TEMA 5

EL CONTROL INTERNO Y LA
AUDITORIA FINANCIERA

El Control Interno y la Auditoría Financiera 1

Tabla de contenido
Unidad V. El Control Interno y la Auditoría Financiera...............................................................3
5.1 Introducción......................................................................................................................3
5.2 Concepto Tradicional y Contemporáneo del Sistema de Control Interno…………....4
5.3 Diferencia entre auditoría interna y auditoría financiera.............................................6
5.4 Objetivos y finalidad del sistema de control interno......................................................7
5.5 Conocimiento y evaluación del sistema de control interno y efecto sobre el trabajo
del auditor financiero............................................................................................................8
5.5.1 Métodos para evaluar el control interno:..................................................................10
5.6 Estructura del control interno propuesto por el modelo “COSO”............................11
5.6.1 Marco Integrado COSO de Gestión de Riesgos: Los informes COSO I y II……….12

5.7 Informes sobre los resultados de la evaluación del control interno (comunicación de
las debilidades significativas de control interno vía carta de recomendaciones).............15
BIBLIOGRAFIA........................................................................................................................17

El Control Interno y la Auditoría Financiera 2

Unidad V. El Control Interno y la Auditoría Financiera.

5.1 Introducción.

El control es un factor clave en lo logro de los objetivos generales de las organizaciones

por ello debe ser oportuno, económico, seguir una estructura orgánica, debe tener una
ubicación estratégica, revelar tendencias y situaciones. En la vida real, un gran volumen
de las decisiones administrativas está basado en información de tipo contable. Estas
decisiones varían desde asuntos como adquisiciones de inventarios hasta mejorar la
estructura de costos y gastos de la empresa.
Es por ello que se perfila un tipo de control organizacional dirigido precisamente a
regular el funcionamiento de las actividades operacionales que se desarrollan en el día a
día de una empresa, este se conoce con el nombre de “Control Interno”.
El control interno desde hace mucho tiempo ha sido reconocido como fundamental e
indispensable en la actividad empresarial y en la práctica de la auditoría. Este
reconocimiento surgió paulatinamente en las primeras épocas de práctica de la profesión
de auditor, de acuerdo a la manera en que los estos fueron descubriendo que en la
práctica pocas veces es necesario examinar todas las transacciones para lograr sus
objetivos.
Así mismo, el control interno tiene como propósito principal el minimizar las
desviaciones y riesgos, permitiendo anticiparse en lo posible a la detección de
alteraciones a lo establecido. Es por ello que su importancia radica en que permiten a la
gerencia hacer frente a la rápida evolución del entorno económico y competitivo, así
como a las exigencias y prioridades cambiantes de los clientes, adaptando su estructura
para asegurar el crecimiento futuro. El presente artículo tiene como objetivo general
Analizar el significado del control interno y caracterizarlo de acuerdo a los modelos
contemporáneos de control Interno, detallando sus fundamentos teóricos. La
metodología empleada para la elaboración del presente texto, está basada en la revisión
bibliográfica y en el análisis sistemático y reflexivo de fuentes secundarias
representadas por textos escritos, consultas a través de internet.

5.2 Concepto Tradicional y Contemporáneo del Sistema de Control

Interno.

La concepción de control interno ha sufrido modificaciones en la medida en que se han

transformado las estructuras organizacionales, para ello toma como base la manera en
que ha evolucionado la auditoría.
El control interno puede ser abordado principalmente bajo dos enfoques, uno tradicional
y otro contemporáneo; el primero, comprende el plan de organización y conjunto de

El Control Interno y la Auditoría Financiera 3

métodos; el segundo, como un proceso integral de gestión establecido en el Informe
COSO.
 Enfoque Tradicional del Control Interno.
Bajo este primer enfoque, podemos señalar el concepto de control interno del Instituto
Americano de Contadores Públicos en la Declaración las Normas de Auditoría (SAS
por sus siglas en inglés) N° 1, citado por Viloria (2005), queda definido como sigue:
El control interno comprende el plan de organización, todos los métodos coordinados y
las medidas adoptadas en el negocio, para proteger sus activos. Verificar la exactitud y
confiabilidad de sus datos contables, promover la eficiencia en las operaciones y
estimular la adhesión a la práctica ordenada por la gerencia (p.88).
Según Estupiñán (2006), el control interno tradicional es un plan lógico y claro de las
funciones organizacionales y el conjunto de métodos y procedimientos que sirven para
proteger los activos y mostrar una información contable confiable y transparente.
En tanto en palabras de Laski (2006), una definición tradicional o antigua que se tenía
sobre control interno se basaba en la idea de concebir al control interno como un
elemento añadido a las actividades organizacionales y “era visto como una carga
inevitable dentro del sistema”.
Por otro lado, Mantilla y Blanco (2005), develan tres generaciones de control interno, la
primera comprende, a su criterio a un control empírico y poco profesional, a lo cual
adjudican la falta de profesionalización de quienes depende el control interno; la
segunda generación, se rige por el marco legal y el conjunto de normas y
procedimientos para salvaguardar los activos, registros contables y fiel cumplimiento de
las directrices emanadas por la administración. Estas dos primeras generaciones,
corresponden al enfoque tradicional y la tercera va referida al enfoque contemporáneo,
ya alineado a los esfuerzos presentados en el informe COSO, desarrollado en la década
de los 90.
 Enfoque Contemporáneo de Control Interno.
Con el firme propósito de definir o acordar un nuevo marco conceptual integrador de las
diversas conceptualizaciones sobre el control interno que se venían utilizando, el
Committee of Sponsoring Organizations de la Treadway Commission, National
Commission on Fraudulent Financial Reporting (COSO por sus siglas en inglés), creado
por iniciativa conjunta de cinco importantes empresas americanas del sector privado,
cuyo interés principal radicaba en dar orientaciones sobre la gestión de riesgo, control
interno y la disuasión del fraude. En 1992, presentaron un primer documento que marca
un nuevo punto de partida en el estudio e implementación del control interno en las
organizaciones, dada su estandarización en los procesos de control interno, pues es
reconocido como una nueva perspectiva que brinda una estructura estándar o común a
las organizaciones.
Para Estupiñán (2006), el control interno según el informe COSO corresponde a un
nuevo enfoque contemporáneo, por cuanto todos sus métodos están integrados a los

El Control Interno y la Auditoría Financiera 4

procesos administrativos, y el funcionamiento efectivo de sus componentes, conlleva al
alcance de los objetivos, prevé información útil y confiable ajustada al cumplimiento de
las leyes, lo cual lo lleva alcanzar una calidad razonable y efectiva.
Precisamente Carmona y Barrios (2007), aseveran que luego de realizado el estudio
sobre el control interno por la comisión COSO, a partir de la propuesta presentada sobre
el tema en cuestión, logra amplia aceptación internacional, produciéndose de esta
manera un cambio de paradigma.
Para Cabrera y Ortega (2013.) el informe COSO es un compendio que define el control
interno, reglas y cómo tener buenas en una organización:
Es un compendio de definiciones, reglas y buenas prácticas acerca del control interno en
una organización. Si bien todas las organizaciones necesitan llevar a cabo prácticas de
control, este informe está especialmente orientado a aquellas en las que por su
envergadura, requieren y están en condiciones de aplicar mecanismos formales y
preestablecidos de control, para evitar o reducir los fraudes.
De igual manera, el control interno contemporáneo tiene otra definición mostrada en el
modelo COCO (Criteria of Control) de Canadá, el cual fue publicado un poco más tarde
que el informe COSO; éste simplifica los conceptos y el lenguaje para hacer posible una
discusión sobre el alcance total del control, con la misma facilidad en cualquier nivel de
la organización empleando un lenguaje accesible para todos los empleados. Al respecto
Estupiñán (2006) expone:
El modelo COCO es producto de una profunda revisión del comité de criterios de
control de Canadá sobre el reporte COSO y cuyo propósito que hacer el planteamiento
de un modelo más sencillo y comprensible, ante las dificultades que en la aplicación del
COSO enfrentaron inicialmente algunas organizaciones. El resultado es un modelo
conciso y dinámica encaminado a mejorar el control, el cual describe y define al control
casi de forma idéntico a como lo hace el modelo COSO.
En este sentido se puede afirmar, que el cambio que plantea el modelo canadiense
respecto al anterior, consiste en que en lugar de conceptualizar los procesos de control
interno como un componente y elementos interrelacionados entre sí, este busca
proporcionar un marco de referencia más sencillo y comprensible a través de 20
criterios generales, agrupados en cuatro grupos los cuales se presentan de manera
flexible al personal de toda la organización, de tal manera que estos los puedan diseñar,
desarrollar, modificar y evaluar el control, conformando un ciclo lógico de acciones que
permiten dar cumplimiento de los objetivos de la organización.
De acuerdo a Laski (2006), a partir del estudio COCO hay una nueva conceptualización
del control interno, al que señala como un enfoque integrado, pero con una definición
mucho más amplia sobre control interno, al mismo tiempo señala que el control interno
debe ser una parte natural de la cultura organizacional.

El Control Interno y la Auditoría Financiera 5

5.3 Diferencia entre auditoría interna y auditoría financiera.

 ¿Qué es una auditoría interna?

La auditoría interna, por lo general, es realizada por un empleado de la misma empresa.
Como tal, lo que el auditor interno emita como resultado de su análisis será útil para las
autoridades del negocio. Esta se solicita a pedido y responde a los intereses particulares
de cada empresa, en otras palabras su realización no es obligatoria, pero sí necesaria.
Tras emitir el informe, el auditor podrá proporcionar, a quien solicitó la evaluación, una
serie de recomendaciones para mejorar los procesos internos.
 ¿Qué es la auditoría externa?
Esta auditoría la realiza un auditor externo, es decir alguien que no trabaja en la empresa
auditada. Al no trabajar en la empresa se espera de él una visión más objetiva de la
situación financiera real de la compañía. Los informes de una auditoría externa, a veces,
se proporcionan con el interés de brindar esta información a un ente fuera de la empresa.
Por eso las auditorías externas suelen ser útiles para, por ejemplo, solicitar un préstamo
para la empresa, también lo son para cuando se quiere captar nuevos inversores, etc.
 Diferencias entre auditoría interna y externa.
La primera diferencia clara es que las auditorías internas no son obligatorias, mientras
que las externas sí para empresas que cotizan en bolsa y empresas de un cierto tamaño.
En contraste con las auditorías internas que se hacen por necesidades particulares de la
empresa, las externas, de llegarse a encontrar irregularidades, pueden tener
consecuencias legales y es que el informe final de una auditoría externa va –
generalmente- a terceros, como por ejemplo una entidad fiscalizadora.
Lo recomendable es que toda empresa sea auditada al menos una vez al año. De esa
manera tendrá un mejor control de sus procesos. Pese a que las auditorías internas son
hechas por auditores que trabajan para la misma empresa, si una compañía no cuenta
con auditores, puede tercerizar el servicio, de esa manera tendrá una visión clara e
imparcial de los procesos que necesite analizar.

Al hablar de las diferencias entre estos dos tipos de auditoría podemos señalar que:

 La auditoría interna tiene como objetivo analizar y mejorar los controles y el

desempeño, mientras que la auditoría externa pretende expresar una opinión
sobre el estado financiero.
 El alcance de la primera es el de las operaciones de la organización y el de la
segunda es el de los informes financieros fiscales.
 En Gestión de Riesgos, la auditoría interna requiere de habilidades
interdisciplinarias, mientras que la auditoría externa implica conocimientos
sobre contabilidad, finanzas e impuestos.
 La primera hace referencia al presente y futuro en curso. La segunda hace
alusión al pasado en un momento determinado.

El Control Interno y la Auditoría Financiera 6

  Los interesados en la auditoría interna son principalmente el consejo de
administración y la dirección ejecutiva. En el caso de la auditoría externa, se
trata de los inversores, acreedores, el estado y el público en general.
 Las normas por las que se rige la primera son las del ejercicio de la auditoría
interna, mientras que en la segunda se consideran los principios y normas de
auditoría de aceptación general.
 La auditoría interna pone énfasis en fortalecer y proteger el valor de la
organización. La auditoría externa se centra en la declaración razonable de los
estados financieros.
 La relación laboral en el primer caso se caracteriza por ser empleado de la
organización, mientras que en el segundo se trata de un contratista
independiente.

5.4 Objetivos y finalidad del sistema de control interno.

El Control Interno promueve la eficiencia de las operaciones, ayuda a reducir los riesgos
a que pudieran estar expuestos los recursos, aporta mayor confiabilidad a la información
financiera y operacional, proporciona mayor seguridad respecto al cumplimiento
efectivo de las leyes, normas y políticas aplicables. En términos generales, la
importancia del Control Interno radica en que su principal propósito es detectar con
oportunidad cualquier desviación significativa en el cumplimiento de las metas, así
como objetivos establecidos que pudieran afectar las operaciones de la entidad y, por lo
tanto, las declaraciones contenidas en los EEFF.
El mismo está pensado para facilitar consecución de los objetivos. En consecuencia,
podríamos decir que el control interno es el proceso necesario para proteger los recursos
de las organizaciones privadas o gubernamentales, el cual es ejecutado por las
autoridades y todas las personas, con el propósito de brindar un grado de seguridad
razonable que facilite el logro de los objetivos establecidos.
Para Laski (2006), el modelo COSO puede ser considerado como una herramienta
importante en la gestión, por cuanto contribuye en los procesos de transformación
organizacional.
Los objetivos son diseñados para brindar un sistema de control efectivo, el cual consiste
en el diseño de políticas y procedimientos para brindar una seguridad razonable a la
administración. De acuerdo a lo planteado, Arens, Randal y Mark (2007 p. 270.)
conceptualizan que “estas políticas y procedimientos a menudo se les denomina
controles, y en conjunto, éstos comprenden el control interno de la entidad”, además
señalan tres objetivos para el diseño de un control interno efectivo:
 Confiabilidad de los informes financieros.

El Control Interno y la Auditoría Financiera 7

Aquí queda establecida la responsabilidad legal, financiera y profesional requerida para
la presentación de dichos informes. La confiabilidad dependerá de la estabilidad,
objetividad y verificabilidad de la información presentada oportunamente.
 Eficiencia y eficacia de las operaciones.
Este uno de los controles que todas las empresas deben afianzar en el uso eficaz y
eficiente en el uso de los recursos y optimización de las metas.
 Cumplimiento con las leyes y reglamentos.
Este objetivo persigue que todas las compañías sean públicas o no, sin fines de lucro,
cumplan con las leyes y normativas, emitan informes de eficacia de la operación interna
sobre sus informes financieros.

5.5 Conocimiento y evaluación del sistema de control interno y efecto

sobre el trabajo del auditor financiero.

De acuerdo a la NIA 315.4C el control interno es “el proceso diseñado, implementado y

mantenido por los responsables del gobierno de la entidad, la Dirección y otro personal,
con la finalidad de proporcionar una seguridad el sobre la consecución de los objetivos
de la entidad relativos a la fiabilidad de la información financiera, la eficacia y
eficiencia de las operaciones, así como sobre el cumplimiento de las disposiciones
legales y reglamentarias aplicables”.

El Control Interno y la Auditoría Financiera 8

Es importante tener en cuenta que el diseño e implementación del control interno
variará según tamaño y complejidad de la entidad. En entidades pequeñas, el gerente o
dueño puede desempeñar funciones que se refieren a varios de los componentes del
control interno.
Según la NIA 315.22 el auditor deberá conocer las principales actividades que la
entidad lleva a cabo para realizar un seguimiento del control interno relativo a la
información financiera, incluidas las actividades de control interno relevantes para la
auditoría. También, el auditor deberá revisar el modo en que la entidad toma medidas
para corregir las deficiencias en sus controles.
Adicionalmente, obtener un entendimiento suficiente del control interno implica la
realización de procedimientos de valoración del riesgo para identificar los controles que
directa o indirectamente atenúen el riesgo de incorrección material. La información
obtenida ayuda al auditor a valorar el riesgo residual (riesgo inherente y de control) de
incorrección material a nivel de los estados financieros y de las afirmaciones; y por otra
parte, contribuye en el diseño de procedimientos de auditoría posteriores que respondan
a los riesgos valorados.

Es importante puntualizar que solo son relevantes para la auditoría los controles que
atenúan riesgos de incorrección material, causada por fraude o error, en los estados
financieros. Debido a esto, las actividades de control que no sean relevantes deben
dejarse fuera de la auditoría por completo.
De acuerdo con la NIA 315.14, para conocer el entorno de control de la empresa, el
auditor valorará si la Dirección ha establecido y mantenido una cultura de honestidad y
de comportamiento ético. También, el auditor evaluará si los puntos fuertes del entorno

El Control Interno y la Auditoría Financiera 9

de control proporcionan colectivamente una base adecuada para los demás componentes
del control interno y si estos otros componentes no han sido menoscabados como
consecuencia de deficiencias en el entorno de control.

5.5.1 Métodos para evaluar el control interno:

Método descriptivo: Consiste como su nombre lo indica en describir o narrar las

diferentes actividades de los departamentos, funcionarios y empleados, y los registros
que intervienen en el sistema. Sin embargo, no debe incurrirse en el error de describir
las actividades de los departamentos o de los empleados de manera aislada u objetiva.
Debe hacerse la descripción siguiendo el curso de las operaciones a través de su manejo
en los departamentos citados.
Por lo general se describe procedimientos, registros, formularios, archivos,
departamentos que intervienen en el sistema de control. Éste método presenta el
inconveniente que muchas personas no tienen habilidad para expresar sus ideas por
escrito en forma clara, precisa y sintética, lo que trae como consecuencia que algunas
debilidades de control no quede expresadas en la descripción.
Método de cuestionario: Consiste en usar como instrumento para la investigación,
cuestionarios previamente formulados que incluyen preguntas acerca de la forma en que
se manejan las transacciones u operaciones de las personas que intervienen en su
manejo, la forma en que fluyen las operaciones a través de los puestos o lugares donde
se define o se determinan los procedimientos de control para la conducción de las
operaciones.
El método de cuestionario es utilizado extensamente por los auditores independientes
como los auditores internos, consiste en una encuesta sistemática presentada bajo la
forma de preguntas referidas a aspectos básicos del sistema, y ante una respuesta
negativa evidencia una ausencia de control. Los cuestionarios se pueden organizar
clasificando las preguntas de acuerdo con los objetivos de control y cada pregunta
referirse a la presencia de las medidas de control para lograr el objetivo de que se trate.
El objetivo del cuestionario de control interno es reunir información, para descubrir
hechos, evidencias, opiniones, con el fin de reunir datos o información cuantitativa. La
información obtenida debe ser tabulada, depurado y servir juntos con otros agentes
como soporte del informe de auditoría basado en los papeles de trabajo.
Los cuestionarios abordan cuestiones que los participantes deberán considerar,
centrando su reflexión en los factores internos y externos que han dado, o pueden dar
lugar, a eventos negativos.
Las preguntas pueden ser abiertas o cerradas, según sea el objetivo de la encuesta.
Pueden dirigirse a un individuo o a varios, o bien pueden emplearse en conexión con
una encuesta de base más amplia, ya sea dentro de una Organización o dirigida a
clientes, proveedores o terceros.

El Control Interno y la Auditoría Financiera 10

Características de redacción de cuestionario:
En la elaboración o la preparación de un cuestionario, el auditor debe tener presente
determinadas características fundamentales, como son:
a. El cuestionario debe redactarse de acuerdo al nivel de formación de las personas a las
que se dirige.
b. La preguntas deben redactarse con claridad y permitir cierta libertad para que el
encuestado no se sienta inclinado a dar una determinada respuesta ni a contestar si o no.
c. Deben evitarse los términos subjetivos y si es posible las preguntas deben ser
concisas y precisas con el fin de lograr mayor concentración y evitar la fatiga al
entrevistado.
d. Las preguntas han de estar encaminadas (dirigidas) para cumplir el objetivo de la
evaluación del control interno y no deben eliminar la entrevista sino complementarla.

5.6 Estructura del control interno propuesto por el modelo “COSO”.

Desde el momento que se presenta el informe en 1992, sobre la propuesta de una nueva
conceptualización del control interno por el COSO, surgió un nuevo marco conceptual
dada la amplia aceptación que tuvo, pero en el año de 2001 debido a la preocupación
por evaluar y mejorar los procesos de control y riesgos, luego debido a unos escándalos
financieros y perdidas a inversionistas, la evaluación culminó con la publicación de un
nuevo informe en el 2004, denominado COSO II, enfocado a la administración de
riesgo de la empresa, para el 2013 COSO realiza otra actualización denominada COSO
III.
De acuerdo a Coopers & Lybrand (1997, p.16), el informe COSO define control interno
como, “un proceso que ejecuta el consejo de administración, la dirección y el resto del
personal de la entidad, diseñado con el objetivo de proporcionar un grado de seguridad
razonable en cuanto a la consecución de los objetivos”. Este nuevo concepto, fue
considerado dentro de las siguientes categorías: a) Eficacia y eficiencia de las
operaciones. b) Fiabilidad de la información financiera. c) Cumplimiento de las leyes y
normas aplicables.
La anterior definición, conlleva a analizar con mayor detenimiento esta nueva
conceptualización sobre control interno:
 Es un proceso. El control interno es un medio, no un fin en sí mismo
 Lo llevan a cabo personas. El control interno lo llevan las personas en cada
nivel organizativo, no es suficiente poseer manuales de políticas y normas.
 Aportan un grado de seguridad razonable. El control interno no da la
seguridad total a la dirección y al consejo de administración.
 Alcanzar los objetivos. El control interno está pensado para facilitar
consecución de los objetivos.

El Control Interno y la Auditoría Financiera 11

Para Laski (2006), el modelo COSO puede ser considerado como una herramienta
importante en la gestión, por cuanto contribuye en los procesos de transformación
organizacional.

5.6.1 Marco Integrado COSO de Gestión de Riesgos: Los informes

COSO I y II

COSO I. En 1992 la comisión publicó el primer informe “Internal Control - Integrated

Framework” denominado COSO I con el objeto de ayudar a las entidades a evaluar y
mejorar sus sistemas de control interno, facilitando un modelo en base al cual pudieran
valorar sus sistemas de control interno y generando una definición común de “control
interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes
categorías:

Eficacia y eficiencia de las operaciones.

Confiabilidad de la información financiera.
Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.

El Control Interno y la Auditoría Financiera 12

COSO II. En 2004, se publicó el estándar “Enterprise Risk Management - Integrated
Framework” (COSO II) Marco integrado de Gestión de Riesgos que amplía el concepto
de control interno a la gestión de riesgos implicando necesariamente a todo el personal,
incluidos los directores y administradores.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

1. Ambiente de control: son los valores y filosofía de la organización, influye en
la visión de los trabajadores ante los riesgos y las actividades de control de los
mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de
cumplimientos.
3. Identificación de eventos, que pueden tener impacto en el cumplimiento de
objetivos.
4. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para
la consecución de los objetivos.
5. Respuesta a los riesgos: determinación de acciones frente a los riesgos.
6. Actividades de control: Políticas y procedimientos que aseguran que se llevan a
cabo acciones contra los riesgos.
7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los
trabajadores cumplir con sus responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.

COSO III. En mayo de 2013 se ha publicado la tercera versión COSO III. Las
novedades que introducirá este Marco Integrado de Gestión de Riesgos son:

El Control Interno y la Auditoría Financiera 13

Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los entornos.
Mayor confianza en la eliminación de riesgos y consecución de objetivos.
Mayor claridad en cuanto a la información y comunicación.

 Principios de los componentes del COSO.

En esta nueva versión del COSO se emplean además los 17 principios que están
asociados o vinculados a los componentes del coso. Luego, en el informe de COSO
2018 se amplían a 20, dichos componentes. Veamos:
1. Ejerce la supervisión de riesgos a través del consejo de administración. El
consejo de administración supervisa la estrategia y lleva a cabo las responsabilidades de
gobierno para apoyar a la dirección en la consecución de los objetivos estratégicos y de
negocio.
2. Establece estructuras operativas. La organización establece estructuras operativas
con el fi n de alcanzar los objetivos estratégicos y de negocio.
3. Define la cultura deseada. La organización define los comportamientos deseados
que caracterizan la cultura a la que aspira la entidad.
4. Demuestra compromiso con los valores claves. La organización demuestra su
compromiso con los valores clave de la entidad.
5. Atrae, desarrolla y retiene a profesionales capacitados. La organización está
comprometida con contar un capital humano alineado con los objetivos estratégicos y de
negocio.
6. Analiza el contexto empresarial—La organización considera los efectos potenciales
del contexto empresarial sobre el perfil de riesgo.
7. Define el apetito al riesgo. La organización define el apetito al riesgo en el contexto
de la creación, preservación y materialización del valor.
8. Evalúa estrategias alternativas. La organización evalúa las estrategias alternativas y
el impacto potencial en el perfil de riesgos.
9. Formula objetivos de negocio. La organización considera el riesgo al tiempo que
establece los objetivos de negocio en los distintos niveles, alineados y apoyados en la
estrategia.
10. Identifica el riesgo. La organización identifica el riesgo que impacta en la
consecución de los objetivos estratégicos y de negocio.
11. Evalúa la gravedad del riesgo. Evalúa la Gravedad del Riesgo, basado en impacto.
12. Prioriza riesgos. La organización prioriza los riesgos como base para la selección
de respuestas a adoptar ante los riesgos.
13. Implementa respuestas ante los riesgos. La organización identifica y selecciona
las respuestas ante los riesgos.

El Control Interno y la Auditoría Financiera 14

14. Desarrolla una visión a nivel de cartera. La organización desarrolla y evalúa una
visión del riesgo a nivel de cartera.
15. Evalúa los cambios significativos. La organización identifica y evalúa los cambios
que pueden afectar sustancialmente a los objetivos estratégicos y de negocio.
16. Revisa el riesgo y el desempeño. La organización revisa el desempeño de la
entidad y tiene en consideración el riesgo.
17. Persigue la mejora de la gestión del riesgo empresarial. La organización persigue
mejorar la gestión del riesgo empresarial.
18. Aprovecha los sistemas de información y la tecnología. La organización utiliza
los sistemas de información y tecnología de la entidad para lograr la gestión del riesgo
empresarial.
19. Comunica información sobre riesgos. La organización utiliza canales de
comunicación como soporte a la gestión del riesgo empresarial.
20. Informa sobre el riesgo, la cultura y el desempeño. La organización informa
sobre el riesgo, la cultura y el desempeño a múltiples niveles y a través de toda la
entidad.

 Beneficios de utilizar el estándar COSO en las organizaciones.

Algunos de los beneficios de utilizar el estándar COSO en las organizaciones son:
 Promueve la gestión de riesgos en todos los niveles de la organización y
establece directrices para la toma de decisiones de los directivos para el control
de los riesgos y la asignación de responsabilidades.
 Ayuda a la integración de los sistemas de gestión de riesgos con otros sistemas
que la organización tenga implantados
 Ayuda a la optimización de recursos en términos de rentabilidad.
 Mejora la comunicación en la organización.
 Mejora el control interno de la organización.

10.7 Informes sobre los resultados de la evaluación del control interno

(comunicación de las debilidades significativas de control interno vía
carta de recomendaciones).

La norma internacional de auditoría 265 presenta la responsabilidad del auditor de

comunicar oportuna y apropiadamente a los encargados del gobierno corporativo y
administración las deficiencias encontradas en el control interno durante el desarrollo de
la auditoría de estados financieros, para que ellos sigan las acciones pertinentes.

El Control Interno y la Auditoría Financiera 15

Para esto el auditor debe tener un conocimiento claro del control interno de la entidad,
para que al momento de evaluar los riesgos de representación errónea se apliquen los
procedimientos de auditoria apropiados. Esto no significa que el auditor dará una
opinión sobre la efectividad del control interno, si no que comunicará las deficiencias
que se presenten durante las etapas de la auditoría.
El auditor debe informar las deficiencias al nivel apropiado de la administración, el cual
se encargue del manejo del control interno; cuando existe alguna deficiencia que ponga
en duda la integridad y competencia de la administración, el auditor deberá dirigirse
directamente a los encargados del manejo corporativo.

 Comunicación de deficiencias:
El auditor deberá determinar si se han presentado una o más deficiencias en el control
interno durante el desarrollo de la auditoria, analizando así su importancia e influencia
en los estados financieros. Una vez establezca las deficiencias, deberá comunicarlas por
escrito oportunamente a los encargados del gobierno corporativo y administración de la
entidad, incluyendo una descripción de las deficiencias y explicación de los efectos,
para que se puedan tomar las acciones correctivas oportunamente. La comunicación
tendrá una forma y contenido que establecerá el auditor de acuerdo a la naturaleza de la
entidad, teniendo en cuenta las políticas o requisitos legales específicos de deficiencia
en el control interno. Es importante aclarar que el auditor no expresara una opinión
sobre la efectividad del control interno, si no que reportara las deficiencias que
encuentre y que afectan los estados financieros para que la administración implemente
una acción correctiva.
Recomendaciones a la hora de emitir cartas de deficiencias en el control interno al
gobierno corporativo y a la administración.
Las sugerencias deben estar enfocadas a fortalecer el sistema de control interno y a
promover la eficiencia y eficacia de las operaciones.
Es recomendable elaborar dos cartas, una dirigida a la alta gerencia (Consejo de
Administración y/o presidente) en donde se presentan las oportunidades de mejora
identificadas con impacto alto para la organización y otra dirigida al director financiero
y/o contador en donde se expone el detalle de los resultados, es decir, tanto las
oportunidades con impacto alto como medio.
La estructura de la carta de recomendaciones debe incluir, una introducción, el objetivo,
el alcance, los procedimientos adelantados por el equipo auditor, la conclusión general
sobre el informe, el detalle de las oportunidades de mejora identificadas, el riesgo y la
calificación del riesgo que dichas oportunidades representan para la organización, las
recomendaciones que permiten corregir las situaciones observadas y las cuales deben
orientarse a la causa raíz que originó la oportunidad de mejora y los planes de acción.
La materia prima para estructurar las recomendaciones deben ser las Buenas Prácticas.

El Control Interno y la Auditoría Financiera 16

La oportunidad de mejora debe contener información suficiente para que el lector pueda
determinar la magnitud del asunto, tales como, el alcance, irregularidades observadas,
fechas, valores, etc.
Las cartas de recomendación deben ser oportunas.
La redacción de las cartas debe ser breve, concreta y fácil de entender.
Buena redacción y buena ortografía.
Todas las oportunidades de mejora deben ser validadas con los dueños del área.
El título de cada hallazgo debe ser el mensaje principal.
Los hallazgos se deben organizar de mayor a menor importancia y si es posible por
áreas.
El auditor debe establecer un proceso de seguimiento para vigilar y asegurar que las
acciones correctivas hayan sido implementadas de forma eficaz o que la administración
haya aceptado el riesgo de no tomar medidas, situación que deberá ser informada a la
alta gerencia.

BIBLIOGRAFIA

 Mendívil, Séptima edición- Elementos de la Auditoría.

 Whittington, Pany, Decimocuarta edición- Principios de Auditoría.
 Arens, Alvin, Decimoprimera edición- Auditoría, Un Enfoque Integral.
 Editorial Oceano-Enciclopedia de la Auditoría.
 NIAs. 260, 265, 315 y 320
 Web grafía:
https://eumed.net/rev/ce/2018/4/control-interno-contemporaneo.html
https://www.rsm.global/peru/es/aportes/blog-rsm-peru/diferencias-entre-la-
auditoria-interna-y-auditoria-externa
https://www.monografias.com/trabajos42/componentes-control-
interno/componentes-control-interno2.shtml

El Control Interno y la Auditoría Financiera 17