Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Para evaluar el control interno sobre reporte financiero la entidad ha seleccionado el marco integrado de control interno de
actualización sobre el marco lo cual, hace imperativo actualizar nuestro proceso de evaluación frente a la nueva versión d
transición que vence el 15 de diciembre de 2014, por lo anterior, se ha definido este programa de trabajo diagnóstico fren
de identificar brechas definir planes de acción y responsables.
1. Recomendaciones/aclaraciones generales:
Por favor, siga los lineamientos generales que se describen a continuación, estos contribuyen en el proceso de consolida
- Lea y siga cuidadosamente los lineamientos que se establecen en este instructivo para el diligenciamiento de cada uno
- No modifique la estructura del archivo cambiando las listas desplegables predefinidas ni las formulaciones incluidas en
no es válido incluir respuestas diferentes a las opciones dadas por la lista desplegable.
- Así mismo, conserve el orden de las columnas, pestañas, y títulos de las columnas.
- No incluya columnas adicionales sobre los formatos establecidos en cada una de las hojas del archivo.
- Si requiere la adición de filas, asegure que se conserva la estructura de los formatos (listas desplegables, "merge de ce
- Tenga en cuenta que este programa de trabajo se constituye en nuestro principal soporte frente a la evaluación de COS
debe cumplir con parámetros mínimos de calidad y estructura que permitan una adecuada consolidación y conclusión por
pueda ver soportada nuestra evaluación y conclusiones a través de este documento.
- Este programa de trabajo diagnóstico será diligenciado asegurando el cubrimiento a cada uno de los objetivos (Reporte
2. Instrucciones:
El archivo de diagnóstico contiene las siguientes hojas:
- Instructivo: Instrucciones generales para el diligenciamiento de las diferentes secciones del diagnóstico.
- Pestañas por cada uno de los componentes de control interno: "Ambiente de Control", "Evaluación de riesg
Supervisión". Estas 5 pestañas cuentan todas con la misma estructura. A través de éstas se evaluará frente a los principi
cubrimiento de cada una de las Entidades. A continuación se describe el diligenciamiento de cada uno de los campos que
Columna Descripción
Esta columna transcribe los principios y sus puntos de enfoque suger
Principio X: 2013 para cada uno de los componentes de control interno. Debajo d
principios y puntos de enfoque se incluyen preguntas específicas que
Punto de enfoque X: Entidades en el proceso de determinar el nivel de cubrimiento frente a
del punto de enfoque señalado por COSO.
Esta columna complementa los requerimientos establecidos en la col
Busca brindar mayor detalle para que las Entidades puedan entender
solicitado y determinar de manera más eficiente la forma como dan c
uno de los requerimientos establecidos en el programa de trabajo. Lo
indicados en esta columna no son mandatorios y es viable que en su
ORIENTACIÓN ADICIONAL diagnóstico las Entidades identifiquen que cuentan con otros impleme
su evaluación contribuyen en el cubrimiento del punto de enfoque sug
OBJETIVOS COSO
Operación actividad identificada. Para tal efecto en los objetivos de Reporte, ten
siguientes nomenclaturas:
- FE (Sox): Reporte Financiero Externo.
Reporte - NFE: Reporte No Financiero Externo.
- FI: Reporte Financiero Interno.
- NFI: Reporte No Financiero Externo.
Cumplimiento
- Deficiencias: Esta hoja está compuesta por los siguientes campos, que deben diligenciarse como se describe a conti
Columna Descripción
DEFICIENCIA No. Id consecutivo para identificar las deficiencias.
PLAN DE REMEDIACIÓN Describa con el suficiente nivel de detalle las acciones que ser
implementadas para cerrar la oportunidad de mejora/deficienc
FECHA MAXIMA DE REMEDIACIÓN Bajo el formato DD/MM/AAAA incluya la fecha máxima acorda
responsable, en que estarán implementados los planes de rem
establecidos. Tenga en cuenta que la fecha de remediación de
oportunidades de mejora identificadas no puede ser posterior
diciembre de 2014, el cual debe estar presente y funcionando.
- Glosario: Definiciones de algunos términos asociados con control interno y utilizados a través del plan de trabajo.
MPLEMENTACIÓN COSO 2013
genciamiento)
ado el marco integrado de control interno de COSO (en adelante, el marco). En mayo de 2013, COSO liberó una
o de evaluación frente a la nueva versión del mismo (Conocida como COSO 2013). Este proceso tiene un período de
o este programa de trabajo diagnóstico frente al cumplimiento de los aspectos contenidos en dicho marco con el fin
Descripción
ibe los principios y sus puntos de enfoque sugeridos por COSO
de los componentes de control interno. Debajo de cada uno de los
e enfoque se incluyen preguntas específicas que buscan guiar a las
eso de determinar el nivel de cubrimiento frente a los requerimientos
señalado por COSO.
ementa los requerimientos establecidos en la columna anterior.
detalle para que las Entidades puedan entender el requerimiento
ar de manera más eficiente la forma como dan cubrimiento a cada
entos establecidos en el programa de trabajo. Los aspectos
umna no son mandatorios y es viable que en su proceso de
ades identifiquen que cuentan con otros implementados que según
uyen en el cubrimiento del punto de enfoque sugerido por COSO.
Descripción
dentificar las deficiencias.
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
- Existen políticas de reclutamiento de personal técnico
especializado que incluyen entrevistas y verificación de
información tanto académica como personal (cultura y estilo de
administración) para asegurar que se contratan funcionarios
que se alinean con los perfiles esperados en la Entidad.
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
Tume Iman Melissa Raquel /tesorera Si, la gerencia establece controles y acciones para
reducir los actos fraudulentos y deshonestos, hace
seguimiento de los incidentes que pudiecen haber,
ademas realiza controles en el codigo de etica y
conducta lo cual cualquier acto deshonesto es
comunicado a toda la organizacion.
Gómez amaya Julio /Jefe de maquinaria si, gerencia monitorea el cumplimiento de las
metas asimismo las asignaciones de recompensas
Heidy celeste tume Bayona/Asistente del área de l y salarios
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
4
3
5
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
2
3
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
4
3
5
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
2
3
4
1
5
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
4
3
5
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
1 supervision y monitoreo al jefe de recursos humanos
4
3
5
Referencia a Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la actividad)
4
2
5
4
3
5
8
ás componentes del control interno, proporcionando
bilidad, así como también la manera en que organiza y
OBJETIVOS COSO
Reporte Funcionando
(1/2/3)
Cumplimiento
Operación
FE
NFE FI NFI
(Sox)
√ √ √ 3
OBJETIVOS COSO
ionando
/2/3)
√
Operación Operación
√
FE
FE
(Sox)
(Sox)
NFE
NFE
Reporte
Reporte
FI
FI
OBJETIVOS COSO
NFI
NFI
√
√
Cumplimiento Cumplimiento
Funcionando Funcionando
3
(1/2/3) (1/2/3)
3
OBJETIVOS COSO
Funcionando
Reporte
Cumplimiento
(1/2/3)
Operación
FE
NFE FI NFI
(Sox)
√ √ √
OBJETIVOS COSO
ncionando
(1/2/3)
√
√
Operación Operación
FE
FE
(Sox)
(Sox)
NFE
NFE
√
√
Reporte
Reporte
FI
FI
OBJETIVOS COSO
NFI
NFI
√
√
Cumplimiento Cumplimiento
Funcionando Funcionando
3
(1/2/3) (1/2/3)
√
Operación Operación
FE
FE
(Sox)
(Sox)
NFE
NFE
Reporte
Reporte
FI
FI
OBJETIVOS COSO
OBJETIVOS COSO
NFI
NFI
√
Cumplimiento Cumplimiento
Funcionando Funcionando
3
2
(1/2/3) (1/2/3)
√ √ √
OBJETIVOS COSO
Funcionando
Cumplimiento
Reporte
(1/2/3)
Operación
FE
NFE FI NFI
(Sox)
√ √ √
OBJETIVOS COSO
Funcionando
(1/2/3)
√
Operación
FE
(Sox)
NFE
√
Reporte
FI
NFI
Cumplimiento
Funcionando
3
(1/2/3)
EVALUACIÓN DE RIESGOS
La evaluación y administración de riesgos
es el proceso que realiza la entidad para
identificar y analizar los riesgos relevantes
(tanto internos, como externos) para el
logro de sus objetivos. Adicionalmente, el
proceso provee a la entidad las bases para
determinar
Principio 6. La la Organización
forma de administrar sus
define los objetivos
riesgos.
con La precondición
suficiente para la
claridad para permitir evaluación
la identificación
yde riesgos de
evaluación es los
el establecimiento
riesgos relacionados.de
objetivos, vinculados a varios niveles de la
Objetivos
entidad. Si Operacionales
bien la definición de estrategias
yPunto
objetivos
de Intereses
no 21:parte dellas
Reflejan proceso de de la
decisiones
control interno, como parte de este, la
dirección.
gerencia específica objetivos y los agrupa
en categorías en todos los niveles de la
entidad, en relación con las operaciones, ORIENTACIÓN ADICIONAL
reporte, y cumplimiento. El agrupamiento
de los objetivos en estas categoría permite
que los riesgos relacionados con el logro
de dichos objetivos, sean identificados y
evaluados.
6.21.1 ¿Se han definido objetivos operativos y estos - La Entidad cuenta con mecanismos para vincular
reflejan las decisiones de la gerencia en relación o relacionar el plan estratégico con los objetivos
con la estructura, industria, y desempeño de la estratégicos y estos a su vez con los objetivos
entidad?. operativos a Nivel de unidades de negocio/áreas
significativas. Los objetivos operativos están
definidos, son específicos, medibles, alcanzables,
relevantes, delimitados en el tiempo y reflejan las
decisiones de la gerencia en relación con la
estructura, industria y desempeño operativo y
financiero.
Objetivos Operacionales
6.22.1 ¿Para los objetivos operativos la gerencia ha Los objetivos operativos establecidos por la
considerado la tolerancia al riesgo (niveles gerencia especifican la tolerancia al riesgo
aceptables de variación frente al logro de los expresada en términos del nivel aceptable de
objetivos)?. variación frente a cada uno de los objetivos
establecidos.
ORIENTACIÓN ADICIONAL
7.36.1 ¿Ha adelantado la entidad un proceso de - La Organización ha identificado sus procesos,
identificación y evaluación de riesgos a nivel de la áreas, filiales, unidades operativas, entre otros, más
entidad, sucursales, divisiones, unidades operativas relevantes y para ellos ha establecido los objetivos
y niveles funcionales relevantes para la consecución propios alineados con los objetivos de la entidad.
de sus objetivos?
- Así mismo, la entidad, para cada proceso, área,
filial, unidad operativa relevantes tiene plenamente
identificados los riesgos que podrían impedir la
consecución de los objetivos.
ORIENTACIÓN ADICIONAL
7.37.1 ¿La organización ha identificado los factores - El proceso de identificación de riesgos considera
internos y externos que generan riesgos a nivel de factores internos y externos como los citados en los
entidad y de transacción, ha considerado su ejemplos.
pertinencia y relevancia y, en los casos en que es
posible, a vinculado estos factores con riesgos y
actividades especificas?
8.41.3 ¿Se cuenta con la implementación de - Dentro del análisis y evaluación de riesgos, se han
controles en unidades/áreas de la Entidad identificado áreas, procesos, transacciones, entre
identificadas como de alto riesgo o de posible otros, como de alto riesgo de materialización de
materialización de actividades fraudulentas? fraude (emisión de información fraudulenta,
malversación de activos).
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
8.44.1 ¿Se evalúa cómo los colaboradores, - El análisis y evaluación de riesgos incluye la
proveedores o clientes se pueden involucrar en un exposición a riesgo de fraude en el relacionamiento
fraude en la organización y por tanto se comercial entre colaboradores, proveedores y/o
implementan los controles que permitan su clientes, identificando transacciones de mayor
mitigación? exposición.
ORIENTACIÓN ADICIONAL
9.45.3 ¿La organización cuenta con la - Existen sistemas de alerta temprana para la
implementación de un sistema de alerta temprana identificación de cambios internos y/o externos
para identificar nuevos riesgos que puedan tener un importantes que pueden tener impacto en la
impacto significativos sobre la entidad? identificación de riesgos.
ORIENTACIÓN ADICIONAL
9.46.1 ¿Se evalúa el impacto que puede tener sobre - La administración considera las implicaciones de
el control interno de la organización, realizar transacciones no rutinarias en el riesgo a nivel de
cambios en la operación tales como fusiones, venta entidad y a nivel transaccional y en el sistema de
de filiales, nuevas tecnologías, alianzas control interno en general.
estratégicas, entre otros?
- Se realiza análisis del impacto de transacciones no
rutinarias (venta de unidades de negocio,
adquisiciones, fusiones, escisiones, etc.) en la
operación de la entidad y en los controles a todo
nivel.
Presente
(1/2/3)
Explicación amplia de cómo la Entidad está
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Presente
(1/2/3)
Explicación amplia de cómo la Entidad está
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Presente
(1/2/3)
Explicación amplia de cómo la Entidad está
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Presente
(1/2/3)
Explicación amplia de cómo la Entidad está
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Presente
Explicación amplia de cómo la Entidad está (1/2/3)
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Presente
(1/2/3)
Explicación amplia de cómo la Entidad está
Nombre del Área / Cargo Responsable
dando respuesta al requerimiento
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
actividad) NFE FI NFI
(Sox)
2 n/a
3 n/a
4 n/a 3
5 n/a
6 n/a
7 n/a
8 n/a
Funcionando
Reporte
(1/2/3)
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
2 n/a
3 n/a
3
4 n/a
5 n/a
6 n/a
7 n/a
8 n/a
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
monitoreo de las metas alcanzadas en la
1 √ √ √
entidad por area
2
2
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
3 3
4
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
3
3
4
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la
actividad)
Funcionando
(1/2/3)
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
3
1
4
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
1
3 1
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
No.
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
3 2
4
8
ACTIVIDADES DE CONTROL
Las actividades de control son las políticas
y procedimientos que ayudan a asegurar
que sean llevadas a cabo aquellas
acciones necesarias para administrar el
riesgo
Principio con
10:el
Lafin de lograr define
organización los objetivos de la
y desarrolla
entidad. Estas
actividades actividades,
de control manuales
que contribuyen a la o
automáticas,
mitigación de lostienen
riesgosvarios objetivos
hasta niveles y son
aceptables
para la consecución
aplicadas a variosdeniveles
los objetivos.
organizacionales
yPunto
funcionales. ORIENTACIÓN ADICIONAL
de Interés 48: Se integra con la evaluación
de riesgos.
10.48.1 ¿La Gerencia ha determinado las posibles La Entidad lleva a cabo un proceso de evaluación
respuestas a los riesgos que afectan el de riesgos dentro del cual ha identificado tanto los
cumplimiento de los Objetivos? riesgos que pueden impactar el logro de los
objetivos como las posibles respuestas a los
mismos.
10.48.2 ¿La naturaleza y extensión de las Una vez se han identificado y mapeado los riesgos
actividades de control definidas como respuesta a relevantes para el logro de los objetivos de la
los riesgos depende del nivel de mitigación Entidad y según la tolerancia al riesgo (nivel de
aceptable para los riesgos establecido por parte de mitigación aceptable establecido por la gerencia), la
la gerencia? gerencia ha implementado un proceso para definir y
desarrollar las actividades de control clave para
administrar cada uno de los riesgos identificados.
En dicho proceso la gerencia involucra a los dueños
de proceso claves, incluyendo personas
responsables por el reporte financiero, expertos en
temas de control, tales como auditores internos y
otro personal con conocimiento especializado
relevante.
10.49.1 ¿Al diseñar las actividades de control, la El proceso de definición y desarrollo de actividades
entidad considera factores específicos como el de control implementado por la entidad, considera
entorno y complejidad de la entidad, la regulación, las características propias de la misma, tales como:
el cubrimiento de los controles a nivel de locación o - El ambiente y complejidad de la entidad, la
de entidad, sus sistemas, y la centralización o naturaleza y alcance de sus operaciones.
descentralización de sus operaciones? - Entidades con un alto nivel de regulación
generalmente tienen respuestas a los riesgos más
complejas que entidades menos reguladas.
- El alcance y naturaleza de la respuesta al riesgo y
las actividades de control relacionadas en
compañías multinacionales puede ser más complejo
que el de entidades locales con actividades menos
variadas.
- Una entidad con un sistema ERP (enterprise
resource planning) tendrá actividades de control
diferentes a una entidad que utiliza un software
hecho a la medida.
10.51.1 ¿Las actividades de control seleccionadas y Las actividades de control identificadas por la
desarrolladas a nivel de transacción incluyen por lo gerencia para los procesos relevantes consideran
menos lo siguiente?: una combinación de distintas actividades de control
que pueden ser preventivas o detectivas. Las
- Autorizaciones y aprobaciones actividades de control seleccionadas y desarrolladas
- Verificaciones (Cumplimiento a las Políticas) incluyen por lo menos las incluidas en la
- Controles Físicos (Arqueos de Caja) descripción.
- Controles sobre datos permanentes (Archivo
maestro de precios)
- Reconciliaciones
- Controles de Supervisión
10.51.2 ¿Se identifican los controles manuales En el proceso de selección y desarrollo de
automáticos y los controles generales de TI para la actividades de control, la gerencia ha identificado
adecuada respuesta a los riesgos que afectan los los controles manuales, automáticos y los controles
objetivos? generales de TI que proporcionan una respuesta
adecuada a los riesgos que pueden afectar el logro
de los objetivos.
10.52.1 ¿Las actividades de control implementadas Para la definición y desarrollo de las actividades de
por la entidad consideran el cubrimiento a los control para mitigar los riesgos asociados al
riesgos relacionados a nivel de transacción de procesamiento de transacciones dentro de los
acuerdo con los objetivos de procesamiento de procesos de negocio (controles transaccionales), la
información? entidad ha considerado el cubrimiento de los riesgos
que puedan afectar el cumplimiento de los
siguientes objetivos de procesamiento de
información:
10.53.2 ¿Los accesos en los sistemas son La Entidad ha definido y desarrollado actividades de
revisados con el fin de mantener la segregación de control tendientes a asegurar la segregación de
funciones? funciones en los accesos asignados en los sistemas
de información durante la creación/modificación de
permisos a usuarios. Entre estas actividades de
control se encuentran, entre otros:
- La revisión de solicitudes de creación/modificación
de usuarios previo a la ejecución de las mismas,
validando que los permisos solicitados no presentan
conflictos de segregación de funciones.
- Revisión periódica de los usuarios y permisos en
los sistemas de información, validando la adecuada
segregación de funciones.
- Construcción de matrices de roles y usuarios
siguiendo los principios de segregación de
permisos a usuarios. Entre estas actividades de
control se encuentran, entre otros:
- La revisión de solicitudes de creación/modificación
de usuarios previo a la ejecución de las mismas,
validando que los permisos solicitados no presentan
conflictos de segregación de funciones.
- Revisión periódica de los usuarios y permisos en
los sistemas de información, validando la adecuada
segregación de funciones.
- Construcción de matrices de roles y usuarios
siguiendo los principios de segregación de
funciones.
11.56.2 ¿La entidad cuenta con políticas o La entidad cuenta con políticas o procedimientos
procedimientos de restricción de accesos a que soportan las actividades de control asociadas a
usuarios? la restricción de accesos a usuarios autorizados a
las aplicaciones o funciones de acuerdo con sus
responsabilidades de trabajo y conservando una
adecuada segregación de funciones.
11.57.1 Existe una metodología para el desarrollo La entidad cuenta con una metodología para el
de la tecnología? desarrollo de la tecnología (SDLC: Systems
Development Life Cycle) que proporciona una
estructura para el diseño e implementación de
sistemas, ésta describe:
- Fases especificas.
- Requerimientos de documentación
- Aprobaciones.
- Actividades de control sobre la adquisición,
desarrollo, y mantenimiento de la tecnología.
- Actividades de control sobre los cambios a la
tecnología, incluyendo: autorizaciones para el
cambio, validaciones sobre el derecho legal de la
entidad para usar la tecnología en la manera como
se pretende utilizarla, revisión a los cambios,
aprobaciones, y resultados de pruebas, y la
implementación de protocolos para determinar si los
cambios han sido aplicados de la manera
apropiada.
12.58.1 Las actividades de control que contribuyen - Se cuenta con Manuales de políticas y
a la mitigación de los riesgos, para el logro de los procedimientos para las principales actividades de
objetivos a nivel aceptable están formalmente control; se utilizan a través de diferentes formatos
documentadas a través de políticas y como narrativas, flujogramas, matrices de control.
procedimientos?
- La administración ha estandarizado la
documentación de tal forma que se considere, por
ejemplo: Objetivo de la política / procedimiento;
riesgos asociados; alcance de la política; roles y
responsabilidades; actividades de control, de
monitoreo y correctivas; entre otros.
12.59.1 Los procedimientos especifican claramente - Las políticas y procedimientos incluyen una clara
las responsabilidades del personal que realiza la descripción de las actividades de control asignadas
actividad de control y establecen la rendición de a cada área / cargo a lo largo de cada proceso.
cuentas que reside en la última instancia en la
gestión o en la entidad o en el proceso donde reside - Dichas políticas y procedimientos incluyen un
el riesgo? reporte sobre la gestión ejecutada para aquellas
actividades de control clave, los cuales son
canalizados a un alto nivel dentro del área o
proceso.
12.60.1 Los procedimientos incluyen las fechas y/o - La descripción de las actividades de control en las
frecuencia de cuando se llevan a cabo las políticas y procedimientos indica claramente la
actividades de control y las acciones correctivas de frecuencia en al que deben ejecutarse.
seguimiento y estos consideran el nivel de
exposición del riesgo? - Se han considerado actividades correctivas en
caso de fallas en los controles, así como su
monitoreo, acorde con la criticidad del riesgo
asociado.
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
8
1
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
6
7
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
3
4
2
3
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
3
4
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
3
4
7
8
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
8
1
7
8
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
3
4
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
3
4
Presente
(1/2/3)
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
Nombre del
Explicación amplia de cómo la Entidad está
Área / Cargo No.
dando respuesta al requerimiento
Responsable
5
6
8
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Funcionando
Reporte
(1/2/3)
Cumplimiento
Referencia a Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
actividad) NFE FI NFI
(Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la
actividad)
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la
actividad)
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
Funcionando
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
INFORMACIÓN Y COMUNICACIÓN
La información y comunicación es el
componente del control interno que
asegura que la información pertinente
sea identificada, capturada y
comunicada de una manera y tiempo
que permiten a la gente llevar a cabo
sus responsabilidades. Los sistemas
de información producen informes,
que contienen datos de operación,
Principio 13: La organización obtiene o
financieros y de
genera y utiliza cumplimiento,
información quey de
relevante
hacen posible llevar a cabo y controlar
calidad para apoyar el funcionamiento del
el negocio.
control Se maneja información
interno.
generada internamente, así como
Punto de Interés
información 64: Identifica
sobre requisitos de
hechos, actividades ORIENTACIÓN ADICIONAL
información.
y condiciones externas necesarias
para tomar decisiones informadas de
negocios y generar informes externos
confiables. También debe ocurrir una
comunicación
13.64.1 eficaz acerca
¿La información en un desentido
los A través de varios canales, la gerencia
amplio en la organización. Todo el
objetivos de la entidad se comunica y se comunica los objetivos de la entidad, las
resume
personal debe recibir un claro mensaje políticas y procedimientos de control interno, y
de tal forma que la dirección y demás
personal entienden los objetivos y su papel en la manera como estos soportan las
de la alta administración de que las
su consecución? responsabilidades individuales. El método de
responsabilidades de control se toman comunicación varía de acuerdo con la
en serio. Deben comprender su propia audiencia, la naturaleza de la información, los
función en el sistema de control requerimientos legales, y la posibilidad del uso
interno, así como también la manera de soluciones tecnológicas. Ejemplos de estos
mecanismos, son:
en que las actividades individuales se - Publicación de la visión y misión en áreas
relacionan con el trabajo de los de áreas de alto tráfico o en el sitio web de la
demás. Deben tener un medio de compañía.
comunicar la información importante - Reuniones internas o conferencias con las
en la organización. áreas para discutir aspectos relacionados con
control interno y cambios sobre las políticas.
- Realización de encuestas periódicas a los
empleados en relación con el cumplimiento de
políticas y procedimientos de control interno.
- Un sitio en la intranet relacionado
específicamente con aspectos de control
interno, incluyendo código de ética y
conducta, roles y responsabilidades, políticas,
procedimientos, y otros aspectos relevantes.
- Envío regular de correos electrónicos,
boletines, webcast, o reuniones relacionadas
con control interno.
áreas para discutir aspectos relacionados con
control interno y cambios sobre las políticas.
- Realización de encuestas periódicas a los
empleados en relación con el cumplimiento de
políticas y procedimientos de control interno.
- Un sitio en la intranet relacionado
específicamente con aspectos de control
interno, incluyendo código de ética y
conducta, roles y responsabilidades, políticas,
procedimientos, y otros aspectos relevantes.
- Envío regular de correos electrónicos,
boletines, webcast, o reuniones relacionadas
con control interno.
- Visitas de la gerencia y los ejecutivos a las
plantas, oficinas de ventas, grandes clientes y
otras locaciones.
Presente
(1/2/3)
No.
Nombre del Área / Explicación amplia de cómo la Entidad está dando
Cargo Responsable respuesta al requerimiento
Chunga González
Karolina/ secretaria del 2
area tecnica
8
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Funcionando
Reporte
Cumplimiento
(1/2/3)
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
actividad) NFE FI NFI
(Sox)
3
3
MONITOREO
El monitoreo es el proceso mediante el cual
se evalúa el desempeño del control interno
en el tiempo. Una responsabilidad
importante de la Gerencia es establecer y
mantener16.el La
Principio control interno,
organización para esto debe
selecciona,
desarrolla
determinar si los controles funcionany/o
y realiza evaluaciones continuas
independientes para determinar si los componentes
adecuadamente, a través del monitoreo al
del sistema de control interno están presentes y en
Sistema de
funcionamiento.Control Interno.
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
16.80.1 ¿Las evaluaciones contínuas e - Para los riesgos significativos, la entidad cuenta
independientes se realizan frente a la línea base de con una línea base de controles que sustenta el
entendimiento del diseño del sistema de control entendimiento de la implementación de controles
interno? para cumplir con los objetivos de control interno
fijados por la organización para los cinco
componentes (diseño del sistema de control
interno).
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
ORIENTACIÓN ADICIONAL
17.87.1 La Gerencia hace seguimiento a si las - Existen mecanismos para reportar a la gerencia (y
acciones correctivas de las deficiencias los responsables de las debilidades identificadas)
comunicadas sobre el Sistema de Control Interno se sobre los planes de acción establecidos para reducir
han cumplido en el tiempo establecido. las debilidades reportadas, así como para
monitorear el avance de los mismos.
Presente
Nombre del Área / Cargo Explicación amplia de cómo la Entidad está (1/2/3)
No.
Responsable dando respuesta al requerimiento
1
Tume Iman Melissa Raquel
2
Antón paiva Pamela Marianella
3
Chunga González Karolina
si, ha implementado procedimiento de
monitoreo en las areas de la institucion,con 4
Chunga quiroga pedro una serie de actividades, periodicamente la
3
gerencia evalua los resultados de las
evaluaciones para la efectividad de la 5
institucion
Gómez amaya Julio
una serie de actividades, periodicamente la
3
gerencia evalua los resultados de las
evaluaciones para la efectividad de la
institucion
6
Heidy celeste tume Bayona
7
MARCO Amaya Morales
Presente
(1/2/3)
Nombre del Área / Cargo Explicación amplia de cómo la Entidad está
No.
Responsable dando respuesta al requerimiento
1
Tume Iman Melissa Raquel
2
Antón paiva Pamela Marianella
3
Chunga González Karolina
6
Heidy celeste tume Bayona
7
MARCO Amaya Morales
8
Presente
(1/2/3)
Nombre del Área / Cargo Explicación amplia de cómo la Entidad está
No.
Responsable dando respuesta al requerimiento
Heidy celeste tume Bayona si, las deficiencias las identifica para mejora 4
en la institucion, en la cual es compartido con 3
Amaya Chapa Nestor Efraín los responsables de la institucion 5
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
actividad) NFE FI NFI
(Sox)
3
3
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
3
EVIDENCIA DEL CONTROL OBJETIVOS COSO
Funcionando
(1/2/3)
Reporte
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
Reporte
plimiento
Referencia a
eración
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la
Funcionan
(1/2/3)
Cumplimiento
Referencia a
Operación
Manual/Política/Procedimiento/Instructivo
(Nombre del documento; numeral/literal de la FE
NFE FI NFI
actividad) (Sox)
PLANES DE ACCION √ √ √
3
Glosario
Término
Actividad de control
Administración
Ambiente de control
Apetito al riesgo
Auditores Internos
Autenticación
Comité de Auditoría
Componente
Conflicto de interés
Control
Control detectivo
Control interno
Control interno efectivo
Control interno sobre el reporte financiero
Control preventivo
Controles automáticos
Controles de acceso
Controles de aplicación
Controles generales de tecnología
Controles manuales
Controles transaccionales
COSO
Cumplimiento
Deficiencia de control
Deficiencia de control interno
Deficiencia mayor
Diseño
Entidad
Estados financieros
Evaluación de Riesgos
Evaluaciones continuas (On going
Evaluations)
Evaluaciones separadas (Separate
Evaluations)
Fraude
Funcionando
Gerencia
Independencia
Infraestructura de Tecnología
Integridad
Intervención de la gerencia
Limitaciones inherentes
Magnitud del impacto
Mapa de riesgos
Materialidad
Nivel entidad
Operativo
Oportunidad
Organización
Organización de servicios
Política
Presente
Presión
Principio relevante
Probabilidad de ocurrencia
Procedimiento
Racionalización
Reporte
Respuesta al riesgo
Riesgo
Riesgo de Fraude
Riesgo inherente
Riesgo residual
Segregación de Funciones
Seguridad razonable
Sobrepaso de la gerencia
Tecnología
Tolerancia al riesgo
Tone at the Top
Valores éticos
Descripción
Acciones establecidas en las políticas y procedimientos que ayudan a asegurar
que se lleven acon
La persona(s) cabo las instrucciones
responsabilidad de la Administración
ejecutiva de dirigir las operaciones para mitigardelos la riesgos
relacionados
Entidad. Para con
algunasel logro de
Entidades los objetivos.
en algunas
El ambiente de control establece el tono de una organización. Es la base de Las Actividades
jurisdicciones, dela Control son
Administración unlos
Componente
incluye
otros algunos
componentes del o Control
todos
del Interno.
los
control Encargados
interno
Es la cuantía más amplia del riesgo que una entidad está dispuesta a pues del Gobierno,
define los por ejemplo,
principios y elmiembros
gobierno con
ejecutivos
los cuales
asumir
Los de
se un
rigen
para realizar
auditores consejo
internos lassus son de
entidades Gobierno,
objetivos. e influyeo unen propietario-administrador.
la conciencia
aquellos profesionales que realizan las actividades de las personas sobre
la formaEl
propias
ISACA: enacto
de laque severificar
función
de deben llevar
de auditoría a interna.
la identidad cabo de lasLos
unoperaciones.
auditores
usuario y sus internos
derechos pertenecen
de acceso por alo
regular,
información
Un comité a un queendepartamento
los sistemas.
consiste de auditoríaen
principalmente interna
directores o a sunofunción ejecutivos, equivalente.
formado para
vigilar
Uno delas lospolíticas
cinco elementos y prácticas delcontables
control interno. y de información
Los componentes financiera deldecontrol
la Entidad.
interno son:
Es una situación en la que el juicio del individuo y la integridad de una acción,
- Ambiente
tienden
Las a estar
políticas, deprocedimientos,
Control
indebidamentepracticas influenciado por un interés
y estructuras secundario, de
organizacionales paratipo
- Evaluación
generalmente
proporcionar
Control diseñado del Riesgo
económico
seguridadpara descubrir o personal.
razonable de queinvoluntarios
eventos los objetivos oorganizacionales que resulten después se de
- Información
alcanzarán
que y que
ocurra diseñado,
el y Comunicación
los eventos
procesamiento no deseados
inicial pero antesse evitaran
de por quelos elo último
detectaran objetivo ydel
corregirán.
se haya
El proceso
- Actividades de Control implementado y mantenido encargados Gobierno,
cumplido.
la
Un Administración
sistema de y otrointerno personal para provee
proporcionar la Seguridad Razonable acerca
- Monitoreo decontrol
Controles efectivo una seguridad razonable acerca del
del
logro logro
de de los
objetivos objetivos
de la de
Entidad, la Entidad
este respecto
requiere
Es el proceso diseñado por la administración con el fin de proveer aseguramiento que a las
cadaoperaciones,
uno de los reporte
cinco y
cumplimiento.
componentes
razonable
Un control sobre de la
diseñado control parainterno
confiabilidad evitar un ydeprincipios
los estados
evento relevantes,
financieros
involuntario oestén (depresentes,
resultado acuerdoen el conmomento
funcionando
principios
de su ocurrencia
Actividades y
contablesoperando
de control de
generalmente manera conjunta.
aceptados)
inicial.en su mayoría o totalmente realizadas a través que se le presentan al público.
de la
tecnología.
Procedimientos diseñados para restringir el acceso a los programas e información.
Los Controles demanuales
Procedimientos Acceso consisten o automatizados en la “autenticación
que típicamente del usuario”
operan ay nivel “autorización
de un
del usuario”.
proceso La “autenticación del usuario”
Actividades de control que ayudan a asegurar la apropiada operación de la o de
de negocios. Los Controles de típicamente
Aplicación pueden intenta
ser identificar
de prevención a un
usuario
detección
tecnología.
Controles a través
porEstos
ejecutados de
naturaleza identificaciones
incluyen y los
manualmente,están controles de
noregistros
diseñados asobre para
través la únicos,
asegurar
infraestructura
de passwords,
la integridad
la tecnología. tarjetas
de tecnología, en elde
acceso o información
procesamiento
administración de
de la
la biométrica.adquisición
información.
seguridad, La “autorización de del usuario”
tecnología, consiste
desarrollo, y en reglas
Actividades de control que soportan directamente las acciones para mitigar los
de acceso para Otros
mantenimiento. determinar término losutilizado
recursospara a loslos cualesControles puedegenerales
acceder cada de usuario.
tecnología
riesgos relacionados
Committe of Sponsoring con el procesamiento
Organizations ofestán
thetransaccional
Treadway en los procesos
Commission (por de
sus la
Específicamente,
son "controles dichos
generales procedimientos
deuna computación" diseñados
y "controles para
de tecnología prevenir de o detectar:
Entidad.
siglas
Esta en Los
relacionado controles
inglés). COSO
con el transaccionales
es
cumplimiento iniciativa a pueden
las conjunta
leyes ser y demanuales
cinco
regulaciones o automáticos
organizaciones
aplicables a yla
del
- El acceso no autorizado a programas e información.
información".
buscan
sector
Entidad.
Es cubrir los
privado
un sinónimo y deseobjetivos
dedica ade
deficiencia procesamiento
liderar
de el desarrollo
control interno. de de información
Una marcos
deficiencia y relacionados
guías deen con:
la gestión
control
- Ingreso de transacciones no autorizadas.
integridad,
de riesgos, exactitud
control y
interno, validez.
también
- Cambios
Corresponde describe
no ununa
aautorizados
deficiencia adisuasión
deficiencia los enarchivos
un de
concomponente fraude.
respecto a un
de información. control particular
o componentes o actividad de
y principios
control.
- El uso
relevantes de queprogramas
reduce por
la personal
probabilidad no del
Una deficiencia o combinación de deficiencias en el Control Interno que reduceautorizado..
logro de los objetivos por parte de la de
-
(1)El
Entidad.
manera uso de
propósito, programas
significativa
de la manera que
la probabilidad no han
como sedel sido
usalogroautorizados.
dentro de de los la objetivos
definición porde parte
control de lainterno,
Entidad.
el diseño
Una entidaddel legal
sistema o modelo de control interno busca
de operaciones deproveer
la gerencia seguridad razonable
de cualquier tamaño
respectodeallalogro
establecida
Estado para
posiciónde propósito.
un los objetivos;
financiera, Una cuando
Entidad
estado deelingresos,
objetivo
puede serse porlogra,
estado elcambios
ejemplo,
de sistema puede
en el ser
organización
declarado
sin ánimo
patrimonio, efectivo.
de lucro,
estado de(2)
ente planeación,
flujogubernamental,
de caja, la
y forma
notas
La evaluación de riesgos es el proceso de la entidad para identificar y analizar o como
institución
a los se
estados espera
académica. que
financieros. elElsistema
modelo de
funcione,
operaciones
riesgos contrastado
relevantesde la gerencia
para con el lapuede
logro manerade estar
sus como efectivamente
asociado
objetivos, con
formando línea funciona.
de
las servicio,
bases paradivisiones,
Corresponden a actividades (manuales o automáticas) que sirven para monitorear
unidades
determinar operativas.
Incluye autocómo
la efectividad se deben
del control
evaluaciones, internoadministrar
en lasenque lospersonas
el curso
las riesgos.
ordinarioresponsablesde las operaciones. por una Las unidad o
evaluaciones
función
El fraudeparticular ongoing
comprende determinan son
tanto el usoejecutadas
la efectividad normalmente
del engaño deparalos controles por la administración
obtener para susfinancieras
ventajas o
actividades.
supervisores.
Asídeterminación
mismo,
injustas
La enIncluyen
o ilegales, esta quecomo actos
categoría
los malas regulares
componentes de
serepresentaciones
incluyen administración
y las evaluaciones
principios intencionales
relevantes y realizadas
supervisión,
que afectan
continúan por laslos
comparaciones,
Auditorías
estados
existiendo (interna
financieros,
en el conciliaciones
y
Sistema externa).
cometidosde Controly
porotrasuno acciones
o
Interno. más rutinarias.
individuos de la gerencia,
La gerencia es la persona o grupo de personas con responsabilidad por la
empleados
Comprende:yde
conducción partes relacionadas.
las operaciones de Dos tipos dePara
la entidad. errores algunasintencionales
compañías son en ciertas
relevantes:
jurisdicciones, errores
la resultantes
gerencia incluye de reportes
algunas ofinancieros
todas aquellasfraudulentos
personas y errores
que
- Independencia
ITIL: Todo el hardware, de pensamiento—el
software, redes, estado mental que
instalaciones etc.permite
requeridas paratienen
la expresión de
resultantes
relación
una con
opinión dela
sin la inadecuada
gobernabilidad;
ser afectada apropiación
por por ejemplo,
influencias deque activos.
los miembros
comprometan de la Junta
el Juicio, Directiva.
Desarrollar,
La cualidad o Probar,
el estado proveer,
de sonar Monitorizar,
moral, deControlar ser recto, o honesto
soportar ylos Servicios
sincero; tenerdeel TI.
permitiendo
El término
deseo
Cuando delahacer quelas
gerencia un cosas
Infraestructura individuo
hace caso de
de TI actúe
incluye
manera
omiso con integridad,
detodas
correcta, las
lo definido yen
deTecnologíasejerza
profesar ylavivir
las políticas de la deyInformación
conformidad
objetividad..
pero
con un noconjunto
las personas,
procedimientos delimitaciones
con Procesoslegítimos
valores.
propósitos y documentación asociados.
Corresponde a las del controlcuando interno.atiende transacciones
Las limitaciones no
relacionadas
- Independencia
recurrentes o no en apariencia—la
estándares o eventos abstinencia
que de de
otra hechos
manera, y nocircunstancias
podrían ser que
con
Es las
eltan precondiciones
resultado de un que del
evento control
expresado interno, eventos
cualitativa externos más
o cuantitativamente, allá del control
sea este de
son
atendidos significativos
de la manera un
correcta. tercero razonable e informado, que tiene el
la
una
Es entidad,
pérdida, limitaciones
la visualización perjuicio global o en el
desventaja.juicio
de los riesgos de Se las personas,
definen rangos
de una incluyendo la
organización,posibilidad
sobre los de el
resultados
diferenciándolossobrepaso de
conocimiento de toda la información relevante, algunas salvaguardas
de controles
posibles
acuerdo
Es con
la magnitud por
asociados
susde parte
niveles
una de dela criticidad.
a razonablemente
un evento.
omisión Gerencia
o errorque ySela convierte
en colusión.
la en una carta deque navegación
aplicadas, concluiría la información
integridad, financiera
objetividad, están de acuerdo
para
con conocer
las y definir estrategias
circunstancias
comprometidos. hace probable de gestión
que el juicio para de los unariesgos.persona cambie o se vea
influenciado por la omisión o error. Un hecho es material si existe una probabilidad
substancial que el hecho sea visto por una inversionista razonable como que
genera una alteración significativa de la información disponible
Los nivel más grande de la entidad, separadas y distintas de las otras partes de la
misma
Palabraincluyendo
utilizada con subsidiarias,
"objetivos"divisiones,
o "controles":unidades operativas,con
está relacionado y funciones.
la eficiencia y
eficacia de las operaciones de la entidad, incluyendo
Circunstancias como ausencia de controles o controles ineficaces que las metas de desempeño y
facilitan la
rentabilidad.
oportunidad
Personas, incluidade perpetrar un Gerencia
la Junta, fraude. y demás personal.
Una organización de servicio es una entidad externa (o el segmento de una
entidad) queemitida
Declaración suministra por servicios
los entes al deGrupo o sus
gobierno subordinadas
o la administración ende relación con un
la Entidad
proceso
acerca designificativo
lo que debe en el cual
hacerse dicha
para organización
tener control. realice
Estas el inicio,
declaraciones
La determinación que los componentes y principios relevantes existen en el diseño contabilización,
deben estar
procesamiento
documentadas,
e implementación yyreporte
del de
establecidas
Sistema las transacciones
de
de manera
Control con
explícita
Interno. las
a cuales
través
Situaciones que conllevan a la tentación de malversación de activos o falsificar los se
de generan los
comunicaciones, e
reportes
implícitas financieros.
registros de a través de las
la organización, acciones y decisiones.
por ejemplo: Las políticas
problemas financieros, sirven como
altoslos base
indicadores
Principios que representan conceptos fundamentales asociados con
para la por
fijados definición
componentes. Son demuy
la organización,procedimientos.
mantener un estilo en
de vida por encima de los ingresos,
Es la posibilidad que un pocas
evento las
se situaciones
materialice. que
Para condiciones
determinar específicas
la probabilidad de
se
entre
puede otros.
industria, operaciones,
utilizar
Una acción que análisisregulación,
el implementa cualitativo llevaría a concluir
o cuantitativo,
una política. así acomo
la administración
la estadísticaque un
de la
principio
situación.
Mentalidad noElyes relevante
análisis
pensamiento para
queun
cualitativo secomponente.
lo utiliza
que se para aquellos casos
está haciendo en los cuales no
está justificado.
existen datos para generar estadísticas; ésta se asocia
Hace referencia a los objetivos relacionados a la fiabilidad de la informaciónal criterio de frecuencia
(medida de las
suministrada porveces
la que se sucede
organización, que un evento
incluye expresado
datos internos como
y la cantidad
externos, de
así como
El reporte ISA E 3402 (Norma Internacional) o SSAE 16 (Norma Americana), a es
ocurrencias
información en un
financieratiempo dado).
un informe de auditoríayde nouna
financiera.
organización de prestación de servicios que
describe las políticas y procedimientos de dicha organización y que son relevantes
para el control interno de la organización usuaria (la que recibe el servicio), con
respecto a si tales políticas y procedimientos fueron diseñados a la medida para
lograr los objetivos del control específicos al servicio y si se encuentran en
operación al cierre de una fecha específica, si estuvieron en operación al cierre de
una fecha específica, y si las políticas y procedimientos que fueron probados
fueron lo suficientemente efectivos para suministrar razonable, pero no absoluta,
seguridad de que se lograron los objetivos de control durante el período específico.
Guía Adicional:
Para cada una de las deficiencias identificadas en el diagnóstico de cada uno de los componentes, diligencie la información solicitada en las columnas resaltadas en color verde. Las columnas en color rosado son formuladas, por favor NO las modifique.
Para el diligenciamiento de la "Severidad" y "Clasificación de la Deficiencia" (Columnas M y N), tenga en cuenta la siguiente clasificación:
Id. Requerimiento Componente Principio Descripción del principio Punto de Interes Descripción punto de enfoque Pregunta Indicativa
1 1.1.1 Ambiente de Control Principio 1 La Organización demuestra Punto de enfoque 1 Se da el ejemplo ("Tone at the ¿La trayectoria profesional y
compromiso con la integridad y los Top"). personal de los miembros de la
valores éticos. Junta Directiva y la Gerencia están
alineados con los principios y
valores éticos establecidos para la
entidad?
2 12.62.1 Actividades de Control Principio 12 La organización despliega las Punto de enfoque 62 Desarrolla las actividades de 12.62.1 La asignación de los
actividades de control a través de control utilizando personal controles se realiza considerando
políticas que establecen las líneas competente. el nivel de competencia del
generales del control interno y personal y su autoridad para llevar
procedimientos que llevan dichas a cabo el control, la complejidad
políticas a la práctica. de la actividad de control, y el
volumen de las operaciones.
Entidad evaluada:
Objetivos evaluados:
El componente
El componente está
Componente está
presente?
funcionando?
Ambiente de control Si
Evaluación de riesgos Si
Actividades de control Si
Información y comunicación Si
Monitoreo Si
* Si se determina que existe una deficiencia mayor bien sea en el análisis agregado a nivel de principios o com
Gerencia no podrá concluir que el sistema de control interno es efectivo.
ón del Control Interno
Explicaciones/Conclusiones