UNIDAD 2

MÉTODOS DE EVALUACIÓN DEL CONTROL INTERNO

OBJETIVOS

 Conocer los métodos de Control interno

para su aplicación de acuerdo a la
problemática presentada en cualquier
tipo de organizaciones

SINTESIS DEL CONTENIDO

 El Método Descriptivo
 Método Gráfico o Flujogramas
 Método de Cuestionario
 Riesgo de Control
 COSO I (COMMITTEE OF SPONSORING
ORGANIZATIONS)
 Método COSO-ERM
 COSO III
 Método MICIL (MARCO INTEGRADO DE CONTROL
INTERNO PARA LATINOAMERICA)
 Método CORRE (CONTROL DE LOS RECURSOS Y
RIESGOS ECUADOR)
 Método COBIT, Modelo para Auditoría y Control de
Sistemas de Información
 Método ITIL, Tecnologías de la Información
 DESARROLLO DEL CONTENIDO

2. Métodos de evaluación del control interno

La elaboración de un sistema que permita obtener una seguridad razonable

sobre las actividades llevadas a cabo y su respectivo control interno es función
de los administradores, quienes tomaran en cuenta los resultados obtenidos de
los procedimientos de control implantados.

Existen varios medios para evaluar las medidas de control de un proceso, una
actividad, un departamento, una cuenta, entre otros. Para lo cual se emplea los
métodos de evaluación, sintetizados de la siguiente manera:

 Descriptivo (narración de procedimientos de control interno)

 Gráfico o de flujogramas (preparación de diagramas)
 Cuestionario (Listado de preguntas de debilidades y
fortalezas)
 COSO I (implementación y evaluación de controles internos)
 COSO II o conocido como COSO ERM
Métodos de (Identifica, evalúa y mide amenazas y oportunidades)
evaluación  COSO III
 (Mejoramiento del control interno y gobierno corporativo)
 MISIL (Control interno para Latinoamérica)
 CORRE (Control de los recursos y riesgos Ecuador)
 COBIT (Para auditorías y control de sistemas de
información)
 ITIL (Tecnologías de la información)

 Del negocio
 Operativos
Tipos de  Financieros
riesgo  Legales
 Laborales
 Ambientales

 Posibilidad de ocurrencia
Mediación  Impacto de los riesgos
del riesgo
 Estimación de los riesgos
2.1 El Método Descriptivo

Se refiere a la narración de los

procedimientos relacionados con el control
interno, los cuales pueden dividirse por
actividades que pueden ser por
departamentos, empleados y cargos o por
registros contables.

Se refiere a la narración de los procedimientos relacionados con el control

interno, los cuales pueden dividirse por actividades que pueden ser por
departamentos, empleados y cargos o por registros contables.
Una descripción adecuada de un sistema de contabilidad y de los procesos de
control relacionados incluye por lo menos cuatro características

 Origen de cada documento y registro en el sistema

 Como se efectúa el procesamiento
 Disposición de cada documento y registro en el sistema
 Indicación de los procedimientos de control pertinente y la evaluación de
los riesgos de control

2.2 Método Gráfico o Flujogramas

Consiste en la preparación de diagramas de flujo

de los procedimientos ejecutados en cada uno de
los departamentos involucrados en una operación.

 Un diagrama de flujo de control interno consiste en una representación

simbólica y por medio de flujo secuencial de los documentos de la
cantidad auditada
 El diagrama de flujo debe representar todas las operaciones,
movimientos, demoras y procedimientos de archivos concernientes al
proceso descrito
 Este método debe reunir las mismas cuatro características del método
gráfico

2.3 Método de Cuestionario

Consiste en un listado de preguntas a través de

las cuales se pretende evaluar las debilidades y
fortalezas del sistema de control interno.
  Estos cuestionarios se aplican a cada una de las áreas en las cuales el
auditor dividió los rubros a examinar, para elaborar las preguntas
 El auditor debe tener el conocimiento pleno de los puntos donde pueden
existir deficiencias para así formular la pregunta clave, que permita la
evaluación del sistema en vigencia en la empresa
 El cuestionario se diseña para que las preguntas negativas indiquen una
deficiencia del control interno. Algunas preguntas pueden ser de tipo
general y aplicable a cualquier empresa, pero la mayoría deben ser
específicas para cada organización y se debe relacionar con su objeto
social

2.4 Riesgo de Control

Después de haber realizado el levantamiento

de procesos, se procede a analizar las
debilidades y riesgos que estas pueden
causar en cada proceso para proponer
mejoras.
Por esta razón es importante tener claro los conceptos que tratan en el control
de auditoría a nivel general, lo cual permite conocer la procedencia de los riesgos
y encontrar la manera más rápida y el mejoramiento de estas.

2.5 COSO I (COMMITTEE OF SPONSORING ORGANIZATIONS)

Mediante la declaración de la SAS (Normas

de Control Interno), se formulan los
conceptos de control interno.

 Estos se utilizaron hasta los 90s, cuando con la declaración 55 se

acentúa la estructura y la aplicación del mismo
 El COSO I Busca una mejora de los criterios de control interno, que se
aplicaran dentro de cualquier organización
 Incluye la implementación y evaluación de los controles internos
 Busca prevenir la pérdida de recursos
 Asegurar la elaboración de informes financieros y del cumplimiento de
las leyes y regulaciones

Dentro del control interno podemos encontrar cinco componentes

fundamentales:

 Ambiente de control
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Supervisión y seguimiento
2.6 Método COSO II o ERM

Es un proceso estructurado, consistente y

continuo, que pretende minimizar, apocar o
disminuir los asuntos de Gestión de Riesgo
Empresarial (ERM) en las organizaciones.

 Identifica, evalúa, mide y reporta las amenazas y oportunidades que

afecten para alcanzar los objetivos
 Describe al proceso efectuado por el Directorio, Gerencia y otros
miembros del personal aplicado en el establecimiento de la estrategia, en
toda la organización
 Está diseñado para identificar eventos potenciales que pueden afectarla,
que permiten administrar riesgos, de modo que provee seguridad en
cuanto al logro de los objetivos de la entidad
 Da un mayor enfoque hacia la gestión de riesgo y su administración
corporativa, que se ocupa de los riesgos y oportunidades que afectan a la
creación de valor o su preservación.

“La Administración de riesgos corporativos es un proceso efectuado por el

consejo de administración de una entidad, su dirección y restante personal,
aplicable a la definición de estrategias en toda la empresa y diseñado para
identificar eventos potenciales que pueden afectar a la organización, gestionar
sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable
sobre la consecución de objetivos de la entidad (COSO ERM Executive
Summary).

El control interno es una parte integral de la administración de riesgos

corporativos.

2.7 COSO III

Se enfoca en el mejoramiento del control

interno y del gobierno corporativo

 Busca el mejoramiento del control interno y del gobierno corporativo

 Responde a la presión pública para un mejor manejo de los recursos
públicos o privados en cualquier tipo de organización, como consecuencia
de los numerosos escándalos, la crisis financiera y los fraudes
presentados

El Marco Integrado de Control Interno, abarca cada una de las áreas de la

empresa, y engloba cinco componentes relacionados entre sí:

 El entorno de control
  La evaluación del riesgo
 El sistema de información y comunicación
 Las actividades de control, y.
 La supervisión del sistema de control.

2.8 Actualización del marco integrado de control interno

COSO II 2004
COSO I 1992 Control de riesgos COSO III 2013
Control interno empresariales Control interno
marco integrado marco integrado marco integrado

2.8.1 Factores relevantes del marco integrado

 Variación de los modelos de negocio como consecuencia de la

globalización

Esto requería de una mayor necesidad de información a nivel interno debido a

los entornos cambiantes

 Incremento del número y complejidad de las normativas aplicables al

mundo empresarial a nivel internacional
 Nuevas expectativas sobre la responsabilidad y competencia de los
gestores de las organizaciones
 Incremento de las expectativas de los grupos de interés (inversores,
reguladores) en la prevención y detección del fraude
 Aumento del uso de las nuevas tecnologías, y su desarrollo constante
 Exigencias en la fiabilidad de la información reportada

2.9 Método MICIL (Marco Integrado de Control Interno para Latinoamérica)

Se produce mejores prácticas de responsabilidad

y transparencia.

 El método MICIL, es producto de la investigación aplicada y de la

discusión en varios seminarios a nivel de América Latina
 Se emite en el año 2004, es un modelo basado en los estándares de
control interno para las pequeñas, medianas y grandes empresas,
desarrollado en el informe COSO.
2.10 Método CORRE (Control de los Recursos y Riesgos Ecuador)

Proporciona un grado de seguridad razonable en

cuanto a la consecución de objetivos.

Este método fue creado por el proyecto anticorrupción ¡Si se puede¡ para la
aplicación en el Ecuador y tiene como referencia conceptual tres investigaciones:
COSO I, COSO II y MISIL.

La base del CORRE está en los valores como la conducta, ética, la integridad y
la competencia del personal que labora en la organización.

Este método CORRE, tiene las siguientes características:

 Honestidad y responsabilidad.
 Eficacia y eficiencia en las empresas
 Fiabilidad de la información
 Salvaguardar los recursos

El compromiso hacia el control por parte de la máxima autoridad de la empresa

que algunos la denominan EL CLIMA EN LA CIMA para referirse al control y la
gestión de los riesgos es fundamental para un ambiente de control interno.

 Ambiente interno de control

 Establecimiento de objetivos
 Identificación de eventos
Componentes
 Evaluación de riesgos
del método
CORRE  Respuesta a los riesgos
 Actividades de control
 Información y comunicación
 Supervisión y monitoreo
2.11 Relación entre COSO I, COSO II Y COSO III

COSO I COSO II COSO III PRINCIPIOS

Ambiente de Ambiente Ambiente Demostrar compromiso con la integridad y
control Interno Interno valores éticos
El Consejo de la Administración ejerce su
responsabilidad de supervisión del control
interno.
Establecimiento de estructuras, asignación de
autoridades y responsabilidades
Demuestra permiso de reclutar, capacitar y
retener personas competentes.
Retiene al personal de confianza y
comprometidos con las responsabilidades del
control interno.
Evaluación del Establecimiento Evaluación Se especifican objetivos claros para identificar
riesgo de objetivos del riesgo y evaluar riesgos para el logro de los
objetivos.
Identificación Identificación y análisis de riesgos para
de riesgos determinar cómo se deben mitigar.
Evaluación del Considerar la posibilidad de fraude en la
riesgo evaluación de riesgos.
Respuesta al Identificar y evaluar cambios que podrían
riesgo afectar.
Actividades de Actividades de Actividades Selección y desarrollo de actividades de
control control de control control que contribuyan a migrar los riesgos de
niveles aceptables.
La organización selecciona y desarrolla
actividades de controles generales de
tecnología para apoyar el logro de los
objetivos.
La organización implementa actividades de
control a través de políticas y procedimientos.
Información y Información y Información y Se genera y utiliza información de calidad para
comunicación comunicación comunicación apoyar el funcionamiento del control interno.
Se comunica internamente los objetivos y
responsabilidades del control interno.
Se comunica externamente los asuntos que
afecten el control interno.
Monitoreo Monitoreo Monitoreo Se realiza evaluaciones sobre la marcha para
determinar si los componentes están
presentes y funcionando.
Se comunica y evalúa oportunamente las
deficiencias del control interno a los
responsables de tomar acciones.

Fuente y elaboración: Mauricio Torres y otros: Auditoria Integral. Pág(s). 56 y 57

2.12 Método COBIT, Modelo para Auditoría y Control de Sistemas de
Información

Proporciona buenas prácticas para los

procesos de negocios y la información
resultante de la aplicación combinada de
recursos que requieren ser administrados,
apoyados por la tecnología de la
información.

 Es una herramienta de la tecnología de la información, diseñado por

Electronic Data Processing Auditots Aossociation lanzado en 1996
 Estas prácticas están más enfocadas al fortalecimiento del control que a
su ejecución
 Es una estructura apropiada para la seguridad y el control de la tecnología
de la información
 COBIT plantea que los principios básicos de su marco de referencia se
sintetizan en siete objetivos de control:
 Efectividad
 Eficiencia
 Confidencialidad
 Integridad
 Disponibilidad
 Cumplimiento
 Confiabilidad
 Este modelo enlaza los objetivos de negocios con los objetivos de
tecnologías de la información, proporcionando métricas y modelos de
madurez para evaluar el grado de confiabilidad o dependencia que el
negocio puede tener en un proceso, al alcanzar metas y objetivos
deseados.

2.13 Método ITIL, Tecnologías de la Información

Desarrolla una metodología estándar para

garantizar una entrega eficaz y eficiente de
los servicios de tecnologías de la
información.

 Fue creado en 1980 por la Agencia Central de Telecomunicaciones

Británica (actualmente Ministerio de Comercio, OGC)
 La metodología debe ser independiente de los suministradores (internos
y externos)
 Su resultado fue el desarrollo y publicación de la biblioteca de la
Infraestructura de Tecnología de la Información (ITIL)
  ITIL específica un método sistemático que garantiza la calidad de los
servicios de tecnología de la información
 Incluye una lista de verificación de tareas, procedimientos y
responsabilidades, que sirven de base para adaptarse a las necesidades
concretas de cada organización
 ITIL, tiene un campo de aplicación útil y sirve de guía en muchas áreas,
permitiendo definir nuevos objetivos de mejora que llevan a su crecimiento
y madurez
 ITIL apoya en definitiva a las mejoras prácticas en la gestión de servicios
de tecnología de la información
 ITIL, se apoya en cinco procesos:

Manejo de incidentes
Manejo de problemas
Manejo de configuraciones
Manejo de cambios, y
Manejo de entregas.

2.14 Limitaciones del control interno al seleccionar un método

El control interno puede proporcionar solamente una seguridad razonable para

llegar a alcanzar los objetivos de la administración a causa de limitaciones
inherentes al mismo, como:

 El requisito usual de la Administración de que un control es eficaz en

relación a su costo. No debe ser desproporcionado debido a fraudes o
errores
 El hecho de que la mayoría de los controles tienden a ser dirigidos a tipos
de operaciones esperadas y no a operaciones poco usuales
 El error humano potencial debido al descuido, distracción, errores de
juicios o comprensión equivocada de instrucciones
 La posibilidad de burlar los controles por medio de colusión
 La posibilidad de que una persona responsable de ejercer el control,
pudiera abusar de esa responsabilidad. Ejemplo: Un miembro de la
organización que violara algún control
 La posibilidad de que los procedimientos pudieran llegar a ser
inadecuados debido a cambios de las condiciones.