CONTROL INTERNO COMO INFRAESTRUCTURA INFORMATIVA QUE ALIMENTA AL CONTROL DE

GESTIÓN

El control interno es un conjunto de procesos, políticas y procedimientos diseñados para garantizar

que una organización alcance sus objetivos de manera eficiente y efectiva. Estos controles abarcan
diversos aspectos, incluyendo la gestión de riesgos, la salvaguardia de activos, la integridad de la
información financiera y el cumplimiento de las leyes y regulaciones aplicables.

Dentro del marco del control interno, la infraestructura informativa desempeña un papel
fundamental. Esta infraestructura se refiere a los sistemas de información y las tecnologías
utilizadas para recopilar, almacenar, procesar y comunicar los datos relevantes para el control
interno y la toma de decisiones.

El control de gestión, por otro lado, se enfoca en el monitoreo y la evaluación del desempeño de la
organización en relación con sus objetivos estratégicos y operativos. Esto implica el
establecimiento de indicadores clave de rendimiento, el seguimiento de los resultados y la
implementación de acciones correctivas cuando sea necesario.

La infraestructura informativa del control interno alimenta al control de gestión proporcionando la

información necesaria para medir y evaluar el desempeño de la organización. A través de sistemas
de información integrados y herramientas de análisis de datos, se recopilan y procesan datos
relevantes sobre actividades operativas, financieras y de cumplimiento.

Estos datos se utilizan para generar informes y análisis que permiten a los gerentes y responsables
de la toma de decisiones evaluar el desempeño de la organización en relación con los objetivos
establecidos. La infraestructura informativa también puede facilitar la detección temprana de
riesgos y desviaciones, lo que permite tomar acciones correctivas de manera oportuna.

En resumen, el control interno y su infraestructura informativa proporcionan la base para el control

de gestión, suministrando la información necesaria para medir, evaluar y mejorar el desempeño
organizacional. La integración efectiva de estos elementos contribuye a la toma de decisiones
informadas y al logro de los objetivos estratégicos y operativos de la organización.

El control interno y el control de gestión son dos conceptos relacionados pero distintos en el
ámbito empresarial. El control interno se refiere a los procesos, políticas y procedimientos
implementados por una organización para garantizar la eficiencia operativa, la confiabilidad de la
información financiera y el cumplimiento de las leyes y regulaciones aplicables. Por otro lado, el
control de gestión se enfoca en la planificación, seguimiento y evaluación del desempeño de una
organización para lograr sus objetivos.

El control interno puede considerarse como una infraestructura informativa que alimenta al control
de gestión de varias maneras:

1. Información precisa y confiable: El control interno establece mecanismos para garantizar la

integridad y precisión de la información financiera y operativa. Esto proporciona una base sólida de
datos confiables que se utilizan en el control de gestión para la toma de decisiones informadas y la
evaluación del desempeño.

2. Procesos estandarizados: El control interno implica la definición de políticas y procedimientos

estandarizados en toda la organización. Estos procesos estandarizados facilitan la recopilación y el
análisis de datos relevantes para el control de gestión, ya que todos los departamentos y áreas de
la organización siguen un conjunto común de reglas y procedimientos.

3. Evaluación de riesgos: El control interno incluye la identificación y evaluación de los riesgos que
pueden afectar a la organización. Esta evaluación de riesgos proporciona información valiosa al
control de gestión para determinar áreas críticas y enfocar los esfuerzos de seguimiento y control
en los aspectos más importantes del negocio.

4. Monitoreo y seguimiento: El control interno establece mecanismos de monitoreo y seguimiento

para garantizar el cumplimiento de los procedimientos establecidos y la detección temprana de
posibles desviaciones. La información recopilada durante este proceso de monitoreo puede ser
utilizada por el control de gestión para evaluar el desempeño actual, identificar áreas de mejora y
tomar medidas correctivas.

En resumen, el control interno proporciona una base sólida de información precisa y confiable,
establece procesos estandarizados, evalúa los riesgos y monitorea el cumplimiento de los
procedimientos. Esta infraestructura informativa alimenta al control de gestión, proporcionando
los datos necesarios para la planificación, seguimiento y evaluación del desempeño de la
organización. Ambos conceptos son complementarios y se refuerzan mutuamente en la búsqueda
de una gestión eficiente y efectiva.

Ejemplos:
A continuación, te presento algunos ejemplos de cómo el control interno como infraestructura
informativa puede alimentar al control de gestión:

1. Sistemas de información integrados: Un sistema de gestión empresarial (ERP, por sus siglas en
inglés) es un ejemplo de infraestructura informativa que puede recopilar y consolidar datos de
diferentes áreas funcionales de la organización, como finanzas, ventas, inventario y recursos
humanos. Estos sistemas proporcionan información actualizada y precisa que puede utilizarse para
el control de gestión, como la generación de informes financieros, el seguimiento de métricas clave
de rendimiento y la identificación de desviaciones en los resultados.

2. Tableros de control y paneles de control: Estas herramientas proporcionan una visualización en

tiempo real de los indicadores clave de rendimiento (KPI, por sus siglas en inglés) y otros datos
relevantes para la gestión. Los tableros y paneles de control permiten a los gerentes monitorear el
desempeño de la organización de manera rápida y eficiente, identificar áreas de mejora y tomar
decisiones informadas. Estos instrumentos se basan en la infraestructura informativa que recopila
y procesa los datos necesarios para su visualización.

3. Análisis de datos: El control interno como infraestructura informativa puede incluir herramientas
de análisis de datos que permiten examinar y evaluar grandes volúmenes de información. El
análisis de datos puede ayudar en el control de gestión al identificar patrones, tendencias y
relaciones ocultas en los datos, lo que proporciona información valiosa para la toma de decisiones
estratégicas y operativas.

4. Auditoría interna: La auditoría interna es una función de control interno que puede utilizar la
infraestructura informativa para revisar y evaluar la efectividad de los controles internos
existentes. Mediante pruebas y revisiones de los sistemas de información, la auditoría interna
puede identificar vulnerabilidades y debilidades en la infraestructura informativa y proponer
mejoras que fortalezcan el control de gestión.

5. Políticas y procedimientos de seguridad de la información: El control interno también se

relaciona con la seguridad de la información. Las políticas y procedimientos de seguridad
establecidos aseguran la integridad, confidencialidad y disponibilidad de los datos utilizados en el
control de gestión. Esto implica la implementación de medidas de protección, como la gestión de
accesos, la encriptación de datos y la realización de copias de seguridad periódicas, que garantizan
que la información utilizada para el control de gestión sea confiable y esté protegida de amenazas.

Estos son solo algunos ejemplos de cómo el control interno como infraestructura informativa
puede alimentar al control de gestión. La clave es establecer una estructura sólida y bien integrada
que recopile, procese y proporcione la información necesaria para una gestión eficiente y efectiva
de la organización.

Estandarización de la normativa de control interno

La estandarización de la normativa de control interno se refiere al proceso de establecer

estándares comunes y uniformes para el control interno en una organización o industria en
particular. El control interno es el conjunto de políticas, procedimientos y prácticas diseñadas para
garantizar que las operaciones de una organización se realicen de manera efectiva, eficiente y en
conformidad con las leyes y regulaciones aplicables.

La estandarización de la normativa de control interno puede ser beneficiosa por varias razones:

1. Coherencia: Al establecer estándares comunes, se promueve la coherencia en la

implementación y ejecución del control interno en todas las áreas de la organización. Esto facilita
la comparación y evaluación de los controles internos en diferentes departamentos y procesos.

2. Mejores prácticas: La estandarización permite identificar y promover las mejores prácticas en el

control interno. Al establecer normas comunes, se pueden identificar métodos y enfoques
efectivos que pueden ser compartidos y adoptados en toda la organización.

3. Cumplimiento regulatorio: Muchas industrias están sujetas a regulaciones y requisitos

específicos en relación con el control interno. La estandarización de la normativa de control interno
ayuda a garantizar el cumplimiento de estas regulaciones al establecer directrices claras y
consistentes para todos los aspectos del control interno.

4. Eficiencia y efectividad: Al tener estándares claros, se pueden eliminar duplicaciones

innecesarias y optimizar los esfuerzos de control interno. Esto puede llevar a una mayor eficiencia
y efectividad en la identificación y mitigación de riesgos, así como en la mejora de los procesos
empresariales.

Es importante tener en cuenta que la estandarización de la normativa de control interno debe ser
adaptada a las necesidades y características específicas de cada organización. Los estándares
deben ser lo suficientemente flexibles como para permitir la adaptación a diferentes entornos y
riesgos particulares, pero lo bastante sólidos como para proporcionar una estructura coherente y
robusta para el control interno.
En algunos casos, existen organismos reguladores o entidades especializadas que emiten
estándares de control interno ampliamente aceptados, como el Committee of Sponsoring
Organizations of the Treadway Commission (COSO) en Estados Unidos, que ha desarrollado el
popularmente conocido como "COSO framework" (marco de referencia COSO). Estos estándares
pueden servir como base para la estandarización de la normativa de control interno en una
organización o industria determinada.

La estandarización de la normativa de control interno cuenta con el respaldo y apoyo de varios

teóricos y marcos de referencia reconocidos en el campo de la auditoría, el control interno y la
gestión de riesgos. A continuación, mencionaré algunos de los teóricos y marcos de referencia más
relevantes en este contexto:

1. Committee of Sponsoring Organizations of the Treadway Commission (COSO): El COSO es una

entidad reconocida a nivel internacional que emitió el "COSO Internal Control - Integrated
Framework" (Marco Integrado de Control Interno COSO). Este marco de referencia proporciona
una estructura ampliamente aceptada para el diseño, implementación y evaluación del control
interno en las organizaciones.

2. Instituto de Auditores Internos (IIA): El IIA es una organización profesional global que establece
estándares y proporciona orientación en el campo de la auditoría interna. El IIA emite el "Marco
Internacional para la Práctica Profesional de la Auditoría Interna", que incluye estándares
relacionados con el control interno y proporciona directrices para su implementación.

3. Control Objectives for Information and Related Technology (COBIT): COBIT es un marco de
referencia desarrollado por la organización ISACA que se enfoca en el control y la gestión de
tecnología de la información (TI). COBIT proporciona un conjunto de objetivos de control y
prácticas recomendadas para garantizar un control interno efectivo en el ámbito de la TI.

4. ISO 31000: La norma ISO 31000 establece los principios y directrices para la gestión de riesgos.
Aunque no se centra exclusivamente en el control interno, proporciona una base sólida para la
identificación, evaluación y mitigación de riesgos, que es un componente fundamental del control
interno.

Estos marcos y teóricos respaldan la estandarización de la normativa de control interno al

proporcionar principios, directrices y prácticas recomendadas para el diseño, implementación y
evaluación del control interno en las organizaciones. Siguiendo estos marcos, las organizaciones
pueden establecer estándares comunes y uniformes que promueven la coherencia, la eficiencia y
la efectividad en el control interno. Además, estos marcos también se utilizan como referencia por
parte de reguladores y entidades de auditoría en muchos países.

Ejemplos de Como estandarizar la normativa de Control Interno:

Aquí tienes algunos ejemplos de cómo se puede llevar a cabo la estandarización de la normativa de
control interno:

1. Desarrollo de políticas y procedimientos estándar: Una forma común de estandarización es

desarrollar políticas y procedimientos estándar que se apliquen en toda la organización. Estas
políticas y procedimientos deben abordar áreas clave de control interno, como la segregación de
funciones, la autorización de transacciones, la reconciliación de registros, la gestión de inventario,
entre otros. Al tener políticas y procedimientos claros y uniformes, se establece una base sólida
para el control interno en todas las áreas de la organización.

2. Implementación de marcos de referencia reconocidos: Los marcos de referencia reconocidos,

como el Marco Integrado de Control Interno COSO, pueden utilizarse como base para estandarizar
la normativa de control interno. Las organizaciones pueden adoptar estos marcos y adaptarlos a
sus necesidades y características específicas. Esto ayuda a establecer una estructura coherente y
consistente para el control interno, y facilita la comparación y evaluación de los controles internos
en diferentes áreas y procesos.

3. Uso de tecnología y herramientas estándar: La estandarización también puede involucrar el uso

de tecnología y herramientas estándar para el control interno. Por ejemplo, se pueden
implementar sistemas de gestión de riesgos y controles que sigan un enfoque estándar en toda la
organización. Esto permite una gestión centralizada de los controles internos y facilita el
seguimiento y la documentación de las actividades de control.

4. Capacitación y concientización uniforme: La estandarización de la normativa de control interno

también implica asegurarse de que todos los empleados estén debidamente capacitados y
conscientes de las políticas y procedimientos establecidos. Se pueden desarrollar programas de
capacitación uniformes que aborden los aspectos clave del control interno y se proporcionen a
todos los empleados de la organización. Esto garantiza que haya un entendimiento común de los
requisitos y responsabilidades en relación con el control interno.

5. Evaluación y auditoría interna uniforme: Para garantizar el cumplimiento de los estándares de

control interno, se pueden establecer procesos de evaluación y auditoría interna uniformes en
toda la organización. Esto implica la realización de revisiones periódicas de los controles internos
para identificar posibles brechas o áreas de mejora. Al tener un enfoque estándar para la
evaluación y auditoría interna, se puede garantizar una aplicación coherente de los controles
internos en toda la organización.

Estos son solo algunos ejemplos de cómo se puede llevar a cabo la estandarización de la normativa
de control interno. Es importante adaptar estos enfoques a las necesidades y características
específicas de cada organización.

Otros ejemplos de estandarización de la normativa de control interno que se han implementado

en diferentes industrias y organizaciones:

1. Industria bancaria: Los bancos suelen tener regulaciones y estándares específicos para el control
interno, establecidos por los organismos reguladores y supervisores. Estos estándares abordan
aspectos como la segregación de funciones, la gestión de riesgos, la prevención del lavado de
dinero y la seguridad de la información. La estandarización en esta industria garantiza la protección
de los activos, la integridad de los datos y la confianza de los clientes.

2. Sector farmacéutico: Las compañías farmacéuticas están sujetas a estrictos requisitos

regulatorios en términos de seguridad y calidad de los productos. La estandarización del control
interno en esta industria se centra en garantizar el cumplimiento de las regulaciones, la
trazabilidad de los medicamentos, la gestión adecuada de los datos clínicos y el control de la
cadena de suministro.

3. Industria de manufactura: Las empresas manufactureras a menudo se esfuerzan por

estandarizar los procesos y controles internos para garantizar la calidad de los productos, la gestión
eficiente de inventarios, la prevención de fraudes y la optimización de los costos. Esto implica
establecer estándares para la gestión de la producción, el mantenimiento de equipos, la gestión de
proveedores y la logística.

4. Organizaciones sin fines de lucro: Las organizaciones sin fines de lucro también pueden
beneficiarse de la estandarización del control interno. Esto puede incluir establecer políticas y
procedimientos para la gestión financiera, el manejo adecuado de donaciones, la rendición de
cuentas y la transparencia en el uso de los recursos.

Estos son solo algunos ejemplos, y la estandarización de la normativa de control interno puede ser
aplicable a una amplia gama de industrias y organizaciones. Cada sector puede tener sus propias
regulaciones específicas y marcos de referencia aceptados que respalden la estandarización del
control interno. Es importante adaptar los estándares a las necesidades y características
particulares de cada organización, pero siempre buscando la coherencia, la eficiencia y la
efectividad en la gestión de los riesgos y los procesos internos.

Uso de formatos para recabar información durante el control interno

Durante el control interno, es común utilizar diferentes formatos para recabar información de
manera estructurada y organizada. Estos formatos ayudan a estandarizar la recopilación de datos,
facilitan el análisis posterior y permiten una mejor comunicación dentro de la organización. A
continuación, mencionaré algunos formatos comunes utilizados en el control interno:

1. Cuestionarios: Los cuestionarios son una forma efectiva de recopilar información mediante
preguntas específicas. Pueden diseñarse para obtener detalles sobre procesos, controles internos
existentes, identificar riesgos y evaluar el cumplimiento de políticas y procedimientos.

2. Listas de verificación: Las listas de verificación son herramientas prácticas para asegurarse de
que se cumplan todos los requisitos y procedimientos establecidos. Estas listas se utilizan para
verificar que se hayan completado todas las tareas y actividades necesarias.

3. Formularios de solicitud: Los formularios de solicitud se emplean para recopilar información

sobre solicitudes específicas, como la autorización de transacciones, la asignación de permisos de
acceso, la solicitud de cambios en los procesos, entre otros. Estos formularios ayudan a garantizar
que se siga un proceso formal y se documenten las solicitudes.

4. Plantillas de reportes: Las plantillas de reportes son formatos predefinidos para la presentación
de informes de control interno. Estas plantillas suelen incluir secciones para describir los hallazgos,
recomendaciones y acciones correctivas o preventivas necesarias.

5. Matrices de responsabilidad: Las matrices de responsabilidad, también conocidas como matrices

RACI (Responsable, Aprobador, Consultado, Informado), se utilizan para asignar roles y
responsabilidades en relación con los procesos de control interno. Estas matrices ayudan a
establecer claramente quién es responsable de qué tarea y quién necesita ser consultado o
informado en cada etapa.

Estos son solo algunos ejemplos de formatos utilizados en el control interno. La elección de los
formatos dependerá de los requisitos específicos de la organización y de los procesos que se estén
evaluando. Es importante adaptar los formatos a las necesidades y objetivos de control interno de
cada empresa.

Adicionalmente:
Claro, aquí tienes algunos ejemplos de formatos que puedes utilizar para recabar información
durante el control interno:

1. Formato de Evaluación de Riesgos: Este formato se utiliza para identificar y evaluar los riesgos
que enfrenta una organización. Puede incluir preguntas relacionadas con los riesgos específicos, su
impacto potencial, la probabilidad de ocurrencia y las medidas de mitigación existentes.

2. Formato de Control de Procesos: Este formato se utiliza para documentar los controles internos
aplicados a los procesos clave de la organización. Puede incluir información sobre los controles
existentes, su efectividad, los responsables de su ejecución y los procedimientos de monitoreo.

3. Formato de Verificación de Cumplimiento: Este formato se utiliza para evaluar el cumplimiento

de políticas, normas y regulaciones. Puede incluir preguntas específicas sobre el cumplimiento de
requisitos, evidencia de cumplimiento y acciones correctivas necesarias.

4. Formato de Auditoría Interna: Este formato se utiliza para documentar los hallazgos de una
auditoría interna. Puede incluir información sobre los procesos auditados, los hallazgos
identificados, las recomendaciones y las fechas límite para la implementación de acciones
correctivas.

5. Formato de Evaluación de Controles: Este formato se utiliza para evaluar la efectividad de los
controles internos existentes. Puede incluir preguntas relacionadas con el diseño de los controles,
su implementación y su monitoreo.

Recuerda que estos son solo ejemplos y puedes adaptar los formatos a las necesidades específicas
de tu organización. Además, es importante mantener una comunicación clara con las partes
interesadas para asegurar que los formatos utilizados capturen la información necesaria para el
control interno efectivo.

Informe COSO:

El informe de auditoría COSO se basa en el marco de control interno desarrollado por el

Committee of Sponsoring Organizations of the Treadway Commission (COSO). Este marco establece
un enfoque integral para el diseño, implementación y evaluación del control interno en las
organizaciones. A continuación, se resumen los principales aspectos del informe de auditoría
COSO:
1. Evaluación del ambiente de control: El informe de auditoría COSO analiza el entorno en el que
opera la organización y evalúa la efectividad de los controles internos establecidos para promover
la integridad y la ética, el compromiso de la alta dirección, la estructura organizativa y la asignación
de responsabilidades.

2. Identificación de los objetivos de control: El informe identifica los objetivos de control relevantes
para la organización, como la eficiencia operativa, la confiabilidad de la información financiera, el
cumplimiento de las leyes y regulaciones, y la salvaguarda de los activos.

3. Evaluación de los riesgos: El informe analiza los riesgos que enfrenta la organización y evalúa la
forma en que se han identificado, evaluado y mitigado. También se examina si se han establecido
controles adecuados para reducir los riesgos a niveles aceptables.

4. Evaluación del diseño de los controles internos: El informe evalúa el diseño de los controles
internos implementados por la organización. Esto implica verificar si los controles son apropiados
para abordar los riesgos identificados y si están diseñados de manera efectiva para lograr los
objetivos de control establecidos.

5. Evaluación de la implementación de los controles internos: El informe evalúa si los controles

internos diseñados están implementados y operativos de manera efectiva en la organización. Se
verifica si se han asignado responsabilidades claras, se han establecido procedimientos adecuados
y se ha capacitado al personal involucrado en la ejecución de los controles.

6. Evaluación de la eficacia de los controles internos: El informe evalúa la eficacia de los controles
internos en la mitigación de los riesgos y en el logro de los objetivos de control establecidos. Esto
implica probar la efectividad de los controles a través de pruebas de cumplimiento y pruebas
sustantivas.

7. Comunicación de hallazgos y recomendaciones: El informe de auditoría COSO comunica los

hallazgos identificados durante la evaluación del control interno, así como las recomendaciones
para mejorar los controles y mitigar los riesgos. También se destacan las fortalezas y debilidades
observadas en el control interno de la organización.

En resumen, el informe de auditoría COSO se centra en evaluar el diseño, implementación y

eficacia del control interno de una organización. Proporciona información valiosa para la alta
dirección y los responsables de la toma de decisiones, permitiendo la identificación de áreas de
mejora y el fortalecimiento del control interno en la organización.

Ejemplos de adaptación del informe de auditoría COSO en las organizaciones

La adaptación del informe de auditoría COSO en las organizaciones implica utilizar el "COSO
Internal Control - Integrated Framework" (Marco Integrado de Control Interno COSO) como base
para evaluar y comunicar el estado del control interno en una organización. Aquí tienes algunos
ejemplos de cómo se puede adaptar el informe de auditoría COSO en las organizaciones:

1. Evaluación de los componentes de control interno: El informe de auditoría COSO puede

adaptarse para evaluar cada uno de los componentes del control interno definidos por COSO, que
incluyen el entorno de control, la evaluación de riesgos, las actividades de control, la información y
comunicación, y la supervisión continua. La adaptación implica realizar una evaluación detallada de
cada componente y proporcionar recomendaciones específicas para fortalecer el control interno
en cada área.

2. Identificación de deficiencias y recomendaciones de mejora: El informe de auditoría COSO

puede incluir la identificación de deficiencias significativas en el control interno y proporcionar
recomendaciones de mejora. Esto implica destacar las áreas donde se han identificado debilidades
o fallas en los controles internos y ofrecer sugerencias específicas para abordar esas deficiencias.

3. Evaluación de riesgos y mitigación: La adaptación del informe de auditoría COSO puede

enfocarse en la evaluación de riesgos y la efectividad de las medidas de mitigación implementadas
por la organización. Esto puede incluir la identificación de riesgos clave, la evaluación de los
controles implementados para mitigar esos riesgos y la determinación de su eficacia. Además, se
pueden ofrecer recomendaciones para fortalecer la gestión de riesgos y las medidas de mitigación.

4. Evaluación de la cultura de control: La adaptación del informe de auditoría COSO también puede
abordar la evaluación de la cultura de control en la organización. Esto implica examinar la actitud y
el enfoque de la alta dirección y los empleados hacia el control interno, así como la promoción de
una cultura que fomente la integridad, la ética y la responsabilidad. Se pueden proporcionar
recomendaciones para fortalecer la cultura de control y promover prácticas sólidas en toda la
organización.

Estos son solo algunos ejemplos de cómo se puede adaptar el informe de auditoría COSO en las
organizaciones. La adaptación dependerá de las necesidades y características específicas de cada
organización, así como de los objetivos y requisitos de la auditoría interna o externa. El informe de
auditoría COSO proporciona una estructura sólida y reconocida para evaluar y comunicar el estado
del control interno, y su adaptación permite abordar los aspectos más relevantes para la
organización.