos frente al to de los objetivos.
riesgo gestionado.
4.2.1 Establece la relación existente entre el
4.1.6 Aborda la segmentación de funciones uso de TIC en los procesos de negocios y los
Aunque el control se construye directamente controles generales sobre tecnología
sobre el proceso administrativo, las responsa- Todas las organizaciones deberían apoyarse
bilidades se dividen o segregan y cada depar- hardware y software para el manejo y proce-
tamento de la entidad tiene injerencia en las samiento de la información.
actividades de control que están dentro de
sus funciones, para reducir el riesgo o la apari-
ción de acciones inapropiadas.
34
Sistema de Control Interno MECI
y su transición al modelo COSO
4.2.2 Establece actividades de control para 4.2.4 Establece actividades de control sobre
la infraestructura tecnológica relevante los procesos relevantes de adquisición, desa-
El término Controles Generales incluyen co- rrollo y mantenimiento de tecnologías
múnmente los controles sobre las operaciones Controles al software del sistema permiten te-
de centros de datos, adquisiciones, actualiza- ner control sobre las adquisiciones de nuevos
ción de software, seguridad de acceso y ma- software, implementación y mantenimiento,
nejo de plataformas y aplicaciones de todos sistema operativo, sistema de administración
los sistemas. de bases de datos, el software de telecomuni-
caciones, el de seguridad, etc.
4.2.3 Establece actividades de control so-
bre los procesos relevantes de gestión de 4.3 Principio: implementar activida-
seguridad des de control a través de políticas y
Los controles de seguridad previenen el acce- procedimientos
so inapropiado o el uso no autorizado del sis- La entidad pone en ejercicio actividades de
tema y podrían eventualmente detectar per- control a través de las políticas que establecen
sonas expertas en acceder de forma ilegal a lo que se estima y procedimientos que ponen
las informaciones u otro tipo de violaciones de estas políticas en funcionamiento.
carácter informático.
35
Sistema de Control Interno MECI
y su transición al modelo COSO
36
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 5
Componente Información y Comunicación
La Ley 1712 de 2014, por la cual se crea la Ley de transparencia y del derecho de acceso a la
información pública, define la Información como un conjunto organizado de datos contenidos en
cualquier documento que los sujetos obligados generen, obtengan, adquieran, transformen o con-
trolen, por otra parte, Andrade (2005) define la comunicación como el conjunto total de mensajes
que se intercambian entre los integrantes de una organización, y entre esta y sus diferentes públi-
cos externos.
La información es muy importante para que la entidad cumpla sus responsabilidades de control
interno y pueda demostrar el cumplimiento de sus objetivos y debe ser un proceso asertivo que
permita de proveer, compartir y obtener la información interna y externa pertinente para el buen
funcionamiento de la organización.
37
Sistema de Control Interno MECI
y su transición al modelo COSO
Componente Principios
s o
ne e nt
ie
cio rm im
ra fo pl
pe In m Usa información
O Cu
relevante
Función
Unidad Operativa
Ambiente de Control
Información y Comunica
Evaluación del Riesgo
Comunicación internamente
División
Actividades de Control
Entidad
Comunica
Información & Comunicación externamente
Actividades de Supervisión
Figura 9: Principios del componente Información y Comunicación desde la perspectiva del COSO
Fuente: Adaptada de Auditools (2017)
38
Sistema de Control Interno MECI
y su transición al modelo COSO
5.1 Principio: usa información relevante 5.1.3 Procesa datos relevantes y los transfor-
La organización recibe, usa y produce infor- ma en información
mación relevante y de calidad para apoyar el Los datos captados en las actividades de con-
funcionamiento del control interno. trol deben traducirse en información relevante
para medir el rendimiento interno y compa-
5.1.1 Identifica requisitos de información rarlo con sucesos, eventos y condiciones del
El sistema de información procesa documen- ambiente externo que repercuten en la toma
tos que deben proveer información operacio- de decisiones y en el manejo de la información
nal, financiera y relacionada con el cumplimien- externa de los negocios o responsabilidades
to de los objetivos institucionales, lo que hace de la entidad.
posible funcionar coherentemente a la organi-
zación y optimizar el uso de sus recursos. 5.1.4 Mantiene la calidad a lo largo de todo el
proceso
5.1.2 Capta fuentes de datos internos y externos La calidad de la información generada por di-
Es importante mantener información externa ferentes sistemas puede afectar las decisiones
y cotejarla con la información interna de rendi- tomadas por la gerencia, por lo general la ca-
miento financiero y operacional. lidad de la información externa se evalúa y se
39
Sistema de Control Interno MECI
y su transición al modelo COSO
gestiona con los mismos usuarios, sondeando 5.2.1 Comunica la información de control
la utilidad, disponibilidad, precisión, accesibili- interno
dad, etc. Debe darse una comunicación amplia en todas
las direcciones de la entidad, de tal forma que
5.1.5 Evalúa costos y beneficios de la buena todo el personal operativo reciba un mensaje
información claro y asertivo de parte de la dirección, sobre
La naturaleza, cantidad, calidad y precisión de todas las responsabilidades de control que de-
la información comunicada es proporcional a ben acogerse de forma seria y rigurosa.
la consecución de los objetivos. Entre mejor
sea la información más probable será el logro 5.2.2 La dirección y el consejo de administra-
de los objetivos. ción se comunican
Todas las partes, dirección, consejo de admi-
nistración y personal operativo deben com-
prender su propio papel en el sistema de con-
trol interno y deben mantenerse las líneas de
comunicación abiertas.
40
Sistema de Control Interno MECI
y su transición al modelo COSO
41
Sistema de Control Interno MECI
y su transición al modelo COSO
Tema 6
Componente Actividades de Supervisión
42
Sistema de Control Interno MECI
y su transición al modelo COSO
Componente Principios
s o
ne e nt
ie
cio rm im
ra fo pl
pe In m
O Cu
Se llevan a cabo
Función
evaluaciones
continuas y/o
Unidad Operativa
Ambiente de Control
separadas
Actividades de
Evaluación del Riesgo
Supervisión
División
deficiencias
Actividades de Supervisión
Figura 10: Principios del componente Actividades de Supervisión desde la perspectiva del COSO
Fuente: adaptada de Auditools (2017)
43
Sistema de Control Interno MECI
y su transición al modelo COSO
44
Sistema de Control Interno MECI
y su transición al modelo COSO
45
Sistema de Control Interno MECI
y su transición al modelo COSO
1. línea de Defensa
(Gerentes públicos)
1 2
3 4
5
1 2 3 4 5 2. Línea de Defensa
(Jefes de planeación)
Línea
Estratégica
Mé
rito e integridad
Va
lo tu ral
re s ,
Transpa io Cul
rencia y Camb 5
3. Línea de Defensa
MECI (Oficinas de control interno)
4
1. Ambiente de Control 3
2. Evaluación del Riesgo 1
2
Figura 11. Modelo Líneas de Defensa como parte de la Dimensión Control Interno del MIPG.
Fuente: adaptada del Departamento Administrativo de la Función Pública (2018).
46
Sistema de Control Interno MECI
y su transición al modelo COSO
El modelo Líneas de Defensa presenta en su gía, así como a los planes de tratamiento de
esquema la siguiente estructura: riesgos identificados en todos los niveles de la
entidad, de tal forma que se asegure su imple-
Línea Estratégica: representa el rol que des- mentación.
empeñan los Comités de Auditoría de las Em-
presas Industriales y Comerciales del Estado Tercera Línea de defensa: representa el rol que
y/o a los Comités Institucionales de Coordina- desempeñan las Oficinas de Control Interno al
ción de Control Interno, como al establecer la realizar la evaluación independiente sobre la
Política de Gestión de Riesgos y asegurarse de gestión del riesgo en la entidad, catalogándola
su permeabilización en todos los niveles de la como una unidad auditable más dentro de su
organización pública, de tal forma que se co- universo de auditoría; por lo tanto debe dar a
nozcan claramente los niveles de responsabi- conocer a toda la entidad el Plan Anual de Au-
lidad y autoridad que posee cada una de las ditorias basado en riesgos, y los resultados de
tres líneas de defensa frente a la gestión del la evaluación de la gestión del riesgo.
riesgo.
47
Sistema de Control Interno MECI
Glosario
y su transición al modelo COSO
Alta Dirección: integrada por las máximas autoridades administrativas de una entidad y quién
posee el máximo nivel de responsabilidad. Para las entidades de la Rama Ejecutiva, la alta dirección
se define en los términos de los Decretos 770 y 785 de 2005.
Autocontrol: capacidad que deben desarrollar todos y cada uno de los servidores públicos de
la organización, independientemente de su nivel jerárquico, para evaluar y controlar su trabajo,
detectar desviaciones y efectuar correctivos de manera oportuna para el adecuado cumplimiento
de los resultados que se esperan en el ejercicio de su función, de tal manera que la ejecución de
los procesos, actividades y/o tareas bajo su responsabilidad, se desarrollen con fundamento en los
principios establecidos en la Constitución Política.
Autogestión: capacidad de toda organización pública para interpretar, coordinar, aplicar y evaluar
de manera efectiva, eficiente y eficaz la función administrativa que le ha sido asignada por la Cons-
titución, la ley y sus reglamentos.
Calidad: entendida como el impulso hacia la mejora permanente de la gestión, para satisfacer
cabalmente las necesidades y expectativas de la ciudadanía con justicia, equidad, objetividad y
eficiencia en el uso de los recursos públicos (Concepto de calidad en la gestión pública tomado de
la Carta Iberoamericana de la Calidad).
48
Sistema de Control Interno MECI
y su transición al modelo COSO
Corrupción: según el documento CONPES 167 de 2013, se entiende como el uso del poder para
desviar la gestión de lo público hacia el beneficio privado.
Desempeño: medida en la que la gestión de una entidad logra sus resultados finales en el cumpli-
miento de su misión y en términos de eficiencia, eficacia, calidad y cumplimiento normativo (adap-
tado de CEPAL, Indicadores de Desempeño en el Sector Público, 2005).
Dimensión: según la RAE (2019), es el aspecto o faceta de algo. Visión multidimensional: descrip-
ción de componente operativo del Modelo a partir del análisis de los múltiples aspectos (o dimen-
siones) que sustentan la gestión y el desempeño de una organización pública.
Gestión: según la RAE (2019), corresponde a la acción y efecto de administrar, organizar y poner
en funcionamiento una empresa, actividad económica u organismo.
49
Sistema de Control Interno MECI
y su transición al modelo COSO
Grupos de Interés: según el DNP (2014), corresponde a los individuos u organismos específicos
que tienen un interés especial en la gestión y los resultados de las organizaciones públicas. Com-
prende, entre otros, instancias o espacios de participación ciudadana formales o informales.).
Impacto: según la OCDE (2002), corresponde al efecto de largo plazo, positivo y negativo, pri-
mario y secundario, producido directa o indirectamente, por una intervención para el desarrollo,
intencionalmente o no.
Indicador: según la OCDE (2002), corresponde a la variable o factor cuantitativo o cualitativo que
proporciona un medio sencillo y fiable para medir logros, reflejar los cambios vinculados con la
gestión o evaluar los resultados de una entidad.
Integridad: cumplimiento de las promesas que hace el Estado a los ciudadanos frente a la garantía
de su seguridad, la prestación eficiente de servicios públicos, la calidad en la planeación e imple-
mentación de políticas públicas que mejoren la calidad de vida de cada uno de ellos.
50
Sistema de Control Interno MECI
y su transición al modelo COSO
Objetivo: son los logros que la organización pública espera concretar en un plazo determinado
(mayor de un año), para el cumplimiento de su propósito fundamental de forma eficiente y eficaz
(CEPAL, 2011).
Objetivos estratégicos: es la expresión de los logros que se espera que las entidades públicas
alcancen en el largo y mediano plazo, en el marco del cumplimiento de su propósito fundamental y
de las prioridades del gobierno. (CEPAL, 2011).
Operación: según Moore (1998), hace referencia a las capacidades legales, financieras, materiales
y humanas de las organizaciones públicas, para la obtención de resultados buscados con la aplica-
ción de una política generadora de valor público.
Organización: conjunto de personas y/o grupos que, de acuerdo con procedimientos y reglas
comunes, se esfuerza por conseguir uno o más objetivos preestablecidos (Technical Assistance for
Civil Society Organisations: ID/OS: Concepts & Framework).
51
Sistema de Control Interno MECI
y su transición al modelo COSO
Plan: documento que recoge de manera detallada lo que una entidad desea hacer para cumplir
un propósito incorporando aspectos como rutas de trabajo (estratégicas u operativas), objetivos,
cronogramas, responsables, indicadores, recursos, riesgos y controles.
Principio: Según el diccionario Word reference (2019), corresponde a la máxima idea, regla o nor-
ma de carácter general que orienta y rige la acción de una entidad pública que aplica el Modelo.
Procedimiento: forma especificada o detallada para llevar a cabo una actividad o un proceso.
Proceso: secuencia ordenada de actividades, interrelacionadas, para agregar valor, tomando como
enfoque y prioridad fundamental, al ciudadano como el eje fundamental de la gestión (Carta Ibe-
roamericana de la Calidad).
Recursos físicos: hacen referencia, a los bienes muebles (mobiliario de las oficinas, equipos infor-
máticos, vehículos) e inmuebles (edificios, espacios de trabajo) de los que dispone la entidad para
atender sus funciones y competencias, producir los bienes y prestar los servicios a su cargo.
Recursos presupuestales: son las asignaciones consignadas en el presupuesto anual de cada en-
tidad, acorde con las normas que rigen la materia para cada una, y que le permiten definir monto de
gastos a incurrir para cumplir con sus funciones y competencias, para producir los bienes y prestar
los servicios a su cargo.
Resultado: según la OCDE (2002), se refiere al producto, efecto o impacto (intencional o no, po-
sitivo y/o negativo) de la gestión de una entidad.
52
Sistema de Control Interno MECI
y su transición al modelo COSO
Sistema de Control Interno: según la Ley 87 de 1993, se trata del esquema de organización y
conjunto de planes, métodos, principios, normas, procedimientos y mecanismos de verificación y
evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, opera-
ciones y actuaciones, así como la administración de la información y los recursos, se realicen de
acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la
dirección y en atención a las metas u objetivos previstos.
Talento humano: son las personas, sus conocimientos, experiencias, habilidades y pasiones que
permiten movilizar a la organización hacia el logro de sus cometidos.
53
Sistema de Control Interno MECI
Lista de referencias
y su transición al modelo COSO
Committee of sponsoring organizations of the treadway commission (COSO). (2017). Marco Inte-
grado para la Administración de Riesgos Empresariales- ERM. Recuperado de: ERM.
https://bit.ly/2eLcybj
Congreso de Colombia. (2014). Por medio de la cual se crea la Ley de Transparencia y del Derecho
de Acceso a la Información Pública Nacional y se dictan otras disposiciones [Ley 1712]. Recu-
perado de: https://bit.ly/2J31aWF
Departamento Administrativo de la Función Pública (20 de mayo de 2005). Derogado por el art. 5,
Decreto Nacional 943 de 2014. Por el cual se adopta el Modelo Estándar de Control Interno
para el Estado Colombiano [Decreto 1599 de 2005]. Recuperado de: https://bit.ly/2PDZaXW
54
Sistema de Control Interno MECI
y su transición al modelo COSO
Departamento Administrativo de la Función Pública (21 de mayo de 2014). Por el cual se actualiza
el Modelo Estándar de Control Interno. [Decreto 943 de 2014]. Recuperado de:
https://bit.ly/309Mkqi
Departamento Administrativo de la Función Pública, (2014). Manual Técnico del Modelo Estándar
de Control Interno para el estado colombiano MECI. Bogotá Colombia: Función Pública. Recu-
perado de: https://bit.ly/2VqKW48
Departamento Administrativo de la Función Pública. (11 de septiembre 2017). Por el cual se modi-
fica el Decreto 1083 de 2015, Decreto Único Reglamentario del Sector Función Pública, en lo
relacionado con el Sistema de Gestión establecido en el artículo 133 de la Ley 1753 de 2015.
[Decreto 1499 de 2017]. Recuperado de: https://bit.ly/2MpdUcO
Departamento Administrativo de la Función Pública. (17 de marzo de 2005). Por el cual se establece
el sistema de funciones y de requisitos generales para los empleos públicos correspondientes a
los niveles jerárquicos pertenecientes a los organismos y entidades del Orden Nacional, a que
se refiere la Ley 909 de 2004. [Decreto 770 de 2005]. Recuperado de: https://bit.ly/2W6sT2w
Departamento Administrativo de la Función Pública. (17 de marzo de 2005). “por el cual se esta-
blece el sistema de nomenclatura y clasificación y de funciones y requisitos generales de los
empleos de las entidades territoriales que se regulan por las disposiciones de la Ley 909 de
2004.” [Decreto 770 de 2005]. Recuperado de: https://bit.ly/2PWEbRt
55
Sistema de Control Interno MECI
y su transición al modelo COSO
Departamento de Planeación Nacional. (2013). CONPES 167 de 2013. Consejo Nacional de Polí-
tica Económica y Social República de Colombia. Secretaría de Transparencia. Recuperado de:
https://bit.ly/2wc522a
ICONTEC. (2011) Gestión de riesgo. Principios y directrices. NTC-ISO 31000, versión 2011.
Mantilla B., S. A., y Cante S., S. Y. (2005). Auditoria del control interno. Bogotá: Ecoe Ediciones.
56
Sistema de Control Interno MECI
y su transición al modelo COSO
Merizalde, J.A. (2017). Modelo conceptual sobre las relaciones entre el sistema de gestión de la
calidad ISO 9001:2015 y el sistema de control interno MECI: 2014. Trabajo de grado para
optar al título de Magister en Calidad y Gestión Integral. Convenio universidad Santo Tomas –
ICONTEC Maestría en Calidad y Gestión Integral. BOGOTÁ. 2017.
MIPG – Función Pública (2018). Glosario. Sistema de Gestión. Versión 3. Modelo Integrado de
Planeación y Gestión – MIPG. Agosto 2018. Recuperado de: https://bit.ly/2Q j5Y1Z
MIPG – Función Pública (2018). Marco General. Sistema de Gestión. Modelo Integrado de Planea-
ción y Gestión – MIPG.
Moore, M.H., (1998). Gestión estratégica y creación de valor en el sector público”, Editorial Paidós,
Barcelona, 1998. Recuperado de: https://bit.ly/2LFhgMi
The Institute of Internal Auditors, (2013). IIA Declaración de Posición. Las Tres líneas de Defensa
para una Efectiva Gestión de Riesgos y Control. Enero 2013. Recuperado de:
https://bit.ly/2wGwoNO
57
Unidad Sistema de Control Interno MECI
didáctica y su transición al modelo COSO