FUNDACION COMUNAL DE SECHURA - Diagnostico Coso 2013

PROGRAMA DE TRABAJO REVISIÓN O IMPLEMENTACIÓN COSO 201
(instrucciones para su diligenciamiento)
Para evaluar el control interno sobre reporte financiero la entidad ha seleccionado el marco integrado de control interno de
actualización sobre el marco lo cual, hace imperativo actualizar nuestro proceso de evaluación frente a la nueva versión d
transición que vence el 15 de diciembre de 2014, por lo anterior, se ha definido este programa de trabajo diagnóstico fren
de identificar brechas definir planes de acción y responsables.
1. Recomendaciones/aclaraciones generales:
Por favor, siga los lineamientos generales que se describen a continuación, estos contribuyen en el proceso de consolida
- Lea y siga cuidadosamente los lineamientos que se establecen en este instructivo para el diligenciamiento de cada uno
- No modifique la estructura del archivo cambiando las listas desplegables predefinidas ni las formulaciones incluidas en
no es válido incluir respuestas diferentes a las opciones dadas por la lista desplegable.
- Así mismo, conserve el orden de las columnas, pestañas, y títulos de las columnas.
- No incluya columnas adicionales sobre los formatos establecidos en cada una de las hojas del archivo.
- Si requiere la adición de filas, asegure que se conserva la estructura de los formatos (listas desplegables, "merge de ce
- Tenga en cuenta que este programa de trabajo se constituye en nuestro principal soporte frente a la evaluación de COS
debe cumplir con parámetros mínimos de calidad y estructura que permitan una adecuada consolidación y conclusión por
pueda ver soportada nuestra evaluación y conclusiones a través de este documento.
- Este programa de trabajo diagnóstico será diligenciado asegurando el cubrimiento a cada uno de los objetivos (Reporte
2. Instrucciones:
El archivo de diagnóstico contiene las siguientes hojas:
- Instructivo: Instrucciones generales para el diligenciamiento de las diferentes secciones del diagnóstico.
- Pestañas por cada uno de los componentes de control interno: "Ambiente de Control", "Evaluación de riesg
Supervisión". Estas 5 pestañas cuentan todas con la misma estructura. A través de éstas se evaluará frente a los principi
cubrimiento de cada una de las Entidades. A continuación se describe el diligenciamiento de cada uno de los campos que
Columna Descripción
Esta columna transcribe los principios y sus puntos de enfoque suger
Principio X: 2013 para cada uno de los componentes de control interno. Debajo d
principios y puntos de enfoque se incluyen preguntas específicas que
Punto de enfoque X: Entidades en el proceso de determinar el nivel de cubrimiento frente a
del punto de enfoque señalado por COSO.
Esta columna complementa los requerimientos establecidos en la col
Busca brindar mayor detalle para que las Entidades puedan entender
solicitado y determinar de manera más eficiente la forma como dan c
uno de los requerimientos establecidos en el programa de trabajo. Lo
indicados en esta columna no son mandatorios y es viable que en su
ORIENTACIÓN ADICIONAL diagnóstico las Entidades identifiquen que cuentan con otros impleme
su evaluación contribuyen en el cubrimiento del punto de enfoque sug
En esta columna se debe diligenciar el nombre del área que da respu

requerimiento y el cargo responsable separado por "/".
RESPUESTA DEL ÁREA
Nombre del Área / Cargo

Responsable
Diligenciar con el nivel de detalle suficiente la manera como la Entida

cubrimiento al requerimiento que se está evaluando. La redacción en
ser lo suficientemente específica para que cualquier lector entienda y
Explicación amplia de cómo la
mismas conclusiones en relación con el cubrimiento del requerimient
Entidad está dando respuesta al
requerimiento
De acuerdo con lo identificado como resultado dela evaluación del re

seleccione de la lista desplegable 1, 2 o 3 de acuerdo con las siguien
1 - No existen actividades diseñadas para cubrir el requerimiento.
2 - Existen actividades diseñadas pero éstas no se encuentran docum
políticas/procedimientos.
Presente 3 - Las actividades se encuentran diseñadas y documentadas de acu
requerimiento.
Consecutivo para identificar la evidencia que se identifica cubre el req

No. señalado.
Indicar el nombre del manual, política, procedimiento o instructivo en

documentado el control identificado. Por favor, incluya la información
"Nombre del documento; numeral/literal de la actividad".
Es muy importante documentar en esta sección el numeral específico

donde se hace referencia al control identificado. Así mismo, durante e
Referencia a Dueños en el diagnostico, debemos asegurar que efectivamente el co
EVIDENCIA DEL CONTROL
Manual/Política/Procedimiento/Instr documentado según nos indiquen y que el manual/política/procedimie

uctivo encuentre publicado pues de no ser así, esto nos llevaría a establece
de mejora.
Seleccione de la lista desplegable "Si" o "No". Si la actividad no está

¿La actividad de control está en la de Riesgos de Controles a Nivel de Entidad, como acción inmediata,
matriz de Riesgos de Controles a ser incorporado a la matriz y se deberá documentar.
Nivel de Entidad?
EVID
Diligencie el nombre de la matriz de Riesgos de Controles a Nivel de
se encuentra incluido el control y el código/identificador del control se
Referencia Matriz de Riesgos de la actividad no está documentada aun en la matriz, escriba "N/A" y do
Controles a Nivel de Entidad. oportunidad de mejora correspondiente en la hoja de "Deficiencias".
Seleccione de la lista desplegable "√" para el/los objetivo (s) de COS
OBJETIVOS COSO
Operación actividad identificada. Para tal efecto en los objetivos de Reporte, ten
siguientes nomenclaturas:
- FE (Sox): Reporte Financiero Externo.
Reporte - NFE: Reporte No Financiero Externo.
- FI: Reporte Financiero Interno.
- NFI: Reporte No Financiero Externo.
Cumplimiento
Seleccionar de la lista desplegable 1, 2 o 3 de acuerdo con los siguie

basado en los resultados reportados por la Auditoría Interna:
1 - El control no opera como está descrito.
Funcionando 2 - El control opera como está descrito pero con algunas observacion
3- El control opera como está descrito, sin observaciones.
- Deficiencias: Esta hoja está compuesta por los siguientes campos, que deben diligenciarse como se describe a conti
Columna Descripción
DEFICIENCIA No. Id consecutivo para identificar las deficiencias.
Todos los requerimientos señalados en cada una de las hojas

componentes (:"Ambiente de Control", "Evaluación de riesgos"
control", "Información y Comunicación", y "Monitoreo - Supervi
con un identificador único. Por ejemplo en la hoja "Ambiente d
requerimiento 1.3.1 corresponde a "¿Existen y se aplican polít
alta gerencia y la Junta Directiva evalúen y monitoreen la adhe
conducta?".
Id. Requerimiento
Para las deficiencias identificadas, en este columna seleccione
desplegable el identificador del requerimiento del que se deriv
de mejora.
FUENTE DE LA DEFICIENCIA
Esa columna se diligencia de manera automática de acuerdo c

Requerimiento seleccionado. Por favor, no altere la formulació
Componente manera manual documentación en esta columna.

Principio manera manual documentación en esta columna.

Descripción del principio manera manual documentación en esta columna.

Punto deInteres manera manual documentación en esta columna.
Descripción del punto de interes. manera manual documentación en esta columna.
DESCRIPCIÓN DE LA DEFICIENCIA En esta columna documente con el suficiente nivel de detalle,

identificada.
RESPONSABLE Incluya en esta columna Nombre completo y cargo del funcion

por la implementación del plan de mejora que cerrará la oportu
mejora/deficiencia identificada siguiendo el formato: Nombre c
PLAN DE REMEDIACIÓN Describa con el suficiente nivel de detalle las acciones que ser
implementadas para cerrar la oportunidad de mejora/deficienc
FECHA MAXIMA DE REMEDIACIÓN Bajo el formato DD/MM/AAAA incluya la fecha máxima acorda
responsable, en que estarán implementados los planes de rem
establecidos. Tenga en cuenta que la fecha de remediación de
oportunidades de mejora identificadas no puede ser posterior
diciembre de 2014, el cual debe estar presente y funcionando.
- Glosario: Definiciones de algunos términos asociados con control interno y utilizados a través del plan de trabajo.
MPLEMENTACIÓN COSO 2013
genciamiento)
ado el marco integrado de control interno de COSO (en adelante, el marco). En mayo de 2013, COSO liberó una
o de evaluación frente a la nueva versión del mismo (Conocida como COSO 2013). Este proceso tiene un período de
o este programa de trabajo diagnóstico frente al cumplimiento de los aspectos contenidos en dicho marco con el fin
tos contribuyen en el proceso de consolidación de resultados y evaluación consolidada del Grupo:

uctivo para el diligenciamiento de cada uno de los campos.
definidas ni las formulaciones incluidas en el archivo. En el caso de los campos con listas desplegables predefinidas,
plegable.
umnas.
na de las hojas del archivo.
ormatos (listas desplegables, "merge de celdas").
cipal soporte frente a la evaluación de COSO 2013, por lo tanto, la documentación y estructuración de este papel
a adecuada consolidación y conclusión por parte de la entidad y que cualquier ente de control (interno o externo)
mento.
miento a cada uno de los objetivos (Reporte, Operativo y Cumplimiento)
ntes secciones del diagnóstico.

Ambiente de Control", "Evaluación de riesgos", "Actividades de control", "Información y Comunicación", y "Monitoreo -
és de éstas se evaluará frente a los principios y puntos de enfoque planteados por COSO 2013, el nivel de
nciamiento de cada uno de los campos que hacen parte del formato para cada uno de los componentes.
Descripción
ibe los principios y sus puntos de enfoque sugeridos por COSO
de los componentes de control interno. Debajo de cada uno de los
e enfoque se incluyen preguntas específicas que buscan guiar a las
eso de determinar el nivel de cubrimiento frente a los requerimientos
señalado por COSO.
ementa los requerimientos establecidos en la columna anterior.
detalle para que las Entidades puedan entender el requerimiento
ar de manera más eficiente la forma como dan cubrimiento a cada
entos establecidos en el programa de trabajo. Los aspectos
umna no son mandatorios y es viable que en su proceso de
ades identifiquen que cuentan con otros implementados que según
uyen en el cubrimiento del punto de enfoque sugerido por COSO.
debe diligenciar el nombre del área que da respuesta al

rgo responsable separado por "/".
el de detalle suficiente la manera como la Entidad está dando

imiento que se está evaluando. La redacción en esta columna debe
e específica para que cualquier lector entienda y llegue a las
en relación con el cubrimiento del requerimiento.
entificado como resultado dela evaluación del requerimiento,

desplegable 1, 2 o 3 de acuerdo con las siguientes definiciones:
ades diseñadas para cubrir el requerimiento.
s diseñadas pero éstas no se encuentran documentadas en las
tos.
e encuentran diseñadas y documentadas de acuerdo con el
ntificar la evidencia que se identifica cubre el requerimiento
manual, política, procedimiento o instructivo en donde se encuentra

rol identificado. Por favor, incluya la información en el formato:
nto; numeral/literal de la actividad".
ocumentar en esta sección el numeral específico del documento en

ncia al control identificado. Así mismo, durante el apoyo a los
stico, debemos asegurar que efectivamente el control esté
nos indiquen y que el manual/política/procedimiento/instructivo se
pues de no ser así, esto nos llevaría a establecer una oportunidad
desplegable "Si" o "No". Si la actividad no está incluida en la matriz

oles a Nivel de Entidad, como acción inmediata, el control deberá
matriz y se deberá documentar.
de la matriz de Riesgos de Controles a Nivel de Entidad, en donde
el control y el código/identificador del control separados por ";". Si
ocumentada aun en la matriz, escriba "N/A" y documente la
a correspondiente en la hoja de "Deficiencias".
desplegable "√" para el/los objetivo (s) de COSO cubiertos por la

. Para tal efecto en los objetivos de Reporte, tenga en cuenta las
uras:
Financiero Externo.
inanciero Externo.
ero Interno.
nanciero Externo.
a desplegable 1, 2 o 3 de acuerdo con los siguientes criterios y

dos reportados por la Auditoría Interna:
ra como está descrito.
omo está descrito pero con algunas observaciones.
omo está descrito, sin observaciones.
eben diligenciarse como se describe a continuación:
Descripción
dentificar las deficiencias.
ientos señalados en cada una de las hojas de los

mbiente de Control", "Evaluación de riesgos", "Actividades de
ón y Comunicación", y "Monitoreo - Supervisión") cuentan
r único. Por ejemplo en la hoja "Ambiente de Control", el
1 corresponde a "¿Existen y se aplican políticas para que la
unta Directiva evalúen y monitoreen la adhesión al código de
as identificadas, en este columna seleccione de la lista

ntificador del requerimiento del que se derivó la oportunidad
igencia de manera automática de acuerdo con el Id.

eccionado. Por favor, no altere la formulación ni incluya de
cumentación en esta columna.



ocumente con el suficiente nivel de detalle, la deficiencia
umna Nombre completo y cargo del funcionario responsable

ión del plan de mejora que cerrará la oportunidad de
dentificada siguiendo el formato: Nombre completo (Cargo).
iciente nivel de detalle las acciones que serán

a cerrar la oportunidad de mejora/deficiencia identificada.
/MM/AAAA incluya la fecha máxima acordada con el

e estarán implementados los planes de remediación
a en cuenta que la fecha de remediación de las
mejora identificadas no puede ser posterior al 15 de
el cual debe estar presente y funcionando.
utilizados a través del plan de trabajo.

AMBIENTE DE CONTROL
El ambiente de control proporciona una atmósfera en la que la gente realiza sus actividades y lleva
disciplina y estructura. Los factores del ambiente de control incluyen la integridad, valores éticos y la
desarrolla a su gente y la atención y dirección proporcionada por el Comité de Auditoría y el Consej
Principio 1: La Organización demuestra

compromiso con la integridad y los valores éticos.
Punto de Interes 1: Establece el ("Tone at the

Top").
1.1.2 ¿La actitud de la gerencia ante la intervención

o vulneración de controles establecidos está
alineada con los principios y valores éticos
establecidos para la entidad?
Principio 1: La Organización demuestra

compromiso con la integridad y los valores éticos.
Punto de Interés 4:Aborda cualquier desviación de

forma oportuna.
Punto de Interés 4:Aborda cualquier desviación de
forma oportuna.
1.4.3 ¿Existen mecanismos y herramientas a nivel

de entidad y de grupo para que funcionarios y
terceros interesados puedan reportar actividades
alejadas de los estándares de conducta?
Principio 2. El consejo de administración (Junta

Directiva y/o Comité de Auditoria) demuestra
independencia de la dirección y ejerce la
supervisión del desempeño del Sistema de Control
Interno.
Punto de Interés 6: Aplica los conocimientos

especializados relevantes.
2.6.1 ¿La Junta Directiva / Comité de Auditoría está

conformado por individuos con las habilidades,
experiencia y conocimiento apropiados para analizar
los temas que les competen?
Principio 2. El consejo de administración (Junta
Directiva y/o Comité de Auditoria) demuestra
independencia de la dirección y ejerce la
supervisión del desempeño del Sistema de Control
Interno.
Punto de Interes 8:Proporciona supervisión para el

sistema de Control Interno.
2.8.3 ¿La Junta Directiva / Comité de auditoría

mantiene comunicación permanente con auditores
internos y externos?
Principio 3. La dirección establece, con la

supervisión del consejo (Junta Directiva y/o Comité
de Auditoria), las estructuras, las líneas de reporte y
los niveles de autoridad y responsabilidad
apropiados para la consecución de los objetivos.
Punto de Interés 9: Tiene en cuenta todas las

estructuras de la organización.
3.9.1 ¿La dirección se asegura de que se hayan

establecido una adecuada segregación de
funciones especialmente en cargos y funciones
críticas dentro de la entidad?

Punto de Interés 11: Define, asigna y limita

facultades y responsabilidades
3.11.1 ¿Se cuenta con manuales de descripciones

de cargos y acuerdos de servicio para terceros
basados en la delegación de autoridad?
de cargos y acuerdos de servicio para terceros
basados en la delegación de autoridad?
Principio 4. La Organización demuestra

compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los
objetivos de la organización.
Punto de Interés 12: Establece políticas y

prácticas.
4.12.1 ¿Existen y se aplican políticas y
procedimientos para contratar, entrenar, promover y
compensar a los empleados?
Principio 4. La Organización demuestra

compromiso para atraer, desarrollar y retener a
profesionales competentes, en alineación con los
objetivos de la organización.
Punto de Interés 14: Atrae, desarrolla y retiene a

profesionales.
4.14.1 ¿Existen políticas claras para reclutar y
retener funcionarios en áreas técnicas clave
(tesorería, riesgos, contabilidad, impuestos)?
Principio 5. La Organización define las

responsabilidades de las personas a nivel de control
interno para la consecución de los objetivos.
Punto de Interés 17: Establece parametros de

desempeño, incentivos y recompensas.
5.17.1 ¿Se han definido indicadores de medición de

desempeño, cumplimiento y comportamiento y se
han asociado a incentivos y recompensas?

Punto de Interes 19: Tiene en cuenta las presiones

excesivas.
Punto de Interes 20: Evalúa el desempeño y

Punto de Interes 19: Tiene en cuenta las presiones

excesivas.
Punto de Interes 20: Evalúa el desempeño y

recompensa o aplica medidas disciplinarias a los
profesionales oportunos.
5.19.1 ¿Se tienen establecidas políticas de

monitoreo a indicadores de cumplimiento, así como
a sus incentivos y recompensas?
a una atmósfera en la que la gente realiza sus actividades y lleva a cabo sus responsabilidades de control. Establece
s del ambiente de control incluyen la integridad, valores éticos y la competencia (capacidad) de la gente de la entida
y dirección proporcionada por el Comité de Auditoría y el Consejo de Administración.
ORIENTACIÓN ADICIONAL
- El compromiso con la integridad y ética por parte de la

Gerencia debe comunicarse de manera apropiada a través de
toda la organización, tanto en palabras como en hechos. La
Gerencia toma acciones para remover o reducir los incentivos
relacionados con la comisión de actos deshonestos o
antiéticos ya identificados.
- La Junta Directiva debe establecer un tono adecuado de

conducta ética y moral, debe ratificar la adherencia de la
Gerencia a su tono y emitir directivas relacionadas con los
incidentes que puedan contravenir el cumplimiento con altos
estándares de integridad y ética. Así como realizar
seguimiento a dichos incidentes.
- Las violaciones serias al código de ética y conducta (pej:

fraude interno) son informadas/comunicadas por la Gerencia a
toda la organización para demostrar el compromiso de la
Entidad en relación con el cumplimiento de los más altos
estándares.
La Entidad cuenta con una mecanismos para que los

empleados y terceros puedan reportar de manera anónima
posibles incumplimientos al código de ética y conducta.
- Al seleccionar los miembros de la Junta Directiva/Comité de

Auditoría y la Administración, se sigue un proceso detallado
para asegurar la selección de los mejores candidatos,
incluyendo el asegurar que estos cumplen con los principios y
valores éticos establecidos por la entidad, y los requerimientos
de independencia. En el caso de los miembros de la Junta
Directiva/Comité de Auditoría el proceso busca que los
candidatos hayan ocupado cargos ejecutivos o hayan sido
miembros de junta en organizaciones similares y tengan las
cualificaciones profesionales adecuadas, permitiendo que la
experiencia y áreas específicas de conocimiento de los
miembros de la Junta Directiva/Comité de Auditoría sean
apropiados para permitirles retar de manera constructiva a la
Gerencia y presentar puntos de vista y soluciones alternos.
- Periódicamente a través de evaluaciones independientes o

valores éticos establecidos por la entidad, y los requerimientos
de independencia. En el caso de los miembros de la Junta
Directiva/Comité de Auditoría el proceso busca que los
candidatos hayan ocupado cargos ejecutivos o hayan sido
miembros de junta en organizaciones similares y tengan las
cualificaciones profesionales adecuadas, permitiendo que la
experiencia y áreas específicas de conocimiento de los
miembros de la Junta Directiva/Comité de Auditoría sean
apropiados para permitirles retar de manera constructiva a la
Gerencia y presentar puntos de vista y soluciones alternos.
- Periódicamente a través de evaluaciones independientes o

autoevaluaciones, los miembros de la Junta Directiva/Comité
de Auditoría evalúan y confirman lo adecuado de su
composición, la independencia de sus miembros, lo apropiado
de sus habilidades, conocimiento, experiencia, cumplimiento
de responsabilidades, principios y valores éticos establecidos
para la Entidad.
- Los miembros de la Junta Directiva/Comité de Auditoría

reciben inducción formal a su ingreso. Así mismo, de manera
regular, participan en sesiones de entrenamiento con el
objetivo de mantener sus habilidades y conocimiento.
- Los miembros de la Junta Directiva/Comité de Auditoría,

cuando se requiera, tienen acceso a asesoría profesional
independiente con cargo al gasto de la Entidad.
La Junta Directiva/Comité de Auditoría se reúne

periódicamente con auditores internos y externos (de acuerdo
con la programación definida o antes en caso de requerirse),
para discutir las deficiencias de control significativas y
aspectos clave relacionados con: factores de riesgo clave para
la organización, alcance de la auditorías y planes de prueba,
análisis para la definición de la materialidad, cambios en
políticas contables, asunciones en modelos y cálculos,
organización y cultura, evaluación de la gerencia en relación
con el control interno sobre el reporte financiero, entre otros.
Estas reuniones se documentan apropiadamente (pej:
mediante actas) y se realiza seguimiento a los aspectos clave
identificados en las mismas para asegurar la implementación
de las medidas de corrección necesarias.
- La Entidad cuenta con una (s) política (s) explícita (s) de

delegación de autoridad que detalla montos y niveles de
aprobación de transacciones para un amplio espectro de
operaciones críticas dentro de la Entidad. Estas políticas son
revisadas y actualizadas periódicamente para reflejar los
cambios en el negocio y cualquier modificación a las mismas
debe estar aprobado por un nivel apropiado de la Gerencia.
- La Entidad cuenta con descripciones de cargo que detallan

los niveles de autoridad y responsabilidad de los mismos. En
la definición de dichos perfiles y asignación de los mismos a
los funcionarios, la Gerencia considera el impacto de dichas
asignaciones sobre el ambiente de control de la entidad y la
importancia de una adecuada segregación de funciones. La
entidad ha establecido un proceso para mantener actualizadas
dichas definiciones de cargo de acuerdo con los cambios que
se dan en la Entidad.
- Para cargos críticos (incluyendo posiciones clave para el

reporte financiero), la Junta Directiva revisa las descripciones
de cargo en relación con los niveles de autoridad y
responsabilidad y evalúa como dichas asignaciones pueden
afectar el control interno de la Entidad tomando las acciones
que correspondan.
- Existen y son comunicados, manuales de funciones y/o

cargos en especial para aquellos cargos críticos dentro del
sistema de control interno.
- Los contratos con terceros prestadores de servicios incluyen

claramente cuáles son sus responsabilidades y atribuciones.
- Las actividades se encuentran segregadas para asegurar

que la misma persona no pueda inicializar, registrar, procesar
y reportar transacciones, disponer de activos o aceptar
pasivos.
cargos en especial para aquellos cargos críticos dentro del
- Los contratos con terceros prestadores de servicios incluyen

claramente cuáles son sus responsabilidades y atribuciones.
- Las actividades se encuentran segregadas para asegurar

que la misma persona no pueda inicializar, registrar, procesar
y reportar transacciones, disponer de activos o aceptar
pasivos.
- Hay procedimientos para identificar terceras partes y

posibles conflictos de interés.
- Se tienen definidos los rangos de transacciones asociados

con límites de autorización que han sido establecidos por la
Compañía.
- Existen políticas de reclutamiento de personal que incluyen

entrevistas y verificación de información tanto académica
como personal (cultura y estilo de administración) para
asegurar que las contratación se realizan a quienes se alinean
a los perfiles esperados en la Entidad.
- Existen políticas claras con la definición de los estándares

mínimos que deben cumplir los candidatos con el objeto de
alcanzar un nivel aceptable de competencia.
- Existen políticas claras de entrenamiento basado en

necesidades del negocio y de cada cargo.
- Existen políticas de promoción alineadas con un plan definido

de reemplazos permanente.
- Existen políticas claras y divulgadas de compensación (en

dinero y especie), alineadas con los objetivos estratégicos de
la organización, así como con los objetivos propios de cada
cargo, incluyendo políticas de remuneración variable.
- Existen políticas de reclutamiento de personal técnico
especializado que incluyen entrevistas y verificación de
información tanto académica como personal (cultura y estilo de
administración) para asegurar que se contratan funcionarios
que se alinean con los perfiles esperados en la Entidad.
- Existen políticas claras que definen los estándares mínimos

que deben cumplir los candidatos a cargos técnicos
especializados con el objeto de alcanzar un nivel aceptable de
competencia.
- Existen políticas claras de entrenamiento basado en las

necesidades del negocio y de cada cargo técnico
especializado.
- Existen políticas y prácticas para motivar y retener

colaboradores en cargos críticos técnicos y/o especializados.
- La Gerencia ha definido indicadores clave de desempeño

para cada área alineados con las metas asignadas (P. ej.
comerciales, operativas).
- La definición de indicadores clave de desempeño incluye el

nivel de detalle, fuente y periodicidad con que deben ser
monitoreados.
- Se cuenta con indicadores clave de comportamiento

asociados con la adhesión a estándares éticos esperados y al
cumplimiento de políticas internas.
- Los indicadores clave de desempeño se revisan

periódicamente para realizar modificaciones de acuerdo con
cambios en negocio, en sus metas y estructura.
- El plan de promoción / sucesión y de recompensa (salarial y

en especie) está ligado al resultado de los indicadores clave
de desempeño.
- La gerencia monitorea permanentemente el cumplimiento de

metas, más allá del presupuesto (p. ej otros indicadores clave
de calidad de cartera y no solo cumplimiento de desembolsos).
- Se cuenta con indicadores clave que asocian los incentivos y

recompensas otorgadas con el cumplimiento de metas por
área y cargo.
- El Comité de recompensas (o quien haga sus veces) realiza

análisis en los que se vinculan los indicadores clave de
cumplimientos con resultados de evaluaciones de desempeño
y asignaciones de recompensas o salarios variables, entre
otros.
ades y lleva a cabo sus responsabilidades de control. Establece el sentir de una organización, influyendo en la conci
es éticos y la competencia (capacidad) de la gente de la entidad; ideología y estilo de operación de la administración
y el Consejo de Administración.
RESPUESTA DEL ÁREA
Explicación amplia de cómo la Entidad está

Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Tume Iman Melissa Raquel /tesorera Si, la gerencia establece controles y acciones para
reducir los actos fraudulentos y deshonestos, hace
seguimiento de los incidentes que pudiecen haber,
ademas realiza controles en el codigo de etica y
conducta lo cual cualquier acto deshonesto es
comunicado a toda la organizacion.
RESPUESTA DEL ÁREA

Tume Iman Melissa Raquel /tesorera

Chunga González Karolina/Secretaria en área
técnica si, la entidad cuenta con el manual de codigo de
Gómez amaya Julio/Jefe de maquinaria etica en donde indica las acciones de conductas
prohibidas y como reportar actividades no eticas.la
Heidy celeste tume Bayona/Asistente del área de cultura ética de la compañía. Ayuda a priorizar
la fundación comunal principios y valores de la empresa. Establece que
Llenque Querevalu kathy /asistente de tesoreria es lo que la compañía espera de sus
colaboradores y que es lo que ellos pueden
Amaya Chapa Nestor Efraín/gerente general esperar de la compañía. El Código de Ética es
MARCO Amaya Morales/Jefe de imagen una guía a seguir para la toma de decisiones.
Institucional
RESPUESTA DEL ÁREA

Morales vegas henry alexander/Director de pesca
si, son profesionales competentes para poder

desarrollar el servicio de Auditoria con estas
capacidades, se sigue un proceso detallado para
asegurar la selección de los mejores candidatos.El
comité de auditoría, para cumplir con este
cometido,elabora un plan completo, que toma en
consideración todos los elementos que
si, son profesionales competentes para poder
desarrollar el servicio de Auditoria con estas
Antón paiva Pamela Marianella/Asistente área de co
capacidades, se sigue un proceso detallado para
asegurar la selección de los mejores candidatos.El
comité de auditoría, para cumplir con este
cometido,elabora un plan completo, que toma en
Gómez amaya Julio/Jefe de maquinaria consideración todos los elementos que
intervienen, desde la oportunidad en el tiempo, los
servicios y hasta los elementos de juicio que
pondrá en juego, así como las bases para la
negociación de los precios. la entidad realiza un
Heidy celeste tume Bayona/Asistente del área de l proceso de licitación o concurso ordenado y
profesional, que le permite comparar
objetivamente las propuestas, que explique
claramente las necesidades/servicios que se
pretenden y que detalle el proceso que seguirán
Llenque Querevalu kathy/Asistente de tesorería
internamente para determinar al ganador del
concurso.
MARCO Amaya Morales/Jefe de imagen Institucion
Zelada Davila Edgar/Jefe de Oficina Tecnica
RESPUESTA DEL ÁREA

Chunga quiroga pedro/Jefe área logística
Gómez amaya Julio /Jefe de maquinaria Si mantiene relacion comunicativa atraves de

reuniones presenciales, virtuales, teléfonos,
Amaya Chapa Nestor Efraín /Gerente General correos, etc para ver la auditoria de la institución
RESPUESTA DEL ÁREA

Gómez amaya Julio /Jefe de maquinaria
Amaya Chapa Nestor Efraín/gerente general
si, la entidad incorpara a personal idoneo para

MARCO Amaya Morales/Jefe de imagen Institucion ocupar puestos con alto grado de responsabilidad
lo cual deben ser personas con etica profesional
ademas sus funciones estan segregadas lo cual
Zelada Davila Edgar/Jefe de Oficina Tecnica reduce el riesgo que esas personas cometan
fraudes.
RESPUESTA DEL ÁREA

Chunga González Karolina/Secretaria en área técni
Heidy celeste tume Bayona/Asistente del área de l
la entidad cuenta con un MOF implementado sin

la entidad cuenta con un MOF implementado sin

embargo algunas veces no se respetan las
funciones a realizar por el personal, por lo que
esto conlleva a que no haya una buena
organización y control de las funciones a cargo.
RESPUESTA DEL ÁREA

si, se realizan capacitaciones al personal

Gómez amaya Julio /Jefe de maquinaria
asimismo se ha implementado la politica salarial lo
cual va permitir que las personas puedan
ascender de puesto y tener crecimiento
profesional de acuerdo a sus logros.
Amaya Chapa Nestor Efraín /Gerente General
RESPUESTA DEL ÁREA

Morales vegas henry alexander/Director de pesca
si, la entidad cuenta con un manual de politicas de

recursos humanos, lo cual le permite tener un
reclutamiento idoneo del personal , inducciones,
capacitaciones y evaluacion de desempeño en
funciones.
Amaya Chapa Nestor Efraín /Gerente General
RESPUESTA DEL ÁREA

Sernaque Nunura Fiorella/Externa
la entidad tiene implementado la politica salarial ,

pero aun falta que se establezcan indicadores y
monitores de los desempeños de cada cargo,
como las revisiones periodicas para realizar
recompenzas al empleado.
RESPUESTA DEL ÁREA

Gómez amaya Julio /Jefe de maquinaria si, gerencia monitorea el cumplimiento de las
metas asimismo las asignaciones de recompensas
Heidy celeste tume Bayona/Asistente del área de l y salarios

zación, influyendo en la conciencia de control de su gente. Es el fundamento de todos los demás componentes del c
operación de la administración; la manera en que la administración asigna autoridad y responsabilidad, así como tam

Presente
(1/2/3)
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
3 1 procedimiento basado en aspactos normativos y disciplinarios para

que se haga cumplir el codigo de etica

sente
/2/3)
Presente
(1/2/3)
No.
revision de cumplimiento del Manual de código de ética de la

1
empresa
2
4
3
5

Presente
(1/2/3)
No.
1 Proceso de licitacion para el contrato de auditores externos
2
3

Presente
(1/2/3)
No.
1 procedimientos realizados atraves de verificacion de correos
4
3
5

Presente
(1/2/3)
Presente
(1/2/3)
No.
revision de los accesos al sistema operativo asimismo evaluar

1
el cumplimiento continuo de las funciones realizadas.

Presente
(1/2/3)
No.
revision de las funciones del personal a cargo y tareas

1
asignadas, verificacion del cumplimiento de metas.
2
3
4
1
5

Presente
(1/2/3)
No.
1 Revision de la politica salarial en la entidad
4
3
5

Presente
(1/2/3)
No.
1 supervision y monitoreo al jefe de recursos humanos
4
3
5

Presente
(1/2/3)
No.
Revision en el area de recursos humanos sobre la politica

1
salarial
4
2
5

Presente
(1/2/3)
Presente
(1/2/3)
No.
1 verificacion de las politicas de monitoreo en gerencia
4
3
5
8
ás componentes del control interno, proporcionando
bilidad, así como también la manera en que organiza y
OBJETIVOS COSO
Reporte Funcionando
(1/2/3)
Cumplimiento
Operación
FE
NFE FI NFI
(Sox)
√ √ √ 3
OBJETIVOS COSO
ionando
/2/3)
√
Operación Operación
√
FE
FE
(Sox)
(Sox)
NFE
NFE
Reporte
Reporte
FI
FI
OBJETIVOS COSO
NFI
NFI
√
√
Cumplimiento Cumplimiento
Funcionando Funcionando
3
(1/2/3) (1/2/3)
3
OBJETIVOS COSO
Funcionando
Reporte
Cumplimiento
(1/2/3)
Operación
FE
NFE FI NFI
(Sox)
√ √ √
OBJETIVOS COSO
ncionando
(1/2/3)
√
√
FE
FE
(Sox)
(Sox)
NFE
NFE
√
√
Reporte
Reporte
FI
FI
OBJETIVOS COSO
NFI
NFI
√
√
3
(1/2/3) (1/2/3)
√
FE
FE
(Sox)
(Sox)
NFE
NFE
Reporte
Reporte
FI
FI
OBJETIVOS COSO
OBJETIVOS COSO
NFI
NFI
√
3
2
(1/2/3) (1/2/3)
√ √ √
OBJETIVOS COSO
Funcionando
Cumplimiento
Reporte
(1/2/3)
Operación
FE
NFE FI NFI
(Sox)
√ √ √
OBJETIVOS COSO
Funcionando
(1/2/3)
√
Operación
FE
(Sox)
NFE
√
Reporte
FI
NFI
Cumplimiento
Funcionando
3
(1/2/3)
EVALUACIÓN DE RIESGOS
La evaluación y administración de riesgos
es el proceso que realiza la entidad para
identificar y analizar los riesgos relevantes
(tanto internos, como externos) para el
logro de sus objetivos. Adicionalmente, el
proceso provee a la entidad las bases para
determinar
Principio 6. La la Organización
forma de administrar sus
define los objetivos
riesgos.
con La precondición
suficiente para la
claridad para permitir evaluación
la identificación
yde riesgos de
evaluación es los
el establecimiento
riesgos relacionados.de
objetivos, vinculados a varios niveles de la
Objetivos
entidad. Si Operacionales
bien la definición de estrategias
yPunto
objetivos
de Intereses
no 21:parte dellas
Reflejan proceso de de la
decisiones
control interno, como parte de este, la
dirección.
gerencia específica objetivos y los agrupa
en categorías en todos los niveles de la
entidad, en relación con las operaciones, ORIENTACIÓN ADICIONAL
reporte, y cumplimiento. El agrupamiento
de los objetivos en estas categoría permite
que los riesgos relacionados con el logro
de dichos objetivos, sean identificados y
evaluados.
6.21.1 ¿Se han definido objetivos operativos y estos - La Entidad cuenta con mecanismos para vincular
reflejan las decisiones de la gerencia en relación o relacionar el plan estratégico con los objetivos
con la estructura, industria, y desempeño de la estratégicos y estos a su vez con los objetivos
entidad?. operativos a Nivel de unidades de negocio/áreas
significativas. Los objetivos operativos están
definidos, son específicos, medibles, alcanzables,
relevantes, delimitados en el tiempo y reflejan las
decisiones de la gerencia en relación con la
estructura, industria y desempeño operativo y
financiero.
- Como parte de su control interno, la Gerencia

evalúa periódicamente los objetivos establecidos
para asegurar que estos continúan siendo
consistentes y apropiados para la Entidad.
consistentes y apropiados para la Entidad.
Principio 6. La Organización define los objetivos

con suficiente claridad para permitir la identificación
y evaluación de los riesgos relacionados.
Objetivos Operacionales
Punto de Interes 22: Considera las tolerancias al

riesgo. ORIENTACIÓN ADICIONAL
6.22.1 ¿Para los objetivos operativos la gerencia ha Los objetivos operativos establecidos por la
considerado la tolerancia al riesgo (niveles gerencia especifican la tolerancia al riesgo
aceptables de variación frente al logro de los expresada en términos del nivel aceptable de
objetivos)?. variación frente a cada uno de los objetivos
establecidos.
Principio 7. La organización identifica los riesgos

para la consecución de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre
la cual determinar cómo se deben gestionar.
Punto de Interés 36:Incluye los niveles de

organización, filial, división, unidad operativa y
función.
7.36.1 ¿Ha adelantado la entidad un proceso de - La Organización ha identificado sus procesos,
identificación y evaluación de riesgos a nivel de la áreas, filiales, unidades operativas, entre otros, más
entidad, sucursales, divisiones, unidades operativas relevantes y para ellos ha establecido los objetivos
y niveles funcionales relevantes para la consecución propios alineados con los objetivos de la entidad.
de sus objetivos?
- Así mismo, la entidad, para cada proceso, área,
filial, unidad operativa relevantes tiene plenamente
identificados los riesgos que podrían impedir la
consecución de los objetivos.
- Se realiza monitoreo de las metas alcanzadas

frente a los planes originales, sobre cada unidad de
negocio significativa.
Principio 7. La organización identifica los riesgos

para la consecución de sus objetivos en todos los
niveles de la entidad y los analiza como base sobre
la cual determinar cómo se deben gestionar.
Punto de Interés 37: Analiza factores internos y

externos.
7.37.1 ¿La organización ha identificado los factores - El proceso de identificación de riesgos considera
internos y externos que generan riesgos a nivel de factores internos y externos como los citados en los
entidad y de transacción, ha considerado su ejemplos.
pertinencia y relevancia y, en los casos en que es
posible, a vinculado estos factores con riesgos y
actividades especificas?
* Ejemplos de factores internos y externos son: la

economía, la naturaleza, entorno regulatorio, la
tecnología, infraestructura, estructura
organizacional.
Principio 8. La organización considera la
probabilidad de fraude a evaluar los riesgos para la
Punto de Interes 41:Tiene en cuenta distintos tipos

de fraude.
8.41.3 ¿Se cuenta con la implementación de - Dentro del análisis y evaluación de riesgos, se han
controles en unidades/áreas de la Entidad identificado áreas, procesos, transacciones, entre
identificadas como de alto riesgo o de posible otros, como de alto riesgo de materialización de
materialización de actividades fraudulentas? fraude (emisión de información fraudulenta,
malversación de activos).
- Se han establecido controles asociados a la

prevención de situaciones de fraude en esas áreas,
procesos, transacciones, etc., identificadas.
- Se han dado a conocer los controles esperados a

los cargos respectivos para su ejecución y
monitoreo.
Principio 8. La organización considera la

probabilidad de fraude a evaluar los riesgos para la
Punto de Interes 44: Evalúa las actitudes y

justificaciones.
8.44.1 ¿Se evalúa cómo los colaboradores, - El análisis y evaluación de riesgos incluye la
proveedores o clientes se pueden involucrar en un exposición a riesgo de fraude en el relacionamiento
fraude en la organización y por tanto se comercial entre colaboradores, proveedores y/o
implementan los controles que permitan su clientes, identificando transacciones de mayor
mitigación? exposición.
- Se han establecido controles acorde con el grado

de exposición al riesgo de fraude en las relaciones
comerciales entre funcionarios internos y
proveedores y/o clientes.
Principio 9. La organización identifica y evalúa los

cambios que podrían afectar significativamente el
Punto de interes 45: Evalúa los cambios en el

entorno externo.
9.45.3 ¿La organización cuenta con la - Existen sistemas de alerta temprana para la
implementación de un sistema de alerta temprana identificación de cambios internos y/o externos
para identificar nuevos riesgos que puedan tener un importantes que pueden tener impacto en la
impacto significativos sobre la entidad? identificación de riesgos.
- Existen canales apropiados de comunicación para

reportar alertas tempranas a los niveles adecuados.
- Las alertas tempranas son analizadas y se da

disposición de forma oportuna.
- Existen canales apropiados de comunicación para
reportar alertas tempranas a los niveles adecuados.
- Las alertas tempranas son analizadas y se da

disposición de forma oportuna.
Principio 9. La organización identifica y evalúa los

cambios que podrían afectar significativamente el
Punto de interes 46: Evalúa los cambios en el

modelo de negocio.
9.46.1 ¿Se evalúa el impacto que puede tener sobre - La administración considera las implicaciones de
el control interno de la organización, realizar transacciones no rutinarias en el riesgo a nivel de
cambios en la operación tales como fusiones, venta entidad y a nivel transaccional y en el sistema de
de filiales, nuevas tecnologías, alianzas control interno en general.
estratégicas, entre otros?
- Se realiza análisis del impacto de transacciones no
rutinarias (venta de unidades de negocio,
adquisiciones, fusiones, escisiones, etc.) en la
operación de la entidad y en los controles a todo
nivel.
Presente
(1/2/3)
Tume Iman Melissa Raquel/ tesorera
Antón paiva Pamela Marianella/asistente area contabilida
si, la entidad define los objetivos

Chunga quiroga pedro/ jefe area de logistica
operativos,Como parte de su control interno, la
Gerencia evalúa periódicamente los objetivos
Amaya Chapa Nestor Efraín/gerente general establecidos para asegurar que estos
continúan siendo consistentes y apropiados
para la Entidad.
RESPUESTA DEL ÁREA
Presente
(1/2/3)
Chunga González Karolina/secretaria en area tecnica
si, gerencia evalua los objetivos y aplica la

tolerancia al riesgo, tomando decisiones 3
acertadas para la entidad.
RESPUESTA DEL ÁREA

Presente
(1/2/3)

Zelada Davila Edgar/Jefe de Oficina Tecnica la entidad no tiene un proceso de evaluacion

de riesgos a nivel de sucursales puesto que
1
no cuenta con mas sucursales, solo identifica
riesgo a nivel de la entidad primaria.
RESPUESTA DEL ÁREA
Presente
(1/2/3)
Antón paiva Pamela Marianella/ asistente del area de cont

si, la entidad evalua factores internos y
Chunga quiroga pedro/ jefe area de logistica extrenos a traves de un proceso de 3
identificacion de riesgos
si, la entidad evalua factores internos y
extrenos a traves de un proceso de 3
identificacion de riesgos
RESPUESTA DEL ÁREA
Presente
(1/2/3)
Antón paiva Pamela Marianella/ asistente del area de cont
Llenque Querevalu kathy/ asistente area de tesoreria

si, existe controles que ayudan a prevenir
Amaya Chapa Nestor Efraín /gerente general posibles fraudes en la empresa, monitoreo o
3
supervision inesperadas en areas con alto
riesgo al fraude
RESPUESTA DEL ÁREA

Presente
(1/2/3)

Presente
(1/2/3)
Zelada Davila Edgar/ jefe de area tecnica
Chunga quiroga pedro/ jefe de area de logistica

la entidad no establece politicas de controles
para proveedores o clientes en todas las
operaciones por lo que le es importante tener 1
una evaluacion sobre el grado de exposicion
al riesgo en relaciones comerciales
RESPUESTA DEL ÁREA
Presente
Explicación amplia de cómo la Entidad está (1/2/3)
Heidy celeste tume Bayona/ asistente area de la fundacio

la entidad no cuenta con un sistema de alerta
temprana por lo que no le permite identificar a
1
tiempo los cambios internos y externos que
puedan tener impactos .
la entidad no cuenta con un sistema de alerta
temprana por lo que no le permite identificar a
1
tiempo los cambios internos y externos que
puedan tener impactos .
RESPUESTA DEL ÁREA
Presente
(1/2/3)
Llenque Querevalu kathy/ asistente de tesoreria
Noemi flores/contador externo

la entidad evalua parcialmente los impactos
que puedan tener si cambiaran las operación
2
por alianzas estrategicas, pero no es una
evaluacion constante
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
actividad) NFE FI NFI
(Sox)
revision del plan estrategico y objetivos en

1 √ n/a √ √
gerencia
2 n/a
3 n/a
4 n/a 3
5 n/a
6 n/a
7 n/a
8 n/a
Funcionando
Reporte
(1/2/3)
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
evaluacion de las estrategias en funcion de

1 √ n/a √ √
indicadores de riesgo.
2 n/a
3 n/a
3
4 n/a
5 n/a
6 n/a
7 n/a
8 n/a

Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
monitoreo de las metas alcanzadas en la
1 √ √ √
entidad por area
2
2
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
evaluacion de las estrategias en funcion de

1 √ √ √
indicadores de riesgo.
3 3
4
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
control y supervision de las areas con alto

1 √ √ √
riesgo al fraude
3
3
4

Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
(Nombre del documento; numeral/literal de la
actividad)
Funcionando
(1/2/3)
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
evaluacion de controles en las relaciones

1 √ √ √ n/a
comerciales frente al fraude
3
1
4
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
1 evaluacion del area de sistemas √ √ √
1
3 1
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
No.
NFE FI NFI
actividad) (Sox)
1 verificacion del control interno de la empresa √ √ √
3 2
4
8
ACTIVIDADES DE CONTROL
Las actividades de control son las políticas
y procedimientos que ayudan a asegurar
que sean llevadas a cabo aquellas
acciones necesarias para administrar el
riesgo
Principio con
10:el
Lafin de lograr define
organización los objetivos de la
y desarrolla
entidad. Estas
actividades actividades,
de control manuales
que contribuyen a la o
automáticas,
mitigación de lostienen
riesgosvarios objetivos
hasta niveles y son
aceptables
para la consecución
aplicadas a variosdeniveles
los objetivos.
organizacionales
yPunto
funcionales. ORIENTACIÓN ADICIONAL
de Interés 48: Se integra con la evaluación
de riesgos.
10.48.1 ¿La Gerencia ha determinado las posibles La Entidad lleva a cabo un proceso de evaluación
respuestas a los riesgos que afectan el de riesgos dentro del cual ha identificado tanto los
cumplimiento de los Objetivos? riesgos que pueden impactar el logro de los
objetivos como las posibles respuestas a los
mismos.
10.48.2 ¿La naturaleza y extensión de las Una vez se han identificado y mapeado los riesgos
actividades de control definidas como respuesta a relevantes para el logro de los objetivos de la
los riesgos depende del nivel de mitigación Entidad y según la tolerancia al riesgo (nivel de
aceptable para los riesgos establecido por parte de mitigación aceptable establecido por la gerencia), la
la gerencia? gerencia ha implementado un proceso para definir y
desarrollar las actividades de control clave para
administrar cada uno de los riesgos identificados.
En dicho proceso la gerencia involucra a los dueños
de proceso claves, incluyendo personas
responsables por el reporte financiero, expertos en
temas de control, tales como auditores internos y
otro personal con conocimiento especializado
relevante.
Principio 10: La organización define y desarrolla

actividades de control que contribuyen a la
mitigación de los riesgos hasta niveles aceptables
para la consecución de los objetivos.
Punto de Interés 49: Tiene en cuenta factores
específicos de la organización en cuestión.
10.49.1 ¿Al diseñar las actividades de control, la El proceso de definición y desarrollo de actividades
entidad considera factores específicos como el de control implementado por la entidad, considera
entorno y complejidad de la entidad, la regulación, las características propias de la misma, tales como:
el cubrimiento de los controles a nivel de locación o - El ambiente y complejidad de la entidad, la
de entidad, sus sistemas, y la centralización o naturaleza y alcance de sus operaciones.
descentralización de sus operaciones? - Entidades con un alto nivel de regulación
generalmente tienen respuestas a los riesgos más
complejas que entidades menos reguladas.
- El alcance y naturaleza de la respuesta al riesgo y
las actividades de control relacionadas en
compañías multinacionales puede ser más complejo
que el de entidades locales con actividades menos
variadas.
- Una entidad con un sistema ERP (enterprise
resource planning) tendrá actividades de control
diferentes a una entidad que utiliza un software
hecho a la medida.

Punto de Interés 50: Determina los procesos de
negocio relevantes.
10.50.1 ¿Cuando se determinan las actividades de

control a implementar para mitigar los riesgos, la
gerencia considera todos los aspectos de los
componentes de control interno a nivel de entidad,
los procesos de negocio relevantes, la tecnología de
información, y las locaciones (oficinas, sedes)
donde las actividades de control son necesarias?
10.50.2 ¿Se establecen actividades de control, para - El proceso de definición y desarrollo de
garantizar las integridad de la información enviada y actividades de control implementado por la entidad,
recibida de los proveedores de servicios considera (cuando aplique) las actividades de
compartidos, centros de datos, o procesos control que son ejecutadas por fuera del negocio,
tercerizados que procesen información para la esto incluye aquellas implementadas por
entidad? proveedores de servicios compartidos, en centros
de datos, procesos o funciones realizadas por
terceros. En estos casos la gerencia identifica y
entiende las actividades realizadas por el tercero y
la manera como éstas pueden impactar el control
interno.
- Para los proveedores significativos se identifican

las actividades de control realizadas por la
organización de servicios y/o selecciona y desarrolla
actividades de control internas sobre las actividades
realizadas por el proveedor de servicios.
- Si se cuenta con un reporte emitido por un auditor

independiente en relación con los controles
implementados por el proveedor de servicios, la
gerencia lo utiliza para determinar si el proveedor ha
implementado los controles apropiados y qué
actividades de control se requieren implementar
internamente. Si no existe un reporte, la gerencia
utiliza sus propios recursos (pej: la auditoría interna)
para revisar los controles implementados por el
tercero y asegurar que los riesgos relacionados se
mitigan. (Ver también pregunta 11.57.3)

Punto de Interés 50: Evalua distintos tipos de
actividades de control.
10.51.1 ¿Las actividades de control seleccionadas y Las actividades de control identificadas por la
desarrolladas a nivel de transacción incluyen por lo gerencia para los procesos relevantes consideran
menos lo siguiente?: una combinación de distintas actividades de control
que pueden ser preventivas o detectivas. Las
- Autorizaciones y aprobaciones actividades de control seleccionadas y desarrolladas
- Verificaciones (Cumplimiento a las Políticas) incluyen por lo menos las incluidas en la
- Controles Físicos (Arqueos de Caja) descripción.
- Controles sobre datos permanentes (Archivo
maestro de precios)
- Reconciliaciones
- Controles de Supervisión
10.51.2 ¿Se identifican los controles manuales En el proceso de selección y desarrollo de
automáticos y los controles generales de TI para la actividades de control, la gerencia ha identificado
adecuada respuesta a los riesgos que afectan los los controles manuales, automáticos y los controles
objetivos? generales de TI que proporcionan una respuesta
adecuada a los riesgos que pueden afectar el logro
de los objetivos.
10.51.3 ¿Cuando se selecciona y desarrollan En el proceso de selección y desarrollo de

actividades de control, la entidad considera la actividades de control, la entidad considera el nivel
precisión de las mismas? de precisión de cada una de las mismas. Este nivel
de precisión hace referencia a qué tan exacta es la
actividad de control para prevenir o detectar un
resultado o evento no deseado. El nivel de precisión
de una actividad de control se relaciona de manera
estrecha con la tolerancia al riesgo de la
organización para un objetivo particular, por lo
menos para los controles clave.

Punto de Interés 50: Tiene en cuenta a qué nivel ORIENTACIÓN ADICIONAL

se aplican las actividades.
10.52.1 ¿Las actividades de control implementadas Para la definición y desarrollo de las actividades de
por la entidad consideran el cubrimiento a los control para mitigar los riesgos asociados al
riesgos relacionados a nivel de transacción de procesamiento de transacciones dentro de los
acuerdo con los objetivos de procesamiento de procesos de negocio (controles transaccionales), la
información? entidad ha considerado el cubrimiento de los riesgos
que puedan afectar el cumplimiento de los
siguientes objetivos de procesamiento de
información:
- Integridad: Todas las transacciones que ocurrieron

son registradas.
- Exactitud: Las transacciones son registradas con

la cantidad correcta, en la cuenta adecuada y en el
periodo adecuado.
- Validez: Toda las transacciones registradas

que puedan afectar el cumplimiento de los
siguientes objetivos de procesamiento de
información:
- Integridad: Todas las transacciones que ocurrieron

son registradas.
- Exactitud: Las transacciones son registradas con

la cantidad correcta, en la cuenta adecuada y en el
periodo adecuado.
- Validez: Toda las transacciones registradas

realmente ocurrieron y fueron aprobadas por
personal designado.
- Acceso Restringido: Los datos están protegidos

contra modificaciones no autorizadas.
10.52.2 ¿Se evalúa el adecuado diseño de los La metodología/proceso para la definición y

controles como respuesta a la mitigación de los desarrollo de las actividades de control contempla
riesgos, y si estos han sido desarrollados e que durante este proceso se analice el adecuado
implementando como fueron diseñados? diseño de los mismos (pej: la respuesta al riesgo
específica que se cubre con el control), y que estos
hayan sido desarrollados e implementados tal como
han sido diseñados.
10.52.3 ¿Además de los controles transaccionales, La Entidad ha definido y desarrollado actividades de

la Organización ha seleccionado y desarrollado control de alto nivel (pej: revisiones analíticas,
actividades de control que operan de manera más revisiones en relación con el desempeño del
amplia y que por lo general son llevadas a cabo por negocio "business performance reviews") las cuales
los niveles superiores de la organización? implican el análisis de la comparación de diferentes
conjuntos de operaciones y datos financieros para
la toma de acciones correctivas cuando los
resultados no están alineados con las políticas o
expectativas, con un nivel de precisión adecuado.
Los controles transaccionales y las revisiones de

desempeño están en diferentes niveles y trabajan
de manera conjunta para proveer un enfoque a nivel
de capas con el fin de controlar los riesgos de la
organización y son parte integral de la combinación
de controles a implementarse en la organización.
(Ver también pregunta 10.52.4)
10.52.4 ¿Los controles de transacción y las La Entidad ha definido y desarrollado actividades de

revisiones de desempeño de negocios trabajan control de alto nivel (pej: revisiones analíticas,
juntos en diferentes niveles? revisiones en relación con el desempeño del
negocio "business performance reviews") las cuales
implican el análisis de la comparación de diferentes
expectativas.

control de alto nivel (pej: revisiones analíticas,
revisiones en relación con el desempeño del
negocio "business performance reviews") las cuales
implican el análisis de la comparación de diferentes
expectativas.

de manera conjunta para proveer un enfoque a nivel
de capas con el fin de controlar los riesgos de la
organización y son parte integral de la combinación
de controles a implementarse en la organización.

Punto de Interés 50: Aborda la segregación de ORIENTACIÓN ADICIONAL

funciones.
10.53.1 ¿Cuando se seleccionan y desarrollan - En la selección y desarrollo de actividades de

actividades de control, la gerencia considera la control la gerencia toma en cuenta consideraciones
adecuada división de las funciones y que éstas se en relación con la adecuada segregación de
encuentren segregadas en diferentes personas para funciones, dividiendo la responsabilidad del registro,
reducir el riesgo de error o de acciones autorización y aprobación de transacciones y el
fraudulentas? manejo de los activos relacionados.
- La entidad ha identificado y documentado las

situaciones específicas en donde no es posible
segregar adecuadamente las funciones (pej: por
condiciones de negocio, falta de personal), en estos
casos a identificado y documentado las actividades
de control alternativas para cubrir los riesgos
identificados.
10.53.2 ¿Los accesos en los sistemas son La Entidad ha definido y desarrollado actividades de
revisados con el fin de mantener la segregación de control tendientes a asegurar la segregación de
funciones? funciones en los accesos asignados en los sistemas
de información durante la creación/modificación de
permisos a usuarios. Entre estas actividades de
control se encuentran, entre otros:
- La revisión de solicitudes de creación/modificación
de usuarios previo a la ejecución de las mismas,
validando que los permisos solicitados no presentan
conflictos de segregación de funciones.
- Revisión periódica de los usuarios y permisos en
los sistemas de información, validando la adecuada
segregación de funciones.
- Construcción de matrices de roles y usuarios
siguiendo los principios de segregación de
permisos a usuarios. Entre estas actividades de
control se encuentran, entre otros:
- La revisión de solicitudes de creación/modificación
de usuarios previo a la ejecución de las mismas,
validando que los permisos solicitados no presentan
conflictos de segregación de funciones.
- Revisión periódica de los usuarios y permisos en
los sistemas de información, validando la adecuada
segregación de funciones.
- Construcción de matrices de roles y usuarios
siguiendo los principios de segregación de
funciones.

actividades de control a nivel de entidad sobre la
tecnología para apoyar la consecución de los
objetivos.
Punto de Interés 54: Establece la dependencia
existente entre el uso de la tecnología en los
procesos de negocio y los controles generales sobre
la tecnología.
11.54.1 Se han implementado controles generales - La gerencia identifica y documenta la tecnología

de tecnología sobre la adquisición y desarrollo de la que soporta las actividades de control definidas y
tecnología para ayudar a asegurar que los controles desarrolladas para cada uno de los procesos de
automáticos funcionan correctamente. negocio, entendiendo cuáles aspectos de la
tecnología (infraestructura, seguridad, adquisición
de tecnología, procesos de desarrollo y
mantenimiento) son importantes para una operación
continua y apropiada de la tecnología que soporta la
operación de los controles automáticos y aquellos
controles que dependen de reportes generados de
los sistemas.
- La entidad ha implementado controles generales

de tecnología sobre la adquisición y desarrollo de la
misma para ayudar a asegurar que los controles
automáticos operan de manera apropiada cuando
se desarrollan (por primera vez) e implementan.
- La entidad ha implementado actividades de

control sobre los cambios a la tecnología con el fin
de asegurar que los controles automáticos
continúan operando tal como fueron diseñados.

objetivos.
Punto de Interés 55: Establece actividades de
control relevantes sobre las infraestructuras
tecnológicas.
11.55.1 ¿ La entidad ha establecido actividades de - La entidad ha definido y desarrollado actividades

control para responder y direccionar los riesgos de control sobre la infraestructura de tecnología
relacionados con la infraestructura tecnológica? (administrada internamente o en outsourcing) con el
fin de soportar la completitud, precisión y
disponibilidad del procesamiento de la tecnología.
Dichas actividades de control incluyen la verificación
activa de la infraestructura tecnológica (a través de
revisiones manuales o verificaciones automáticas)
con el fin de identificar problemas sobre la misma y
tomar las acciones correctivas que sean requeridas.
Estas actividades de control contemplan también los
procedimientos de realización de copias de
seguridad y recuperación, así como los planes de
recuperación de desastres, en función del riesgo y
las consecuencias de una interrupción total o
parcial.
- Para aplicaciones con procesamiento en línea, se

han definido e implementado actividades de control
(generalmente automáticas) que utilizan software
para monitorear errores, como transferencias entre
sistemas realizadas de manera incompleta,
imprecisa, o invalida. Los errores identificados son
monitoreados y solucionados oportunamente.

objetivos.
Punto de Interés 56: Establece actividades de ORIENTACIÓN ADICIONAL

control relevantes sobre los procesos de gestión de
la seguridad.
11.56.1 ¿La entidad ha seleccionado y desarrollado - La entidad ha seleccionado y desarrollado

controles de autenticación de usuarios en los controles de autenticación de usuarios en los
sistemas? sistemas. Dichas actividades de control se basan en
la autenticación de la identificación única de los
usuarios o token (si aplica) frente una lista aprobada
permitiendo el acceso únicamente a los usuarios
que se encuentren en dicha lista.
- Los controles de autenticación implementados en

los sistemas son consistentes con las políticas y
procedimientos establecidos por la entidad.
- La configuración de controles de autenticación

incluyen la implementación de parámetros en los
la autenticación de la identificación única de los
usuarios o token (si aplica) frente una lista aprobada
permitiendo el acceso únicamente a los usuarios
que se encuentren en dicha lista.
- Los controles de autenticación implementados en

los sistemas son consistentes con las políticas y
procedimientos establecidos por la entidad.
- La configuración de controles de autenticación

incluyen la implementación de parámetros en los
sistemas, tales como: mínima longitud de
contraseña, vencimiento y complejidad de
contraseña.
11.56.2 ¿La entidad cuenta con políticas o La entidad cuenta con políticas o procedimientos
procedimientos de restricción de accesos a que soportan las actividades de control asociadas a
usuarios? la restricción de accesos a usuarios autorizados a
las aplicaciones o funciones de acuerdo con sus
responsabilidades de trabajo y conservando una
adecuada segregación de funciones.
11.56.3 ¿Se realizan actividades de control para La entidad ha seleccionado y desarrollado

validar que las solicitudes de accesos a las actividades de control que buscan ratificar que las
aplicaciones corresponden con las listas solicitudes de acceso a los sistemas están de
aprobadas? acuerdo con las listas de acceso/permisos
aprobados.
11.56.4 ¿Se realizan actividades de control para La entidad ha seleccionado y desarrollado

actualizar los accesos cuando los empleados actividades de control que buscan asegurar que
cambian de funciones de trabajo o se retiran de la cuando un funcionario se retira de la entidad o
entidad? cambia sus funciones, los accesos que le han sido
otorgados en los sistemas, se actualizan en
consecuencia.
11.56.5 ¿Se realizan actividades de control La entidad ha seleccionado y desarrollado
relacionadas con revisiones periódicas sobre los actividades de control relacionadas con revisiones
accesos otorgados en los sistemas? periódicas sobre los accesos asignados en los
sistemas, a través de las cuales se valida que los
mismos están de acuerdo con las políticas
establecidas por la entidad y las listas aprobadas
ratificando que permanecen apropiados a lo largo
del tiempo.

objetivos.
Punto de Interés 57: Establece actividades de ORIENTACIÓN ADICIONAL

control relevantes sobre los procesos de
adquisición, desarrollo y mantenimiento de
tecnologías.
11.57.1 Existe una metodología para el desarrollo La entidad cuenta con una metodología para el
de la tecnología? desarrollo de la tecnología (SDLC: Systems
Development Life Cycle) que proporciona una
estructura para el diseño e implementación de
sistemas, ésta describe:
- Fases especificas.
- Requerimientos de documentación
- Aprobaciones.
- Actividades de control sobre la adquisición,
desarrollo, y mantenimiento de la tecnología.
- Actividades de control sobre los cambios a la
tecnología, incluyendo: autorizaciones para el
cambio, validaciones sobre el derecho legal de la
entidad para usar la tecnología en la manera como
se pretende utilizarla, revisión a los cambios,
aprobaciones, y resultados de pruebas, y la
implementación de protocolos para determinar si los
cambios han sido aplicados de la manera
apropiada.
Cuando se adquiere software desarrollado por

terceros, la metodología determina las actividades
de control necesarias en la selección e
implementación de dicho software.
11.57.2 La metodología desarrollada incluye La entidad cuenta con una metodología para el
controles sobre los cambios a la tecnología? desarrollo de la tecnología (SDLC: Systems
Development Life Cycle) que proporciona una
estructura para el diseño e implementación de
sistemas, ésta describe:
- Fases especificas.
- Requerimientos de documentación
- Aprobaciones.
- Actividades de control sobre la adquisición,
desarrollo, y mantenimiento de la tecnología.
- Actividades de control sobre los cambios a la
tecnología, incluyendo: autorizaciones para el
cambio, validaciones sobre el derecho legal de la
entidad para usar la tecnología en la manera como
se pretende utilizarla, revisión a los cambios,
aprobaciones, y resultados de pruebas, y la
implementación de protocolos para determinar si los
cambios han sido aplicados de la manera
apropiada.
Cuando se adquiere software desarrollado por

terceros, la metodología determina las actividades
de control necesarias en la selección e
implementación de dicho software.
11.57.3 ¿Se seleccionan y ejecutan actividades de - El proceso de definición y desarrollo de

control sobre los servicios en Outsourcing, para actividades de control implementado por la entidad,
asegurar la integridad, exactitud y validez de la considera (cuando aplique) las actividades de
información entregada a y recibida de los control que son ejecutadas por fuera del negocio,
proveedores de servicios? esto incluye aquellas implementadas por
proveedores de servicios compartidos, en centros
de datos, procesos o funciones realizadas por
terceros. En estos casos la gerencia identifica y
entiende las actividades realizadas por el tercero y
la manera como éstas pueden impactar el control
interno.
- Para los proveedores significativos se identifican

las actividades de control realizadas por la
organización de servicios y/o selecciona y desarrolla
actividades de control internas sobre las actividades
realizadas por el proveedor de servicios.
- Si se cuenta con un reporte emitido por un auditor

independiente en relación con los controles
implementados por el proveedor de servicios, la
gerencia lo utiliza para determinar si el proveedor ha
implementado los controles apropiados y qué
actividades de control se requieren implementar
internamente. Si no existe un reporte, la gerencia
Principio 12: La organización despliega las

actividades de control a través de políticas que
establecen las líneas generales del control interno y
procedimientos que llevan dichas políticas a la
práctica.
Punto de Interés 58: Establece políticas y
procedimientos para respaldar la implantación de
las instrucciones adoptadas por la dirección.
12.58.1 Las actividades de control que contribuyen - Se cuenta con Manuales de políticas y
a la mitigación de los riesgos, para el logro de los procedimientos para las principales actividades de
objetivos a nivel aceptable están formalmente control; se utilizan a través de diferentes formatos
documentadas a través de políticas y como narrativas, flujogramas, matrices de control.
procedimientos?
- La administración ha estandarizado la
documentación de tal forma que se considere, por
ejemplo: Objetivo de la política / procedimiento;
riesgos asociados; alcance de la política; roles y
responsabilidades; actividades de control, de
monitoreo y correctivas; entre otros.
- Los Manuales de políticas y procedimientos o

aquellos que hagan sus veces se encuentran
aprobados y adecuadamente comunicados a las
partes interesadas, y son sujetos a revisiones
periódicas para actualización.

práctica.
Punto de Interés 59: Establece responsabilidad
sobre la ejecución de las políticas y procedimientos.
12.59.1 Los procedimientos especifican claramente - Las políticas y procedimientos incluyen una clara
las responsabilidades del personal que realiza la descripción de las actividades de control asignadas
actividad de control y establecen la rendición de a cada área / cargo a lo largo de cada proceso.
cuentas que reside en la última instancia en la
gestión o en la entidad o en el proceso donde reside - Dichas políticas y procedimientos incluyen un
el riesgo? reporte sobre la gestión ejecutada para aquellas
actividades de control clave, los cuales son
canalizados a un alto nivel dentro del área o
proceso.
- Las políticas y procedimientos son comunicados a

través de diferentes medios incluyendo programas
de entrenamiento, reuniones de trabajo, distribución
interna y formal de los documentos que lo soportan.
- Dichas políticas y procedimientos incluyen un
reporte sobre la gestión ejecutada para aquellas
actividades de control clave, los cuales son
canalizados a un alto nivel dentro del área o
proceso.
- Las políticas y procedimientos son comunicados a

través de diferentes medios incluyendo programas
de entrenamiento, reuniones de trabajo, distribución
interna y formal de los documentos que lo soportan.
- Se incluyen actividades de monitoreo de otros

controles en áreas consideradas como de mayor
riesgo de que los controles transaccionales fallen.

práctica.
Punto de Interés 60:Se efectúa en el momento
oportuno.
12.60.1 Los procedimientos incluyen las fechas y/o - La descripción de las actividades de control en las
frecuencia de cuando se llevan a cabo las políticas y procedimientos indica claramente la
actividades de control y las acciones correctivas de frecuencia en al que deben ejecutarse.
seguimiento y estos consideran el nivel de
exposición del riesgo? - Se han considerado actividades correctivas en
caso de fallas en los controles, así como su
monitoreo, acorde con la criticidad del riesgo
asociado.

práctica. ORIENTACIÓN ADICIONAL
Punto de Interés 61: Adopta medidas correctivas.
12.61.1 Como resultado de las actividades de - Se ha considerado realizar seguimiento a las

control, los asuntos identificados para seguimiento excepciones identificadas al realizar las actividades
son investigados apropiadamente y se toman las de control, el mecanismo de reporte de las mismas
acciones correctivas? y tratamiento que se debe dar a excepciones.
excepciones identificadas al realizar las actividades
de control, el mecanismo de reporte de las mismas
y tratamiento que se debe dar a excepciones.

práctica.
Punto de Interes 62: Se pone en práctica a través
de personal competente.
12.62.1 La asignación de los controles se realiza - Dentro de la asignación de responsabilidades y

considerando el nivel de competencia del personal y roles, se consideró el perfil requerido por quien debe
su autoridad para llevar a cabo el control, la ejecutar las actividades de control, especialmente
complejidad de la actividad de control y el volumen en aquellas consideradas como clave, a través de
de las operaciones? las políticas y procedimientos, perfiles de cargo,
manuales de funciones, o cualquier otro documento
que haga sus veces.
- La asignación de funciones ha considerado el

volumen de operaciones y se tiene determinado un
proceso en caso de cambios en este último para el
incremento de la planta de personal.

práctica.
Punto de Interés 63: Revisa las políticas y
procedimientos.
12.63.1 La Administración reevalúa periódicamente - Se ha definido la periodicidad y mecanismo de

las políticas, procedimientos y actividades de control actualización de políticas y procedimientos,
relacionados con su validez y eficacia, con relación considerando cambios en la operación, el negocio,
a los cambios significativos en los riesgos o en los los riesgos, el volumen de transacciones, avances
objetivos de la entidad. (Ejemplo los cambios en las tecnológicos, requerimientos legales, entre otros.
personas, los procesos, y la tecnología, pueden
reducir la eficacia de las actividades de control o - Existen líneas de comunicación definidas para la
realizar algunas actividades de control identificación de cambios que conlleven a
redundantes)? actualizaciones de políticas y procedimientos.
- Existen líneas de comunicación definidas para la
identificación de cambios que conlleven a
actualizaciones de políticas y procedimientos.
RESPUESTA DEL ÁREA EVIDENCIA DEL CONTROL
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
8
1

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
6
7

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
3
4
2
3
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
3
4
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
3
4
7
8
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
8
1
7
8
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
3
4
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
3
4
Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable

Presente
(1/2/3)
Nombre del
Área / Cargo No.
Responsable
5
6
8
Funcionando
Reporte
(1/2/3)
Cumplimiento
Referencia a Operación
(Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
actividad)
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
actividad)
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
INFORMACIÓN Y COMUNICACIÓN
La información y comunicación es el
componente del control interno que
asegura que la información pertinente
sea identificada, capturada y
comunicada de una manera y tiempo
que permiten a la gente llevar a cabo
sus responsabilidades. Los sistemas
de información producen informes,
que contienen datos de operación,
Principio 13: La organización obtiene o
financieros y de
genera y utiliza cumplimiento,
información quey de
relevante
hacen posible llevar a cabo y controlar
calidad para apoyar el funcionamiento del
el negocio.
control Se maneja información
interno.
generada internamente, así como
Punto de Interés
información 64: Identifica
sobre requisitos de
hechos, actividades ORIENTACIÓN ADICIONAL
información.
y condiciones externas necesarias
para tomar decisiones informadas de
negocios y generar informes externos
confiables. También debe ocurrir una
comunicación
13.64.1 eficaz acerca
¿La información en un desentido
los A través de varios canales, la gerencia
amplio en la organización. Todo el
objetivos de la entidad se comunica y se comunica los objetivos de la entidad, las
resume
personal debe recibir un claro mensaje políticas y procedimientos de control interno, y
de tal forma que la dirección y demás
personal entienden los objetivos y su papel en la manera como estos soportan las
de la alta administración de que las
su consecución? responsabilidades individuales. El método de
responsabilidades de control se toman comunicación varía de acuerdo con la
en serio. Deben comprender su propia audiencia, la naturaleza de la información, los
función en el sistema de control requerimientos legales, y la posibilidad del uso
interno, así como también la manera de soluciones tecnológicas. Ejemplos de estos
mecanismos, son:
en que las actividades individuales se - Publicación de la visión y misión en áreas
relacionan con el trabajo de los de áreas de alto tráfico o en el sitio web de la
demás. Deben tener un medio de compañía.
comunicar la información importante - Reuniones internas o conferencias con las
en la organización. áreas para discutir aspectos relacionados con
control interno y cambios sobre las políticas.
- Realización de encuestas periódicas a los
empleados en relación con el cumplimiento de
políticas y procedimientos de control interno.
- Un sitio en la intranet relacionado
específicamente con aspectos de control
interno, incluyendo código de ética y
conducta, roles y responsabilidades, políticas,
procedimientos, y otros aspectos relevantes.
- Envío regular de correos electrónicos,
boletines, webcast, o reuniones relacionadas
con control interno.
áreas para discutir aspectos relacionados con
control interno y cambios sobre las políticas.
- Realización de encuestas periódicas a los
empleados en relación con el cumplimiento de
políticas y procedimientos de control interno.
- Un sitio en la intranet relacionado
específicamente con aspectos de control
interno, incluyendo código de ética y
conducta, roles y responsabilidades, políticas,
procedimientos, y otros aspectos relevantes.
- Envío regular de correos electrónicos,
boletines, webcast, o reuniones relacionadas
con control interno.
- Visitas de la gerencia y los ejecutivos a las
plantas, oficinas de ventas, grandes clientes y
otras locaciones.

EVIDENCIA DEL CONTR
RESPUESTA DEL ÁREA
Presente
(1/2/3)
No.
Nombre del Área / Explicación amplia de cómo la Entidad está dando
Cargo Responsable respuesta al requerimiento
Tume Iman Melissa

1
Raquel / tesorera
Chunga González
Karolina/ secretaria del 2
area tecnica
si, la gerencia comunica los objetivos de la entidad al

personal y establece un buen control interno. Realizan
publicaciones de la vision y mision, envio de correos 3
electronicos, etc. Con la finalidad de que se cumplan
con los objetivos planteados.
si, la gerencia comunica los objetivos de la entidad al
personal y establece un buen control interno. Realizan 4
publicaciones de la vision y mision, envio de correos 3
electronicos, etc. Con la finalidad de que se cumplan
con los objetivos planteados.
8
Funcionando
Reporte
Cumplimiento
(1/2/3)
Referencia a
Operación
(Sox)
Evaluacion de los diferentes medios de

comunicación de los objetivos de la √ √ √
empresa.
3
3
MONITOREO
El monitoreo es el proceso mediante el cual
se evalúa el desempeño del control interno
en el tiempo. Una responsabilidad
importante de la Gerencia es establecer y
mantener16.el La
Principio control interno,
organización para esto debe
selecciona,
desarrolla
determinar si los controles funcionany/o
y realiza evaluaciones continuas
independientes para determinar si los componentes
adecuadamente, a través del monitoreo al
del sistema de control interno están presentes y en
Sistema de
funcionamiento.Control Interno.
Punto de Interés 78:Tiene en cuenta un mix o

combinación de evaluaciones continuas e
independientes.
16.78.1 ¿La Gerencia selecciona y desarrolla una - La entidad ha implementado procedimientos de

mezcla de evaluaciones continuas e independientes monitoreo continuo como parte de las actividades
para asegurar que los cinco componentes de control del día a día. Estas actividades incluyen: revisiones
interno estén presentes y funcionando? regulares de la gerencia y actividades de
supervisión, revisiones cruzadas, análisis de
tendencias haciendo uso de datos internos y
externos, reconciliaciones y otras actividades
rutinarias.
- Anualmente la gerencia define el plan de

evaluaciones independientes, de acuerdo con su
evaluación de riesgo, resultados de las
evaluaciones contínuas, historial de deficiencias en
los controles, entre otros.
- Periódicamente, la gerencia evalúa los resultados

de las evaluaciones (contínuas e independientes) y
otros factores (pej: cambios regulatorios, cambios
en los objetivos de la entidad, cambios en la
industria, cambios en los procesos) para establecer
la mezcla y frecuencia de las evaluaciones
contínuas y evaluaciones independientes que será
utilizada para concluir acerca de la efectividad del
control interno.
los controles, entre otros.
- Periódicamente, la gerencia evalúa los resultados

de las evaluaciones (contínuas e independientes) y
otros factores (pej: cambios regulatorios, cambios
en los objetivos de la entidad, cambios en la
industria, cambios en los procesos) para establecer
la mezcla y frecuencia de las evaluaciones
contínuas y evaluaciones independientes que será
utilizada para concluir acerca de la efectividad del
control interno.
Principio 16. La organización selecciona,

desarrolla y realiza evaluaciones continuas y/o
independientes para determinar si los componentes
del sistema de control interno están presentes y en
funcionamiento.
Punto de Interés 80:Establece referencias para las

evaluaciones.
16.80.1 ¿Las evaluaciones contínuas e - Para los riesgos significativos, la entidad cuenta
independientes se realizan frente a la línea base de con una línea base de controles que sustenta el
entendimiento del diseño del sistema de control entendimiento de la implementación de controles
interno? para cumplir con los objetivos de control interno
fijados por la organización para los cinco
componentes (diseño del sistema de control
interno).
- La auditoría interna realiza evaluaciones

independientes periódicas (con una frecuencia
definida con base en el análisis de riesgo) sobre el
diseño y operación de los controles establecidos en
la línea base con el fin de concluir sobre el diseño y
operación de los mismos.
- La entidad ha establecido un proceso para

actualizar la línea base con los cambios en el diseño
y ejecución de los controles, cambios en personas,
cambios en el proceso o cambios en la tecnología
que puedan impactar el diseño e implementación de
los mismos. Este proceso contempla la
actualización de la línea frente a los resultados
obtenidos como resultado de la evaluaciones
contínuas e independientes.
que puedan impactar el diseño e implementación de
los mismos. Este proceso contempla la
actualización de la línea frente a los resultados
obtenidos como resultado de la evaluaciones
contínuas e independientes.
Principio 17. La organización evalúa y comunica

las deficiencias de control interno de forma oportuna
a las partes responsables de aplicar medidas
correctivas, incluyendo la alta dirección y el consejo
(Junta Directiva y/o Comité de Auditoria) según
corresponda.
Punto de Interes 85 : Evalúa los resultados.
17.85.1 Se identifican deficiencias en las - Las deficiencias identificadas en el proceso de

evaluaciones concurrentes y separadas y se evalúa evaluaciones independientes son evaluadas para
su afectación al sistema de control interno de la determinar su efecto en el sistema de control interno
entidad y al cumplimiento de los objetivos? de la entidad, su impacto en el logro de los
objetivos, etc, según sea el caso.
- Dichos análisis son compartidos con los

responsables de la deficiencia identificada.
Principio 17. La organización evalúa y comunica

las deficiencias de control interno de forma oportuna
a las partes responsables de aplicar medidas
correctivas, incluyendo la alta dirección y el consejo
(Junta Directiva y/o Comité de Auditoria) según
corresponda.
Punto de Interés 87: Controla las medidas

correctivas.
17.87.1 La Gerencia hace seguimiento a si las - Existen mecanismos para reportar a la gerencia (y
acciones correctivas de las deficiencias los responsables de las debilidades identificadas)
comunicadas sobre el Sistema de Control Interno se sobre los planes de acción establecidos para reducir
han cumplido en el tiempo establecido. las debilidades reportadas, así como para
monitorear el avance de los mismos.
- Se toman medidas sobre aquellos planes de

acción cuyas fechas esperadas no se alcanzan (Por
ejemplo replanteamiento de planes de acción,
identificación de otro tipo de controles que puedan
ayudar a mitigar los riesgos expuestos, entre otros).
RESPUESTA DEL ÁREA EVIDENCIA DEL CONTR
Presente
Nombre del Área / Cargo Explicación amplia de cómo la Entidad está (1/2/3)
No.
Responsable dando respuesta al requerimiento
1
Tume Iman Melissa Raquel
2
Antón paiva Pamela Marianella
3
Chunga González Karolina
si, ha implementado procedimiento de
monitoreo en las areas de la institucion,con 4
Chunga quiroga pedro una serie de actividades, periodicamente la
3
gerencia evalua los resultados de las
evaluaciones para la efectividad de la 5
institucion
Gómez amaya Julio
una serie de actividades, periodicamente la
3
gerencia evalua los resultados de las
evaluaciones para la efectividad de la
institucion
6
Heidy celeste tume Bayona
7
MARCO Amaya Morales
Presente
(1/2/3)
Nombre del Área / Cargo Explicación amplia de cómo la Entidad está
No.
1
Tume Iman Melissa Raquel
2
Antón paiva Pamela Marianella
3
Chunga González Karolina
si, esta en buen proceso de implemetacion de 4

Chunga quiroga pedro control interno para las evaluaciones
3
independientes , ya que contempla la
actualizacion para los resultados. 5
Gómez amaya Julio
6
Heidy celeste tume Bayona
7
MARCO Amaya Morales
8
Presente
(1/2/3)
No.
Sernaque Nunura Fiorella 1
Chunga González Karolina 2
Gómez amaya Julio 3
Heidy celeste tume Bayona si, las deficiencias las identifica para mejora 4
en la institucion, en la cual es compartido con 3
Amaya Chapa Nestor Efraín los responsables de la institucion 5
MARCO Amaya Morales 6

Presente
(1/2/3)

No.
Present
(1/2/3)
No.
Sernaque Nunura Fiorella 1
Tume Iman Melissa Raquel 2
Antón paiva Pamela Marianella 3
Chunga quiroga pedro Si, emplea mecanismos para reducir 4

debilidades en el monitoreo en las areas de la 3
Gómez amaya Julio intitucion, para ello se emplea planes de 5
accion para reducirlos y mitigar los riesgos
Heidy celeste tume Bayona expuestos 6
Llenque Querevalu kathy 7
MARCO Amaya Morales 8
Zelada Davila Edgar 9

Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
(Sox)
Procedimientos de monitoreo y supervision √ √ √
3
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
Procedimientos de control interno √ √ √
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
PROCEDIMIENTO DE CONTROL INTERNO √ √ √

Funcionando
(1/2/3)
Reporte
plimiento
Referencia a
eración
Funcionan
(1/2/3)
Cumplimiento
Referencia a
Operación
NFE FI NFI
actividad) (Sox)
PLANES DE ACCION √ √ √
3
Glosario
Término
Actividad de control
Administración
Ambiente de control
Apetito al riesgo
Auditores Internos
Autenticación
Comité de Auditoría
Componente
Conflicto de interés
Control
Control detectivo
Control interno
Control interno efectivo
Control interno sobre el reporte financiero
Control preventivo
Controles automáticos
Controles de acceso
Controles de aplicación
Controles generales de tecnología
Controles manuales
Controles transaccionales
COSO
Cumplimiento
Deficiencia de control
Deficiencia de control interno
Deficiencia mayor
Diseño
Entidad
Estados financieros
Evaluación de Riesgos
Evaluaciones continuas (On going
Evaluations)
Evaluaciones separadas (Separate
Evaluations)
Fraude
Funcionando
Gerencia
Independencia
Infraestructura de Tecnología
Integridad
Intervención de la gerencia
Limitaciones inherentes
Magnitud del impacto
Mapa de riesgos
Materialidad
Nivel entidad
Operativo
Oportunidad
Organización
Organización de servicios
Política
Presente
Presión
Principio relevante
Probabilidad de ocurrencia
Procedimiento
Racionalización
Reporte
Reporte ISA E 3402 (Norma Internacional) O

SSAE 16 (Norma Americana)
Respuesta al riesgo
Riesgo
Riesgo de Fraude
Riesgo inherente
Riesgo residual
Segregación de Funciones
Seguridad razonable
Sobrepaso de la gerencia
Tecnología
Tolerancia al riesgo
Tone at the Top
Valores éticos
Descripción
Acciones establecidas en las políticas y procedimientos que ayudan a asegurar
que se lleven acon
La persona(s) cabo las instrucciones
responsabilidad de la Administración
ejecutiva de dirigir las operaciones para mitigardelos la riesgos
relacionados
Entidad. Para con
algunasel logro de
Entidades los objetivos.
en algunas
El ambiente de control establece el tono de una organización. Es la base de Las Actividades
jurisdicciones, dela Control son
Administración unlos
Componente
incluye
otros algunos
componentes del o Control
todos
del Interno.
los
control Encargados
interno
Es la cuantía más amplia del riesgo que una entidad está dispuesta a pues del Gobierno,
define los por ejemplo,
principios y elmiembros
gobierno con
ejecutivos
los cuales
asumir
Los de
se un
rigen
para realizar
auditores consejo
internos lassus son de
entidades Gobierno,
objetivos. e influyeo unen propietario-administrador.
la conciencia
aquellos profesionales que realizan las actividades de las personas sobre
la formaEl
propias
ISACA: enacto
de laque severificar
función
de deben llevar
de auditoría a interna.
la identidad cabo de lasLos
unoperaciones.
auditores
usuario y sus internos
derechos pertenecen
de acceso por alo
regular,
información
Un comité a un queendepartamento
los sistemas.
consiste de auditoríaen
principalmente interna
directores o a sunofunción ejecutivos, equivalente.
formado para
vigilar
Uno delas lospolíticas
cinco elementos y prácticas delcontables
control interno. y de información
Los componentes financiera deldecontrol
la Entidad.
interno son:
Es una situación en la que el juicio del individuo y la integridad de una acción,
- Ambiente
tienden
Las a estar
políticas, deprocedimientos,
Control
indebidamentepracticas influenciado por un interés
y estructuras secundario, de
organizacionales paratipo
- Evaluación
generalmente
proporcionar
Control diseñado del Riesgo
económico
seguridadpara descubrir o personal.
razonable de queinvoluntarios
eventos los objetivos oorganizacionales que resulten después se de
- Información
alcanzarán
que y que
ocurra diseñado,
el y Comunicación
los eventos
procesamiento no deseados
inicial pero antesse evitaran
de por quelos elo último
detectaran objetivo ydel
corregirán.
se haya
El proceso
- Actividades de Control implementado y mantenido encargados Gobierno,
cumplido.
la
Un Administración
sistema de y otrointerno personal para provee
proporcionar la Seguridad Razonable acerca
- Monitoreo decontrol
Controles efectivo una seguridad razonable acerca del
del
logro logro
de de los
objetivos objetivos
de la de
Entidad, la Entidad
este respecto
requiere
Es el proceso diseñado por la administración con el fin de proveer aseguramiento que a las
cadaoperaciones,
uno de los reporte
cinco y
cumplimiento.
componentes
razonable
Un control sobre de la
diseñado control parainterno
confiabilidad evitar un ydeprincipios
los estados
evento relevantes,
financieros
involuntario oestén (depresentes,
resultado acuerdoen el conmomento
funcionando
principios
de su ocurrencia
Actividades y
contablesoperando
de control de
generalmente manera conjunta.
aceptados)
inicial.en su mayoría o totalmente realizadas a través que se le presentan al público.
de la
tecnología.
Procedimientos diseñados para restringir el acceso a los programas e información.
Los Controles demanuales
Procedimientos Acceso consisten o automatizados en la “autenticación
que típicamente del usuario”
operan ay nivel “autorización
de un
del usuario”.
proceso La “autenticación del usuario”
Actividades de control que ayudan a asegurar la apropiada operación de la o de
de negocios. Los Controles de típicamente
Aplicación pueden intenta
ser identificar
de prevención a un
usuario
detección
tecnología.
Controles a través
porEstos
ejecutados de
naturaleza identificaciones
incluyen y los
manualmente,están controles de
noregistros
diseñados asobre para
través la únicos,
asegurar
infraestructura
de passwords,
la integridad
la tecnología. tarjetas
de tecnología, en elde
acceso o información
procesamiento
administración de
de la
la biométrica.adquisición
información.
seguridad, La “autorización de del usuario”
tecnología, consiste
desarrollo, y en reglas
Actividades de control que soportan directamente las acciones para mitigar los
de acceso para Otros
mantenimiento. determinar término losutilizado
recursospara a loslos cualesControles puedegenerales
acceder cada de usuario.
tecnología
riesgos relacionados
Committe of Sponsoring con el procesamiento
Organizations ofestán
thetransaccional
Treadway en los procesos
Commission (por de
sus la
Específicamente,
son "controles dichos
generales procedimientos
deuna computación" diseñados
y "controles para
de tecnología prevenir de o detectar:
Entidad.
siglas
Esta en Los
relacionado controles
inglés). COSO
con el transaccionales
es
cumplimiento iniciativa a pueden
las conjunta
leyes ser y demanuales
cinco
regulaciones o automáticos
organizaciones
aplicables a yla
del
- El acceso no autorizado a programas e información.
información".
buscan
sector
Entidad.
Es cubrir los
privado
un sinónimo y deseobjetivos
dedica ade
deficiencia procesamiento
liderar
de el desarrollo
control interno. de de información
Una marcos
deficiencia y relacionados
guías deen con:
la gestión
control
- Ingreso de transacciones no autorizadas.
integridad,
de riesgos, exactitud
control y
interno, validez.
también
- Cambios
Corresponde describe
no ununa
aautorizados
deficiencia adisuasión
deficiencia los enarchivos
un de
concomponente fraude.
respecto a un
de información. control particular
o componentes o actividad de
y principios
control.
- El uso
relevantes de queprogramas
reduce por
la personal
probabilidad no del
Una deficiencia o combinación de deficiencias en el Control Interno que reduceautorizado..
logro de los objetivos por parte de la de
-
(1)El
Entidad.
manera uso de
propósito, programas
significativa
de la manera que
la probabilidad no han
como sedel sido
usalogroautorizados.
dentro de de los la objetivos
definición porde parte
control de lainterno,
Entidad.
el diseño
Una entidaddel legal
sistema o modelo de control interno busca
de operaciones deproveer
la gerencia seguridad razonable
de cualquier tamaño
respectodeallalogro
establecida
Estado para
posiciónde propósito.
un los objetivos;
financiera, Una cuando
Entidad
estado deelingresos,
objetivo
puede serse porlogra,
estado elcambios
ejemplo,
de sistema puede
en el ser
organización
declarado
sin ánimo
patrimonio, efectivo.
de lucro,
estado de(2)
ente planeación,
flujogubernamental,
de caja, la
y forma
notas
La evaluación de riesgos es el proceso de la entidad para identificar y analizar o como
institución
a los se
estados espera
académica. que
financieros. elElsistema
modelo de
funcione,
operaciones
riesgos contrastado
relevantesde la gerencia
para con el lapuede
logro manerade estar
sus como efectivamente
asociado
objetivos, con
formando línea funciona.
de
las servicio,
bases paradivisiones,
Corresponden a actividades (manuales o automáticas) que sirven para monitorear
unidades
determinar operativas.
Incluye autocómo
la efectividad se deben
del control
evaluaciones, internoadministrar
en lasenque lospersonas
el curso
las riesgos.
ordinarioresponsablesde las operaciones. por una Las unidad o
evaluaciones
función
El fraudeparticular ongoing
comprende determinan son
tanto el usoejecutadas
la efectividad normalmente
del engaño deparalos controles por la administración
obtener para susfinancieras
ventajas o
actividades.
supervisores.
Asídeterminación
mismo,
injustas
La enIncluyen
o ilegales, esta quecomo actos
categoría
los malas regulares
componentes de
serepresentaciones
incluyen administración
y las evaluaciones
principios intencionales
relevantes y realizadas
supervisión,
que afectan
continúan por laslos
comparaciones,
Auditorías
estados
existiendo (interna
financieros,
en el conciliaciones
y
Sistema externa).
cometidosde Controly
porotrasuno acciones
o
Interno. más rutinarias.
individuos de la gerencia,
La gerencia es la persona o grupo de personas con responsabilidad por la
empleados
Comprende:yde
conducción partes relacionadas.
las operaciones de Dos tipos dePara
la entidad. errores algunasintencionales
compañías son en ciertas
relevantes:
jurisdicciones, errores
la resultantes
gerencia incluye de reportes
algunas ofinancieros
todas aquellasfraudulentos
personas y errores
que
- Independencia
ITIL: Todo el hardware, de pensamiento—el
software, redes, estado mental que
instalaciones etc.permite
requeridas paratienen
la expresión de
resultantes
relación
una con
opinión dela
sin la inadecuada
gobernabilidad;
ser afectada apropiación
por por ejemplo,
influencias deque activos.
los miembros
comprometan de la Junta
el Juicio, Directiva.
Desarrollar,
La cualidad o Probar,
el estado proveer,
de sonar Monitorizar,
moral, deControlar ser recto, o honesto
soportar ylos Servicios
sincero; tenerdeel TI.
permitiendo
El término
deseo
Cuando delahacer quelas
gerencia un cosas
Infraestructura individuo
hace caso de
de TI actúe
incluye
manera
omiso con integridad,
detodas
correcta, las
lo definido yen
deTecnologíasejerza
profesar ylavivir
las políticas de la deyInformación
conformidad
objetividad..
pero
con un noconjunto
las personas,
procedimientos delimitaciones
con Procesoslegítimos
valores.
propósitos y documentación asociados.
Corresponde a las del controlcuando interno.atiende transacciones
Las limitaciones no
relacionadas
- Independencia
recurrentes o no en apariencia—la
estándares o eventos abstinencia
que de de
otra hechos
manera, y nocircunstancias
podrían ser que
con
Es las
eltan precondiciones
resultado de un que del
evento control
expresado interno, eventos
cualitativa externos más
o cuantitativamente, allá del control
sea este de
son
atendidos significativos
de la manera un
correcta. tercero razonable e informado, que tiene el
la
una
Es entidad,
pérdida, limitaciones
la visualización perjuicio global o en el
desventaja.juicio
de los riesgos de Se las personas,
definen rangos
de una incluyendo la
organización,posibilidad
sobre los de el
resultados
diferenciándolossobrepaso de
conocimiento de toda la información relevante, algunas salvaguardas
de controles
posibles
acuerdo
Es con
la magnitud por
asociados
susde parte
niveles
una de dela criticidad.
a razonablemente
un evento.
omisión Gerencia
o errorque ySela convierte
en colusión.
la en una carta deque navegación
aplicadas, concluiría la información
integridad, financiera
objetividad, están de acuerdo
para
con conocer
las y definir estrategias
circunstancias
comprometidos. hace probable de gestión
que el juicio para de los unariesgos.persona cambie o se vea
influenciado por la omisión o error. Un hecho es material si existe una probabilidad
substancial que el hecho sea visto por una inversionista razonable como que
genera una alteración significativa de la información disponible
Los nivel más grande de la entidad, separadas y distintas de las otras partes de la
misma
Palabraincluyendo
utilizada con subsidiarias,
"objetivos"divisiones,
o "controles":unidades operativas,con
está relacionado y funciones.
la eficiencia y
eficacia de las operaciones de la entidad, incluyendo
Circunstancias como ausencia de controles o controles ineficaces que las metas de desempeño y
facilitan la
rentabilidad.
oportunidad
Personas, incluidade perpetrar un Gerencia
la Junta, fraude. y demás personal.
Una organización de servicio es una entidad externa (o el segmento de una
entidad) queemitida
Declaración suministra por servicios
los entes al deGrupo o sus
gobierno subordinadas
o la administración ende relación con un
la Entidad
proceso
acerca designificativo
lo que debe en el cual
hacerse dicha
para organización
tener control. realice
Estas el inicio,
declaraciones
La determinación que los componentes y principios relevantes existen en el diseño contabilización,
deben estar
procesamiento
documentadas,
e implementación yyreporte
del de
establecidas
Sistema las transacciones
de
de manera
Control con
explícita
Interno. las
a cuales
través
Situaciones que conllevan a la tentación de malversación de activos o falsificar los se
de generan los
comunicaciones, e
reportes
implícitas financieros.
registros de a través de las
la organización, acciones y decisiones.
por ejemplo: Las políticas
problemas financieros, sirven como
altoslos base
indicadores
Principios que representan conceptos fundamentales asociados con
para la por
fijados definición
componentes. Son demuy
la organización,procedimientos.
mantener un estilo en
de vida por encima de los ingresos,
Es la posibilidad que un pocas
evento las
se situaciones
materialice. que
Para condiciones
determinar específicas
la probabilidad de
se
entre
puede otros.
industria, operaciones,
utilizar
Una acción que análisisregulación,
el implementa cualitativo llevaría a concluir
o cuantitativo,
una política. así acomo
la administración
la estadísticaque un
de la
principio
situación.
Mentalidad noElyes relevante
análisis
pensamiento para
queun
cualitativo secomponente.
lo utiliza
que se para aquellos casos
está haciendo en los cuales no
está justificado.
existen datos para generar estadísticas; ésta se asocia
Hace referencia a los objetivos relacionados a la fiabilidad de la informaciónal criterio de frecuencia
(medida de las
suministrada porveces
la que se sucede
organización, que un evento
incluye expresado
datos internos como
y la cantidad
externos, de
así como
El reporte ISA E 3402 (Norma Internacional) o SSAE 16 (Norma Americana), a es
ocurrencias
información en un
financieratiempo dado).
un informe de auditoríayde nouna
financiera.
organización de prestación de servicios que
describe las políticas y procedimientos de dicha organización y que son relevantes
para el control interno de la organización usuaria (la que recibe el servicio), con
respecto a si tales políticas y procedimientos fueron diseñados a la medida para
lograr los objetivos del control específicos al servicio y si se encuentran en
operación al cierre de una fecha específica, si estuvieron en operación al cierre de
una fecha específica, y si las políticas y procedimientos que fueron probados
fueron lo suficientemente efectivos para suministrar razonable, pero no absoluta,
seguridad de que se lograron los objetivos de control durante el período específico.
La decisión de aceptar, evitar, reducir o compartir un riesgo.

La posibilidad de que un evento ocurra y afecte de manera adversa el logro de los
objetivos.
El riesgo de fraude es un riesgo de error material sobre los estados financieros
debido
El riesgoa la acción
frente intencional
al logro de los cometida
objetivos enporausencia
un empleado para asegurar
de cualquier acciónunapor parte
ganancia
de riesgo
El injusta
la administracióno indebida.
frente al logroparadeafectar el impacto
los objetivos que opermanece
probabilidadunadevezdicho riesgo. al
la respuesta
riesgo
La ha sido diseñada
segregación de funcionese implementada
se define como por parte de la administración.
la asignación de las
responsabilidades
Hace referencia a que de autorización
no importa que de transacciones, registro de
tan bien esté diseñado transacciones el
e implementado y
mantenimiento
control
Cuando interno, de
no la
la gerencia custodia
sehace
puedecaso de los activos
garantizar
omiso deque a diferentes
los objetivos
lo definido en las personas
depolíticas para
la entidady sereducir
van a la
oportunidad
cumplir.
SoftwareEstode de
procedimientos seque
debe
con
aplicacióncualquier
propósitos persona
aejecutándose
las limitaciones tenga
ilegítimos
en y la
un la
inherentes posibilidad
de todos
intención
computador, delos
perpetrar
desistemas
obtener sistemas y ocultar
de de
beneficios
de control
errores
control o fraude
interno.
personales
manufactura, o durante
mejorar
etc. la el normal
presentación desarrollo
de los de sus
estados funciones.
financieros La segregación
para mostrar de
La variación aceptable en relación con frente al desempeño en el logro de los
funciones
cumplimiento. debe ser habilitada mediante los sistemas de información, así como a
objetivos.
Hace
travésreferencia
de controles a lamanuales
actitud y compromiso
para restringirdeellaacceso
Gerencia frente
a los al control
activos físicos,interno
a fin de
de la
Valoresorganización.
morales que permiten a las personas tomar las decisiones
garantizar la separación de roles y responsabilidades en toda la organización. apropiadas,
estos valores deben estar fundamentados en lo que es correcto, lo cual puede ir
mucho más allá de lo que es legal.
Registro de deficiencias -Programa de Trabajo Diagnóstico COSO Actualizado Mayo 2013
Guía Adicional:
Para cada una de las deficiencias identificadas en el diagnóstico de cada uno de los componentes, diligencie la información solicitada en las columnas resaltadas en color verde. Las columnas en color rosado son formuladas, por favor NO las modifique.
Para el diligenciamiento de la "Severidad" y "Clasificación de la Deficiencia" (Columnas M y N), tenga en cuenta la siguiente clasificación:
Clasificación de la deficiencia Descripción

Oportunidad de Mejora En esta categoría se deberán clasificar las deficiencias que se hayan calificado con nivel de severidad "1".
En esta categoría se deberán clasificar las deficiencias que se hayan calificado con nivel de severidad "2" así como aquellas que,
Deficiencia de Control evaluadas en conjunto con otras deficiencias de severidad "2" que afecten el mismo principio, impliquen que el principio asociado no
está "Presente".
En esta categoría se deberán clasificar:
• Las deficiencias calificadas con nivel de severidad "3".
Deficiencia Mayor • Aquellas deficiencias calificadas con nivel de severidad "2" y que analizadas en conjunto con otras deficiencias que afecten el mismo
principio, lleven a concluir que el principio no se encuentra "Presente".
Registro de deficiencias -Programa de Trabajo Diagnóstico COSO 2013
RESPONSABLE FECHA MAXIMA DE REMEDIACIÓN CLASIFICACIÓN DE LA

DEFICIENCIA No. FUENTE DE LA DEFICIENCIA DESCRIPCIÓN DE LA DEFICIENCIA PLAN DE REMEDIACIÓN
(Nombre completo (Cargo)) (DD/MM/AAAA) DEFICIENCIA
Id. Requerimiento Componente Principio Descripción del principio Punto de Interes Descripción punto de enfoque Pregunta Indicativa
1 1.1.1 Ambiente de Control Principio 1 La Organización demuestra Punto de enfoque 1 Se da el ejemplo ("Tone at the ¿La trayectoria profesional y
compromiso con la integridad y los Top"). personal de los miembros de la
valores éticos. Junta Directiva y la Gerencia están
alineados con los principios y
valores éticos establecidos para la
entidad?
2 12.62.1 Actividades de Control Principio 12 La organización despliega las Punto de enfoque 62 Desarrolla las actividades de 12.62.1 La asignación de los
actividades de control a través de control utilizando personal controles se realiza considerando
políticas que establecen las líneas competente. el nivel de competencia del
generales del control interno y personal y su autoridad para llevar
procedimientos que llevan dichas a cabo el control, la complejidad
políticas a la práctica. de la actividad de control, y el
volumen de las operaciones.
3 #N/A #N/A #N/A #N/A #N/A #N/A
4 #N/A #N/A #N/A #N/A #N/A #N/A
5 #N/A #N/A #N/A #N/A #N/A #N/A
6 #N/A #N/A #N/A #N/A #N/A #N/A
7 #N/A #N/A #N/A #N/A #N/A #N/A
8 #N/A #N/A #N/A #N/A #N/A #N/A
9 #N/A #N/A #N/A #N/A #N/A #N/A
10 #N/A #N/A #N/A #N/A #N/A #N/A
11 #N/A #N/A #N/A #N/A #N/A #N/A
12 #N/A #N/A #N/A #N/A #N/A #N/A
13 #N/A #N/A #N/A #N/A #N/A #N/A
14 #N/A #N/A #N/A #N/A #N/A #N/A
15 #N/A #N/A #N/A #N/A #N/A #N/A
16 #N/A #N/A #N/A #N/A #N/A #N/A
17 #N/A #N/A #N/A #N/A #N/A #N/A
18 #N/A #N/A #N/A #N/A #N/A #N/A
19 #N/A #N/A #N/A #N/A #N/A #N/A
Internal Control — Integrated Framework • May 2013 129

20 #N/A #N/A #N/A #N/A #N/A #N/A
21 #N/A #N/A #N/A #N/A #N/A #N/A
22 #N/A #N/A #N/A #N/A #N/A #N/A
23 #N/A #N/A #N/A #N/A #N/A #N/A
24 #N/A #N/A #N/A #N/A #N/A #N/A
25 #N/A #N/A #N/A #N/A #N/A #N/A
26 #N/A #N/A #N/A #N/A #N/A #N/A
27 #N/A #N/A #N/A #N/A #N/A #N/A
28 #N/A #N/A #N/A #N/A #N/A #N/A
29 #N/A #N/A #N/A #N/A #N/A #N/A
30 #N/A #N/A #N/A #N/A #N/A #N/A
31 #N/A #N/A #N/A #N/A #N/A #N/A
32 #N/A #N/A #N/A #N/A #N/A #N/A
33 #N/A #N/A #N/A #N/A #N/A #N/A
34 #N/A #N/A #N/A #N/A #N/A #N/A
35 #N/A #N/A #N/A #N/A #N/A #N/A
36 #N/A #N/A #N/A #N/A #N/A #N/A
37 #N/A #N/A #N/A #N/A #N/A #N/A
38 #N/A #N/A #N/A #N/A #N/A #N/A
39 #N/A #N/A #N/A #N/A #N/A #N/A
40 #N/A #N/A #N/A #N/A #N/A #N/A
41 #N/A #N/A #N/A #N/A #N/A #N/A
42 #N/A #N/A #N/A #N/A #N/A #N/A

43 #N/A #N/A #N/A #N/A #N/A #N/A
44 #N/A #N/A #N/A #N/A #N/A #N/A
45 #N/A #N/A #N/A #N/A #N/A #N/A
46 #N/A #N/A #N/A #N/A #N/A #N/A
47 #N/A #N/A #N/A #N/A #N/A #N/A
48 #N/A #N/A #N/A #N/A #N/A #N/A
49 #N/A #N/A #N/A #N/A #N/A #N/A
50 #N/A #N/A #N/A #N/A #N/A #N/A
51 #N/A #N/A #N/A #N/A #N/A #N/A
52 #N/A #N/A #N/A #N/A #N/A #N/A
53 #N/A #N/A #N/A #N/A #N/A #N/A
54 #N/A #N/A #N/A #N/A #N/A #N/A
55 #N/A #N/A #N/A #N/A #N/A #N/A
56 #N/A #N/A #N/A #N/A #N/A #N/A
57 #N/A #N/A #N/A #N/A #N/A #N/A
58 #N/A #N/A #N/A #N/A #N/A #N/A
59 #N/A #N/A #N/A #N/A #N/A #N/A
60 #N/A #N/A #N/A #N/A #N/A #N/A
61 #N/A #N/A #N/A #N/A #N/A #N/A
62 #N/A #N/A #N/A #N/A #N/A #N/A
63 #N/A #N/A #N/A #N/A #N/A #N/A
64 #N/A #N/A #N/A #N/A #N/A #N/A
65 #N/A #N/A #N/A #N/A #N/A #N/A

66 #N/A #N/A #N/A #N/A #N/A #N/A
67 #N/A #N/A #N/A #N/A #N/A #N/A
68 #N/A #N/A #N/A #N/A #N/A #N/A
69 #N/A #N/A #N/A #N/A #N/A #N/A
70 #N/A #N/A #N/A #N/A #N/A #N/A
71 #N/A #N/A #N/A #N/A #N/A #N/A
72 #N/A #N/A #N/A #N/A #N/A #N/A
73 #N/A #N/A #N/A #N/A #N/A #N/A
74 #N/A #N/A #N/A #N/A #N/A #N/A
75 #N/A #N/A #N/A #N/A #N/A #N/A
76 #N/A #N/A #N/A #N/A #N/A #N/A
77 #N/A #N/A #N/A #N/A #N/A #N/A
78 #N/A #N/A #N/A #N/A #N/A #N/A
79 #N/A #N/A #N/A #N/A #N/A #N/A
80 #N/A #N/A #N/A #N/A #N/A #N/A
81 #N/A #N/A #N/A #N/A #N/A #N/A
82 #N/A #N/A #N/A #N/A #N/A #N/A
83 #N/A #N/A #N/A #N/A #N/A #N/A
84 #N/A #N/A #N/A #N/A #N/A #N/A
85 #N/A #N/A #N/A #N/A #N/A #N/A
86 #N/A #N/A #N/A #N/A #N/A #N/A
87 #N/A #N/A #N/A #N/A #N/A #N/A
88 #N/A #N/A #N/A #N/A #N/A #N/A

89 #N/A #N/A #N/A #N/A #N/A #N/A
90 #N/A #N/A #N/A #N/A #N/A #N/A
91 #N/A #N/A #N/A #N/A #N/A #N/A
92 #N/A #N/A #N/A #N/A #N/A #N/A
93 #N/A #N/A #N/A #N/A #N/A #N/A
94 #N/A #N/A #N/A #N/A #N/A #N/A
95 #N/A #N/A #N/A #N/A #N/A #N/A
96 #N/A #N/A #N/A #N/A #N/A #N/A
97 #N/A #N/A #N/A #N/A #N/A #N/A
98 #N/A #N/A #N/A #N/A #N/A #N/A
99 #N/A #N/A #N/A #N/A #N/A #N/A
100 #N/A #N/A #N/A #N/A #N/A #N/A
101 #N/A #N/A #N/A #N/A #N/A #N/A
102 #N/A #N/A #N/A #N/A #N/A #N/A
103 #N/A #N/A #N/A #N/A #N/A #N/A
104 #N/A #N/A #N/A #N/A #N/A #N/A
105 #N/A #N/A #N/A #N/A #N/A #N/A
106 #N/A #N/A #N/A #N/A #N/A #N/A
107 #N/A #N/A #N/A #N/A #N/A #N/A
108 #N/A #N/A #N/A #N/A #N/A #N/A
109 #N/A #N/A #N/A #N/A #N/A #N/A
110 #N/A #N/A #N/A #N/A #N/A #N/A
111 #N/A #N/A #N/A #N/A #N/A #N/A

112 #N/A #N/A #N/A #N/A #N/A #N/A
113 #N/A #N/A #N/A #N/A #N/A #N/A
114 #N/A #N/A #N/A #N/A #N/A #N/A
115 #N/A #N/A #N/A #N/A #N/A #N/A
116 #N/A #N/A #N/A #N/A #N/A #N/A
117 #N/A #N/A #N/A #N/A #N/A #N/A
118 #N/A #N/A #N/A #N/A #N/A #N/A
119 #N/A #N/A #N/A #N/A #N/A #N/A
120 #N/A #N/A #N/A #N/A #N/A #N/A
121 #N/A #N/A #N/A #N/A #N/A #N/A
122 #N/A #N/A #N/A #N/A #N/A #N/A
123 #N/A #N/A #N/A #N/A #N/A #N/A
124 #N/A #N/A #N/A #N/A #N/A #N/A
125 #N/A #N/A #N/A #N/A #N/A #N/A
126 #N/A #N/A #N/A #N/A #N/A #N/A
127 #N/A #N/A #N/A #N/A #N/A #N/A
128 #N/A #N/A #N/A #N/A #N/A #N/A
129 #N/A #N/A #N/A #N/A #N/A #N/A
130 #N/A #N/A #N/A #N/A #N/A #N/A
131 #N/A #N/A #N/A #N/A #N/A #N/A
132 #N/A #N/A #N/A #N/A #N/A #N/A
133 #N/A #N/A #N/A #N/A #N/A #N/A
134 #N/A #N/A #N/A #N/A #N/A #N/A

135 #N/A #N/A #N/A #N/A #N/A #N/A
136 #N/A #N/A #N/A #N/A #N/A #N/A
137 #N/A #N/A #N/A #N/A #N/A #N/A
138 #N/A #N/A #N/A #N/A #N/A #N/A
139 #N/A #N/A #N/A #N/A #N/A #N/A
140 #N/A #N/A #N/A #N/A #N/A #N/A
141 #N/A #N/A #N/A #N/A #N/A #N/A
142 #N/A #N/A #N/A #N/A #N/A #N/A
143 #N/A #N/A #N/A #N/A #N/A #N/A
144 #N/A #N/A #N/A #N/A #N/A #N/A
145 #N/A #N/A #N/A #N/A #N/A #N/A
146 #N/A #N/A #N/A #N/A #N/A #N/A
147 #N/A #N/A #N/A #N/A #N/A #N/A
148 #N/A #N/A #N/A #N/A #N/A #N/A
149 #N/A #N/A #N/A #N/A #N/A #N/A
150 #N/A #N/A #N/A #N/A #N/A #N/A
151 #N/A #N/A #N/A #N/A #N/A #N/A

Celda formulada
Conclusión general sobre la evaluación del Control Intern
Entidad evaluada:
Están todos los componentes operando

juntos y de manera integrada? (Si/No):
* Para esto evalúe si existen deficiencias que
analizadas de manera agregada a través de
los componentes pueden representar una
deficiencia mayor.
Objetivos evaluados:
¿Es efectivo el sistema de control interno

para los objetivos evaluados? (Si/No):
Documente la base para llegar a esta

conclusión:
El componente
El componente está
Componente está
presente?
funcionando?
Ambiente de control Si
Evaluación de riesgos Si
Actividades de control Si
Información y comunicación Si
Monitoreo Si
* Si se determina que existe una deficiencia mayor bien sea en el análisis agregado a nivel de principios o com
Gerencia no podrá concluir que el sistema de control interno es efectivo.
ón del Control Interno
Explicaciones/Conclusiones
nivel de principios o componentes, la

FUNDACION COMUNAL DE SECHURA - Diagnostico Coso 2013

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

FUNDACION COMUNAL DE SECHURA - Diagnostico Coso 2013

Cargado por

Copyright:

Formatos disponibles

PROGRAMA DE TRABAJO REVISIÓN O IMPLEMENTACIÓN COSO 201

(instrucciones para su diligenciamiento)

En esta columna se debe diligenciar el nombre del área que da respu

Nombre del Área / Cargo

Diligenciar con el nivel de detalle suficiente la manera como la Entida

De acuerdo con lo identificado como resultado dela evaluación del re

Consecutivo para identificar la evidencia que se identifica cubre el req

Indicar el nombre del manual, política, procedimiento o instructivo en

Es muy importante documentar en esta sección el numeral específico

Manual/Política/Procedimiento/Instr documentado según nos indiquen y que el manual/política/procedimie

Seleccione de la lista desplegable "Si" o "No". Si la actividad no está

Seleccione de la lista desplegable "√" para el/los objetivo (s) de COS

Seleccionar de la lista desplegable 1, 2 o 3 de acuerdo con los siguie

Todos los requerimientos señalados en cada una de las hojas

Esa columna se diligencia de manera automática de acuerdo c

Esa columna se diligencia de manera automática de acuerdo c

Esa columna se diligencia de manera automática de acuerdo c

Esa columna se diligencia de manera automática de acuerdo c

DESCRIPCIÓN DE LA DEFICIENCIA En esta columna documente con el suficiente nivel de detalle,

RESPONSABLE Incluya en esta columna Nombre completo y cargo del funcion

tos contribuyen en el proceso de consolidación de resultados y evaluación consolidada del Grupo:

ntes secciones del diagnóstico.

debe diligenciar el nombre del área que da respuesta al

el de detalle suficiente la manera como la Entidad está dando

entificado como resultado dela evaluación del requerimiento,

ntificar la evidencia que se identifica cubre el requerimiento

manual, política, procedimiento o instructivo en donde se encuentra

ocumentar en esta sección el numeral específico del documento en

desplegable "Si" o "No". Si la actividad no está incluida en la matriz

desplegable "√" para el/los objetivo (s) de COSO cubiertos por la

a desplegable 1, 2 o 3 de acuerdo con los siguientes criterios y

eben diligenciarse como se describe a continuación:

ientos señalados en cada una de las hojas de los

as identificadas, en este columna seleccione de la lista

igencia de manera automática de acuerdo con el Id.

igencia de manera automática de acuerdo con el Id.

igencia de manera automática de acuerdo con el Id.

igencia de manera automática de acuerdo con el Id.

ocumente con el suficiente nivel de detalle, la deficiencia

umna Nombre completo y cargo del funcionario responsable

iciente nivel de detalle las acciones que serán

/MM/AAAA incluya la fecha máxima acordada con el

utilizados a través del plan de trabajo.

Principio 1: La Organización demuestra

Punto de Interes 1: Establece el ("Tone at the

1.1.2 ¿La actitud de la gerencia ante la intervención

Principio 1: La Organización demuestra

Punto de Interés 4:Aborda cualquier desviación de

1.4.3 ¿Existen mecanismos y herramientas a nivel

Principio 2. El consejo de administración (Junta

Punto de Interés 6: Aplica los conocimientos

2.6.1 ¿La Junta Directiva / Comité de Auditoría está

Punto de Interes 8:Proporciona supervisión para el

2.8.3 ¿La Junta Directiva / Comité de auditoría

Principio 3. La dirección establece, con la

Punto de Interés 9: Tiene en cuenta todas las

3.9.1 ¿La dirección se asegura de que se hayan

Principio 3. La dirección establece, con la

Punto de Interés 11: Define, asigna y limita

3.11.1 ¿Se cuenta con manuales de descripciones

Principio 4. La Organización demuestra

Punto de Interés 12: Establece políticas y

Principio 4. La Organización demuestra