Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ESCUELA DE POSGRADO
Doctorando:
Lima - Perú
2019
1
índice
índice 1
INTRODUCCIÓN 3
MARCO TEÓRICO 5
HISTORIA DEL CONTROL INTERNO 5
DEFINICIÓN DE CONTROL 7
CONCEPTO TRADICIONAL DE CONTROL INTERNO 7
LA CONCEPCIÓN DE UN ENFOQUE INTEGRADO 7
IMPORTANCIA DE UN EFICIENTE SISTEMA INTEGRAL DE CONTROL INTERNO 8
LOS NUEVOS ENFOQUES DE CONTROL INTERNO BASADOS EN UN ENFOQUE
INTEGRAL 9
OBJETIVOS DE INFORMACIÓN 27
OBJETIVOS DE CUMPLIMIENTO 28
COMPONENTES DEL SISTEMA DE CONTROL INTERNO 28
ENTORNO DE CONTROL 30
EVALUACIÓN DE RIESGOS 31
ACTIVIDADES DE CONTROL 31
INFORMACIÓN Y COMUNICACIÓN 32
SUPERVISIÓN DEL SISTEMA DE CONTROL Y MONITOREO 33
17 PRINCIPIOS Y PUNTOS DE ENFOQUE 34
PRINCIPIOS: ENTORNO DE CONTROL 34
PRINCIPIOS: EVALUACIÓN DE RIESGOS 37
PRINCIPIOS: ACTIVIDADES DE CONTROL 38
PRINCIPIOS: INFORMACIÓN Y COMUNICACIÓN 40
PRINCIPIOS: ACTIVIDADES DE SUPERVISIÓN - MONITOREO 41
Conclusiones 56
Bibliografía Primaria 57
Bibliografía Secundaria 58
3
INTRODUCCIÓN
El presente trabajo, intenta consolidar la mayor información necesaria para
comprender COSO - CONTROL INTERNO, su evolución y los aportes importantes que
viene realizando al control interno y a la gestión de riesgo para generar valor en las
organizaciones.
COSO es una comisión que fue formada por cinco organizaciones de contadores y
auditores de los Estados Unidos, que se denominó Committee of Sponsoring Organizations of
the Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), siendo
estas organizaciones: La Asociación Americana de Contabilidad (AAA), El Instituto
Americano de Contadores Públicos Certificados (AICPA), El Instituto de Auditores Internos
(IIA), El Instituto de Contadores Gestión (IMA), Instituto de Ejecutivos Financieros (FEI),
quienes desde su formación impulsaron la creación del informe, amparados en los
acontecimientos de 1985 en Estados Unidos; que debido a las malas prácticas por parte de las
empresas generaron una crisis en el sistema financiero de esa época. La Comisión Treadway
realizó estudios de qué factores llevaron a las empresas a la presentación de información
financiera fraudulenta, elaborando un informe con recomendaciones y destinado a todo tipo
de organizaciones, principalmente a las que son reguladas por la SEC (Securities and
Exchange Commission - Comisión de Mercados y Valores de Estados Unidos).
Para mayo del 2013, la organización COSO, publicó la tercera versión Internal
Control — Integrated Framework (Marco de Control Interno Integrado) conocido como
COSO 2013 (COSO III), cuyo modelo está formado por cinco componentes, como en el
COSO I. Lo que diferencia el Coso 2013 (COSO III) con Coso 1992 (COSO I), son los 17
principios que están relacionados con componentes y que sirve para el establecimiento de un
sistema de control interno efectivo que debe implementarse en toda la organización, y que
también describiremos en este documento.
MARCO TEÓRICO
HISTORIA DEL CONTROL INTERNO
El rey ordenó que se pusiera una copia de este código en la plaza de cada ciudad para
que todo el pueblo conociera la ley y sus castigos, para lo cual el cuerpo de la ley se expresa
en lenguaje claro del pueblo. Comienza con la partícula "si" (proposición condicional),
describe la conducta delictiva y luego indica el castigo correspondiente. Una de sus leyes
establece la ley del Talión ("ojo por ojo, diente por diente")1.
En resumen, tenemos que señalar que son un total de 282 leyes distribuidas de la
siguiente manera:
La aplicación de algunas de las 282 leyes del Código Hammurabi, sin duda, es uno de
los retratos más fidedigno de cómo se ejercía el control interno en las sociedades del mundo
antiguo.
1
Código de Hammurabi. México: Cárdenas Editor y Distribuidor, 1992. ISBN 9789684011526.
7
DEFINICIÓN DE CONTROL
A nivel académico, respecto de los estudios del ciclo gerencial y sus funciones, el
control se define como “la medición y corrección del desempeño a fin de garantizar que se
han cumplido los objetivos de la entidad y los planes ideados para alcanzarlos” 2. En la misma
línea, el control como actividad de la administración “es el proceso que consiste en supervisar
las actividades para garantizar que se realicen según lo planeado y corregir cualquier
desviación significativa” 3.
2
Administración, Una perspectiva global, Harold Koontz y Heinz Weihrich, México. McGraw Hill. 1994
3
Administración (10ed). Stephen P. Robbins y Mary Coulter. México. Pearson. 2009
8
este sea interiorizado y aplicado a todas las áreas de la organización y por ende a todos los
empleados, orientando los fines de la estructura de control a colaborar y contribuir con el
logro de la eficiencia organizacional, a la maximización de los resultado y el cumplimiento
de las obligaciones y regulaciones a las que están sometidas las organizaciones.
● Entorno de control.
● Evaluación de riesgos.
10
● Actividades de control.
● Información y comunicación
● Monitoreo.
ORIGEN
OBJETIVOS
Los objetivos primordiales del modelo COSO son: integrar diversos conceptos del
control interno y ser la base para evaluar los sistemas de control interno en las entidades.
Según, Cooper & Lybrand (1997), el modelo COSO pretende que los interlocutores
tengan una referencia conceptual común sobre el control interno para garantizar un buen
gobierno corporativo. De esta manera, el modelo COSO fue creado con la finalidad de
conceptualizar el control interno, principalmente para la emisión de información financiera
(Lara, 2012).
Por otra parte, el modelo COSO presenta pautas de funcionamiento para prevenir la
violación de la estructura de organización y de sus sistemas (Ricardo, 2005). También,
Mantilla (2004) asevera que el modelo COSO puede ser usado como base para revisar la
efectividad de los sistemas de control y determinar cómo mejorarlos.
En líneas generales COSO tiene como objetivo resguardar los recursos de la empresa
o negocio evitando pérdidas por fraude o negligencia, como así también detectar las
desviaciones que se presenten en la empresa y que puedan afectar al cumplimiento de los
objetivos de la organización.
11
EVOLUCIÓN HISTÓRICA
1972: Investigación del “Escándalo Watergate”, fue un gran escándalo político que
tuvo lugar en Estados Unidos en la década de 1970 a raíz de un robo de documentos en el
complejo de oficinas Watergate de Washington D. C., sede del Comité Nacional del Partido
Demócrata de Estados Unidos, y el posterior intento de la administración Nixon de encubrir a
los responsables. Cuando la conspiración se destapó, el Congreso de los Estados Unidos
inició una investigación, pero la resistencia del gobierno de Richard Nixon a colaborar en
esta condujo a una crisis institucional.4
4
«CNN.com - A burglary turns into a constitutional crisis - Jun 15, 2004». edition.cnn.com.
5
https://medium.com/@evan.epstein/la-ley-de-pr%C3%A1cticas-corruptas-en-el-extranjero-fcpa-am%C3%
A9rica-latina-y-acuerdos-globales-2018-7d89b1ae116c
6
http://www.eumed.net/libros-gratis/2010e/804/Asociacion%20Interamericana%20de%20Contadores.ht
m
7
https://www.oroyfinanzas.com/2013/06/que-sec-securities-and-exchange-commission/
12
(c) (3) de la FEI que lleva a cabo proyectos de investigación financiera objetiva y programas
de educación profesional. En 1981 elabora estudios sobre Control Interno.8
2002: Ley Sarbanes Oxley (SOX). La Ley Sarbanes Oxley se promulgó en Estados
Unidos con el propósito de monitorizar a las empresas que cotizan en bolsa de valores,
evitando que la valorización de las acciones de las mismas sean alteradas de manera dudosa,
mientras que su valor es menor. Su finalidad, es evitar fraudes y riesgo de bancarrota,
protegiendo al inversionista. Esta ley surgió en respuesta a los escándalos financieros de
grandes corporaciones, como por ejemplo: Enron, Tyco International, WorldCom y Peregrine
8
https://www.financialexecutives.org/Research/research_about.aspx
13
Systems, ya que éstos disminuyeron la confianza que tenía opinión pública en los sistemas de
contabilidad y sobre todo, en la auditoría.9
2004: Se crea COSO ERM (COSO II), es un sistema de gestión de riesgo y control
interno para cualquier organización. Se basa en un marco cuyo objetivo es diagnosticar
problemas, generar los cambios necesarios para gestionarlos y evaluar la efectividad de los
mismos.Se trata de un proceso continuo efectuado por el personal de una compañía (en todos
los niveles) y diseñado para identificar eventos potenciales y evaluarlos.10
2013: Se crea COSO 2013 (COSO III), El control interno es un proceso, efectuado
por el Directorio, la gerencia y otro personal de la organización, diseñado para proporcionar
una seguridad razonable sobre el logro de los objetivos relacionados con:
● Las operaciones,
● La elaboración de información y
● El cumplimiento.
2017: Se publica COSO 2017 (COSO IV), Gestión del Riesgo Empresarial—
Integrando Estrategia y Desempeño, destaca la importancia de la gestión del riesgo
empresarial en la planificación estratégica y su integración en todos los niveles de la
organización, ya que el riesgo influye y alinea la estrategia y el desempeño en todos los
departamentos y funciones.11
9
Fernandez, Alain. «La loi Sarbanes Oxley SOX»
10
https://www.esan.edu.pe/apuntes-empresariales/2019/01/coso-ii-los-sistemas-para-el-control-interno/
11
https://auditoresinternos.es/uploads/media_items/coso-2018-esp.original.pdf
14
Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de
control interno son necesarios para el éxito a largo plazo de las organizaciones.
Este Marco fue publicado para las empresas de los Estados Unidos. Sin embargo,ha
sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los
procesos de evaluación y mejoramiento continuo de sus sistemas de control interno.
IMPORTANCIA
Dicho Informe intenta brindar un grado razonable de seguridad frente al riesgo que se
presenta. Este último se define como la probabilidad que ocurra un determinado evento que
puede tener efectos negativos para la organización.12
COMPONENTES
○ Políticas y procedimientos.
○ Aprobaciones y autorizaciones.
○ Conciliaciones y verificaciones.
○ Seguridad de activos.
○ Segregación de funciones.
● Actividades de control: El análisis de las actividades de control es utilizado
para comprobar o verificar, mediante pruebas selectivas, que las principales
observaciones detectadas como consecuencia de los demás componentes son
correctas. Dichas pruebas son efectuadas comprendiendo:
○ Procesos de pago, compras, ventas, cobranzas, recepción y
almacenamiento.
○ Método para la elaboración y presentación de reportes.
○ Conciliaciones bancarias y análisis de otras cuentas.
○ Autorizaciones.
○ Verificación de auditorias internas.
○ Sistemas computarizados administrativos y financieros.
○ Manejo de los archivos y correspondencia.
○ Otros trámites administrativos.
● Información y comunicación: A partir del análisis de este componente, se
revisa la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información de una forma y
en un periodo que le permita al personal cumplir con sus responsabilidades.
18
Desde 1994, este marco conceptual se ha ido enriqueciendo con nuevas aportaciones,
entre las cuales destaca el nuevo informe sobre Gestión de Riesgos Corporativos - Marco
Integrado (COSO 2004) .
A MODO DE SÍNTESIS
COSO I
Finalidad ● Facilitar un modelo en base al cual las entidades evalúen sus sistemas
de control y decidan cómo mejorarlos.
● Integrar diversos conceptos de control interno dentro de un marco en el
que se pueda establecer una definición común e identificar los
componentes de control.
● Visión del riesgo a eventos negativos.
A NIVEL GENERAL:
Los siguientes cuadros muestran los cambios más importantes presentes en el Marco
Integrado de Control Interno 2013, a nivel general y por cada componente:
21
DEFINICIÓN
VENTAJAS
ASPECTOS Y BENEFICIOS
El modelo de control interno COSO 2013 actualizado, está compuesto por los cinco
componentes establecidos en el marco anterior y 17 principios, además de puntos de enfoque
que presentan las características fundamentales de cada componente. Se caracteriza por tener
en cuenta los siguientes aspectos y generar diferentes beneficios:
Es preciso señalar que el control interno no puede evitar que se aplique un deficiente
criterio personal o se adopten malas decisiones. Las limitaciones siempre están presentes e
impiden que el consejo de administración y la dirección tengan la seguridad absoluta. Sin
embargo, estas limitaciones tienen que identificarse y tomarse en cuenta al momento de
seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas
limitaciones.
25
LIMITACIONES
● Aplicación de los componentes de control interno en relación con las categorías de los
objetivos.
● Aplicación de los componentes y principios de control interno dentro de la estructura
de la entidad.
● Especificación de objetivos generales y específicos apropiados y evaluación de
riesgos para su cumplimiento.
● Selección, desarrollo y despliegue de los controles necesarios para llevar a cabo los
principios.
● Evaluar si los componentes y principios están presentes, funcionando y operando de
manera integrada en la entidad.
● Evaluación de la severidad de una o más deficiencias de control interno de acuerdo
con las leyes, reglas, regulaciones y estándares externos pertinentes.
26
DEFINICIÓN DE OBJETIVOS
OBJETIVOS OPERATIVOS
OBJETIVOS DE INFORMACIÓN
● Relevancia
● Representación exacta
● Comparabilidad
● Verificabilidad
28
● Oportunidad, y
● Comprensibilidad
El reporte interno:
● Usa el criterio establecido por terceras partes, estándares y marcos, según sea
apropiado.
● Clasifica y resume la información razonablemente en el nivel apropiado de
detalle.
● Reflejo de las actividades subyacentes de la entidad.
● Presentación de transacciones y eventos dentro de los niveles requeridos de
precisión y exactitud pertinente a las necesidades de los usuarios.
OBJETIVOS DE CUMPLIMIENTO
Están relacionados con el cumplimiento de las leyes y regulaciones a las que está sujeta la
entidad. La entidad debe desarrollar sus actividades en función de las leyes y normas
específicas.
Los cinco componentes deben funcionar de manera integrada, para reducir a un nivel
aceptable el riesgo de no alcanzar un objetivo. Los componentes son interdependientes, existe
una gran cantidad de interrelaciones y vínculos entre ellos. Así mismo, dentro de cada
componente el marco establece 17 principios que representan los conceptos fundamentales y
son aplicables a los objetivos operativos, de información y de cumplimiento. Los principios
permiten evaluar la efectividad del sistema de control interno.
30
ENTORNO DE CONTROL
Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la
estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo
de gerencia y el compromiso.
Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida
financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente tiene
una influencia muy relevante en los demás componentes del sistema de control interno, y se
convierte en el cimiento de los demás proporcionando disciplina y estructura.
Por esta razón, el Entorno de control está compuesto por el comportamiento que se
mantiene dentro de la organización, e incluye aspectos como:
EVALUACIÓN DE RIESGOS
Este componente identifica los posibles riesgos asociados con el logro de los objetivos
de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto
interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en
diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición
financiera fuerte y una imagen pública positiva. Por ende, se entiende por riesgo cualquier
causa probable de que no se cumplan los objetivos de la organización. De esta manera, la
organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para
establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso
dinámico e iterativo que constituye la base para determinar cómo se gestionan los riesgos.
ACTIVIDADES DE CONTROL
cuáles son las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las
funciones de control que le corresponden a cada individuo.
INFORMACIÓN Y COMUNICACIÓN
El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente hace
referencia a la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información.
La información está compuesta por los datos que se combinan y sintetizan con base en
la relevancia, para los requerimientos de información. Es importante que la dirección
disponga de datos fiables a la hora de efectuar la planificación, preparar presupuestos, y
demás actividades. Es por esto que la información debe ser de calidad y tener en cuenta los
siguientes aspectos:
Para determinar que el Sistema de Control Interno, es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:
No todos los puntos de enfoque son requeridos para valorar la efectividad del sistema
de control. La administración puede determinar que algunos de estos no son relevantes y
puede identificar y considerar otros.
Establece el tono de la gerencia. la Junta Directiva,la Alta Gerencia y el personal supervisor están comprometidos con lo
Establece estándares de conducta. La integridad y los valores éticos son definidos en los estándares de conducta de la en
Evalúa la adherencia a estándares de conducta. Los procesos están en su lugar para evaluar el desempeño de los individuo
35
Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica y acepta su responsabilidad
Aplica experiencia relevante. La Junta directiva define, mantiene y periódicamente evalúa las habilidades y experiencia
Conserva o delega responsabilidades de supervisión.
Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son independientes de la Admin
Brinda supervisión sobre el Sistema de Control Interno. La Junta Directiva conserva la responsabilidad de supervisión d
Entorno de Control: establece integridad y valores éticos, estructuras de supervisión, autoridad y responsabilidad, expec
Evaluación de Riesgos: monitorea las evaluaciones de riesgos de la administración para el cumplimiento de los objetivo
Actividades de Control: provee supervisión a la Alta Dirección en el desarrollo y cumplimiento de las actividades de con
Información y Comunicación: analiza y discute la información relacionada con el cumplimiento de los objetivos de la en
Actividades de Supervisión: evalúa y supervisa la naturaleza y alcance de las actividades de monitoreo y la evaluación y
Considera todas las estructuras de la entidad. La Administración y la Junta Directiva consideran las estructuras múltiple
Establece líneas de reporte. La Administración diseña y evalúa las líneas de reporte para cada estructura de la entidad, p
Define, asigna y delimita autoridades y responsabilidades. La Administración y la Junta Directiva delegan autoridad, de
36
adecuadas para asignar responsabilidad, segregar funciones según sea necesario en varios
niveles de la organización:
○ Junta directiva: conserva autoridad sobre las decisiones significativas y revisa
las evaluaciones de la administración y las limitaciones de autoridades y
responsabilidades.
○ Alta Dirección: establece instrucciones, guías, y control habilitando a la
administración y otro personal para entender y llevar a cabo sus
responsabilidades de control interno.
○ Administración: guía y facilita la ejecución de las instrucciones de la Alta
Dirección dentro de la entidad y sus sub-unidades.
○ Personal: entiende los estándares de conducta de la entidad, los riesgos
evaluados para los objetivos, y las actividades de control relacionadas con sus
respectivos niveles de la entidad, la información esperada y los flujos de
comunicación, así como las actividades de monitoreo relevantes para el
cumplimiento de los objetivos.
○ Proveedores de servicios externos: cumple con la definición de la administración
del alcance de la autoridad y la responsabilidad para todos los que no sean
empleados comprometidos.
Establece políticas y prácticas. Las políticas y prácticas reflejan las expectativas de competencia necesarias para apoyar
Evalúa la competencia y direcciona las deficiencias. La Junta Directiva y la Administración evalúan la competencia a tra
Atrae, desarrolla y retiene profesionales. La organización provee la orientación y la capacitación necesaria para atraer, d
Planea y se prepara para sucesiones. La Alta Dirección y la Junta Directiva desarrollan planes de contingencia para la as
Objetivos Operativos:
Refleja las elecciones de la administración.
Considera la tolerancia al riesgo.
Incluye las metas de desempeño operativo y financiero.
Constituye una base para administrar los recursos.
Objetivos de Reporte Financiero Externo:
Cumple con los estándares contables aplicables.
Considera la materialidad.
Refleja las actividades de la entidad.
Objetivos de Reporte no Financiero Externo:
Cumple con los estándares y marcos externos establecidos.
Considera los niveles de precisión requeridos.
Refleja las actividades de la entidad
Objetivos de Reporte interno:
Refleja las elecciones de la administración.
Considera el nivel requerido de precisión.
Refleja las actividades de la entidad.
Objetivos de Cumplimiento:
Refleja las leyes y regulaciones externas.
Considera la tolerancia al riesgo.
Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La organización identifica y evalúa los
Evalúa la consideración de factores externos e internos en la identificación de los riesgos que puedan afectar a los objeti
38
Considera varios tipos de fraude: La evaluación del fraude considera el Reporte fraudulento, posible pérdida de activos
La evaluación del riesgo de fraude evalúa incentivos y presiones.
La evaluación del riesgo de fraude tiene en consideración el riesgo de fraude por adquisiciones no autorizadas, uso o ena
La evaluación del riesgo de fraude considera como la dirección u otros empleados participan en, o justifican, acciones in
Evalúa cambios en el ambiente externo. El proceso de identificación de riesgos considera cambios en los ambientes regu
Evalúa cambios en el modelo de negocios. La organización considera impactos potenciales de las nuevas líneas del nego
Evalúa cambios en liderazgo. La organización considera cambios en administración y respectivas actitudes y filosofías e
Se integra con la evaluación de riesgos.Las actividades de control ayudan a asegurar que las respuestas a los riesgos que
Considera factores específicos de la entidad. La administración considera cómo el ambiente, complejidad, naturaleza y
39
control.
● Determina la importancia de los procesos del negocio. La administración determina la
importancia de los procesos del negocio en las actividades de control.
● Evalúa una mezcla de tipos de actividades de control. Las actividades de control
incluyen un rango y una variedad de controles que pueden incluir un equilibrio de
enfoques para mitigar los riesgos teniendo en cuenta controles manuales y automatizados,
y controles preventivos y de detección.
● Considera en qué nivel las actividades son aplicadas. La administración considera las
actividades de control en varios niveles de la entidad.
● Direcciona la segregación de funciones. La administración segrega funciones
incompatibles, y donde dicha segregación no es práctica, la administración selecciona y
desarrolla actividades de control alternativas.
Determina la relación entre el uso de la tecnología en los procesos del negocio y los controles generales de tecnología: L
Establece actividades de control para la infraestructura tecnológica relevante: la Dirección selecciona y desarrolla activi
Establece las actividades de control para la administración de procesos relevantes de seguridad: la dirección selecciona y
Establece actividades de control relevantes para los procesos de adquisición, desarrollo y mantenimiento de la tecnologí
Establece políticas y procedimientos para apoyar el despliegue de las directivas de la administración: la administración e
Establece responsabilidad y rendición de cuentas para ejecutar las políticas y procedimientos: la administración establec
Funciona oportunamente: el personal responsable desarrolla las actividades de control oportunamente, como es definido
Toma acciones correctivas: el personal responsable investiga y actúa sobre temas
40
Identifica los requerimientos de información: un proceso está en ejecución para identificar la información requerida y es
Captura fuentes internas y externas de información: los sistemas de información capturan fuentes internas y externas de
Procesa datos relevantes dentro de la información: los sistemas de información procesan datos relevantes y los transform
Mantiene la calidad a través de procesamiento: los sistemas de información producen información que es oportuna, actu
Considera costos y beneficios: la naturaleza, cantidad y precisión de la información comunicada están acorde con, y apo
Comunica la información de control interno: un proceso está en ejecución para comunicar la información requerida pa
Se comunica con la Junta directiva: existe comunicación entre la administración y la Junta Directiva; por lo tanto, amba
Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irr
Selecciona métodos de comunicación relevantes: los métodos de comunicación consideran tiempo, público y la naturale
41
15. La organización se comunica con los grupos de interés externos sobre los
aspectos clave que afectan al funcionamiento del control interno.
PUNTOS DE ENFOQUE
Se comunica con grupos de interés externos: los procesos están en funcionamiento para comunicar información relevant
Permite comunicaciones de entrada: canales de comunicación abiertos permiten los aportes de clientes, consumidores, p
Se comunica con la Junta Directiva: la información relevante resultante de evaluaciones conducidas por partes externas
Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irr
Selecciona métodos de comunicación relevantes: los métodos de comunicación consideran el tiempo, público, y la natur
Considera una combinación de evaluaciones continuas e independientes: la administración incluye un balance de evalua
Considera tasa de cambio: la administración considera la tasa de cambio en el negocio y los procesos del negocio cuand
Establece un punto de referencia para el entendimiento: el diseño y estado actual del sistema de control interno son usad
Uso de personal capacitado: los evaluadores que desarrollan evaluaciones continuas e independientes tienen suficiente c
Se integra con los procesos del negocio: las evaluaciones continuas son construidas dentro de los procesos del negocio y
Ajusta el alcance y la frecuencia: la administración cambia el alcance y la frecuencia de las evaluaciones independientes
Evalúa objetivamente: las evaluaciones independientes son desarrolladas periódicamente para proporcionar una retroalim
42
Evalúa resultados: la Administración o la Junta Directiva, según corresponda, evalúa los resultados de las evaluaciones c
Comunica deficiencias: las deficiencias son comunicadas a las partes responsables para tomar las acciones correctivas y
Supervisa acciones correctivas: la administración monitorea si las deficiencias son corregidas oportunamente.
43
Siguiendo el Modelo de Control Interno (COSO), se debe trabajar bajo los cinco aspectos
significativos del modelo.
Estos son:
● El Entorno de Control.
● La Evaluación de los Riesgos.
● Las Actividades de Control.
● La Comunicación e Información.
● La Supervisión
1. El Entorno de Control
E. Estructura Organizativa
○ Revisar la idoneidad de la estructura organizacional y su real capacidad para
proporcionar flujos de información a los distintos departamentos que la
requieran.
○ Analizar la suficiencia de la responsabilidad de los Directivos claves y su
conocimiento y responsabilidad.
Herramientas a utilizar
Checklist
Diagnóstico General del Sistema de Control Interno.
Evaluación de Proveedores
Check List de Información para un Nuevo Miembro de la Junta Directiva
Cuestionario para Evaluar la Junta Directiva
Indicadores para Medir la Ética en la Organización
Check List para las Prácticas del Comité de Auditoría
Cuestionario para el Comité de Auditoría frente a las Debilidades del Control Interno
Cuestionario para Evaluar la Gestión de la Función de Auditoría Interna por
parte del Comité de Auditoría
Lista de Verificación para las Actividades Iniciales de la Junta Directiva
Check List de Información para un Nuevo Miembro del Comité de Auditoría
Cuestionario para el Auditor Interno en Privado con el Comité de Auditoría
Cómo Prepararse para la Evaluación de Desempeño
Entrevista para la Selección de Auditores
Preguntas del Comité de Auditoría frente a la Cultura de la Organización
Cuestionario Para Evaluar la Adaptación a la Cultura Organizacional
Riesgos y Controles
Señales de Alerta para los Miembros de la Junta Directiva
Matriz de Riesgos y Controles para la Ética y el Cumplimiento
Matriz para Definir las Responsabilidades en la Organización
Señales de Alerta de Fraude Frente a las Metas de Cumplimiento
Indicadores para Medir la Ética
Buenas Prácticas
Buenas Prácticas para la Implementación del Primer Componente de Coso
Buenas Prácticas para Desarrollar una Cultura Ética en las Organizaciones
Buenas Prácticas para Implementar el Código de Ética
46
Modelos
Política de Cumplimiento Normativo
Política para la Vinculación y Retención de Talentos
Política para el Conflictos de Interés
Política para la Línea Ética
Código de Ética y Conducta
Aceptación del Código de Ética y Conducta
Formato para el Registro de Capacitaciones
Reglamento para el Comité de Nombramientos - Buen Gobierno Corporativo
Modelo de Evaluación de Desempeño
Declaración de Conflictos de Interés
Modelo Estatuto del Comité de Riesgos
Modelo Estatuto Comité de Auditoría
Modelos de Indicadores para Recursos Humanos
Modelo de un Código de Ética y Conducta
Política para el Desarrollo Profesional
Todos los Riesgos existentes en las Empresas, vienen dados por los objetivos, en esta
etapa revisaremos los riesgos relacionados a los objetivos, partiendo por:
EJEMPLO DE RIESGOS
En todas las Sociedades, los riesgos pueden ser la consecuencia de factores externos
como internos, como por ejemplo:
Factores Externos.
● Avances Tecnológicos.
● Necesidad o expectativas cambiantes de los clientes.
● Competencia agresiva a nivel de mercado.
● Nuevas normas y reglamentaciones.
● Desastres naturales.
● Cambios económicos.
Factores Internos.
Herramientas a utilizar
Checklist
Diagnóstico General del Sistema de Control Interno - Evaluación de Riesgos
Cuestionario para la Identificación y Actualización de Riesgos por Proceso
Checklist para Definir y Evaluar los Objetivos
Check List para la Definición y el Seguimiento al Apetito de Riesgos
Cuestionario para la Identificación y Actualización de Riesgos de Negocio
Check List para el Diseño e Implementación de Indicadores de Riesgo
Check List para Evaluar la Cultura de Riesgo en la Organización
Check List para Identificar Riesgo en el Proceso Financiero
Check List para Identificar Riesgos en la Administración de Talento Humano
Check List para Identificar Riesgos de Fraude en las Organizaciones.
Check List para Evaluar el Ambiente de Control Frente al Riesgo de Fraude
Check List para Identificar Señales de Fraude en el Proceso de Compras
Check List para Identificar Señales de Fraude en el Proceso Nómina
Check List Incentivos para Cometer un Fraude
Check List para la Identificación de Riesgos en el Reporte Financiero
Check List para Identificar Señales de Fraude en los Activos
48
Riesgos y Controles
Matriz de Riesgos para la Administración de Inventarios
Matriz de Riesgos y Controles de Tesorería
Matriz de Riesgos y Controles de Compras
Matriz de Riesgos y Controles de Nómina
Matriz de Riesgos y Controles para Realizar y Ejecutar el Presupuesto
Matriz de Riesgos y Controles para Contratación
Matriz de Riesgos y Controles en el Proceso Contable
Matriz de Riesgos y Controles para el Proceso de Ventas
Matriz de Riesgos y Controles para la Administración de Activos Fijos
Matriz de Riesgos y Controles para Cuentas por Pagar
Factores de Riesgo para el Desarrollo de Proyectos
Factores de Riesgo en la Dirección
Factores de Riesgo de Negocio
Factores de Riesgo de Producción
Riesgo de Negocio del Sector Retail
Riesgo de Negocio del Sector Construcción
Riesgo de Negocio del Sector Alimentos
Riesgo de Negocio del Sector Hidrocarburos
Riesgo de Negocio del Sector de Telecomunicaciones
Riesgo de Negocio del Sector de Medios y Entretenimiento
Riesgo de Negocio del Sector de Inmobiliario
Riesgo de Negocio para Empresas de Servicios Públicos
Riesgo de Negocio para el Sector Farmacéutico
Buenas Prácticas
Buenas Prácticas para la Identificación de Riesgos de Negocio
Buenas Prácticas para Implementar la Cultura de Riesgo
Buenas Prácticas para la Gestión del Riesgo de Fraude en el Proceso de Compras
Buenas Prácticas para la Gestión del Riesgo en Proyectos
49
Luego de identificar los riesgos a nivel de entidad y actividad, se debe seguir una
metodología. Normalmente incluiremos:
3. Actividades de Control
Consiste en las políticas y procedimientos que tienden a asegurar que se cumplan las
directrices de La Dirección.
A. Controles preventivos.
B. Controles detectivos.
C. Controles correctivos.
D. Controles tecnológicos.
E. Controles administrativos.
Herramientas a utilizar
Checklist
Evaluación Controles Generales-IT
Revisar la Gestión General del Área de TI
Terminación de Contrato Laboral
Evaluar la Gestión de Tesorería
Revisar la Seguridad de la Información de IT
Evaluar la Infraestructura de IT
Evaluar la Necesidad de Implementar una Política
Manejo de Incidentes en Ciberseguridad
Evaluar los Proveedores de IT
Evaluar los Desarrollos de IT
Check List Actividades de Control para Disuadir el Fraude
Check List para Reducir los Errores en el Inventario
Check List para para Construir el Plan Estratégico
Check List para Revisar Contratos
Check List para Mitigar el Riesgo de Fraude en Tesorería
Check List para Mitigar el Fraude en los Estados Financieros
Check List para Mitigar el Fraude en Nómina
Check List para Mitigar el Riesgo de Fraude en la Administración del Efectivo
Checklist para el Cierre Contable
Checklist de Riesgos en la Segregación de Funciones
Checklist para Controles en la Administración de Activos Fijos
Checklist para Revisar los Controles en Cuentas por Cobrar.
Checklist para Revisar los Controles en Inversiones
Checklist para Revisar la Innovación en su Organización
Guías
51
Buenas Prácticas
Diseño de Políticas
Diseño de Controles
Segregación de Funciones
Privacidad de la Información
Gestión de Cambios IT
Gestionar las Copias de Seguridad
Gestionar los Accesos
Gestionar los Activos de IT
Protección de Datos Personales en las Organizaciones
Desarrollar la Estrategia de IT
Documentar las Políticas de una Organización.
Ciberseguridad
Controles de Aplicación
Administración de Talento Humano de IT.
Buenas Prácticas para Definir los Indicadores de IT
Buenas Prácticas para Prevenir el Fraude Electrónico
Buenas Prácticas en Controles para Ciberseguridad
52
4. Información y Comunicación
Esta debe ser necesaria para identificar, recoger y comunicar la información relevante
de un modo y en un plazo tal que permitan a cada uno asumir sus responsabilidades.
Dentro de nuestras Auditorías se debe tener muy presente los cinco (5) puntos más
importantes sobre “La Comunicación y La Información”, vale decir:
● Se debe tener presente que la comunicación debe ser eficaz hacia el personal,
sus funciones y responsabilidades.
● Se deben establecer líneas de comunicación para la denuncia de posibles actos
indebidos
● La comunicación debe siempre ser horizontal, debe haber integridad y
oportunidad en la información.
Herramientas a utilizar
Checklist
Diagnóstico General del Sistema de Control Interno
Check List para Diseñar el Plan de Comunicaciones
Check List para Revisar los Controles de Información y Comunicación
Check List para Revisar los Acuerdos de Confidencialidad
Check List para Revisar la Protección de los Secretos Industriales
Check List para Evaluar la Integridad de la Información
Buenas Prácticas
Buenas Prácticas para las Comunicaciones Internas
Buenas Prácticas para Medir la Comunicación Interna
Buenas Prácticas para Implementar Acuerdos de Confidencialidad
Buenas Prácticas para Proteger los Secretos Industriales
Buenas Prácticas para Comunicarse con la Junta
Buenas Prácticas para Comunicar el Plan Estratégico al Equipo de Trabajo
Buenas Prácticas para Comunicarse con los Stakeholders
Buenas Prácticas para Comunicarse con el Auditor
Buenas Prácticas para la Presentación de Reportes Financieros
Modelos
Modelo Política de Confidencialidad
Política de Comunicación
Política para la Clasificación y Administración de Datos
Riesgos y Controles
Matriz para la Administración de Datos
5. Supervisión
Herramientas a utilizar
Checklist
Check List Diagnóstico General del Sistema de Control Interno - Actividades de Supervisión
Check List para Revisar Temas Financieros por parte de la Junta
Check List para Revisar los Programas de Cumplimiento en las Organizaciones
Check List para Revisar la Función Fiscal de la Organización
Check List para Revisar la Gestión de Riesgos por parte de la Junta
Check List para Evaluar el Comité de Compensación
Check List para Revisar el Plan de Sucesión del Director General por parte de la Junta
Check List para Revisar Temas Financieros por parte de la Junta
Check List para Evaluar la Gestión de Riesgos en las Redes Sociales
Check List para Evaluar la Gestión de Riesgos en Cumplimiento
Cuestionario para el Auditor Externo con el Comité de Auditoría
Check List para Evaluar al Auditor Externo
Check List para Promover la Cultura de Denunciar
Check List para la Identificación de Riesgos por el Comité de Auditoría
Check List para el Proceso de Selección del Auditor Externo
Check List del Auditor Interno para Revisar la Gestión de Fraude en la Organización
Check List para Cerrar las Investigaciones de Fraude
Check List para Diseñar el Proceso de Licitación para Auditoría
Check List para Evaluar la Madurez del Programa de Seguridad de la Información
Check List para Conocer el Plan de Seguridad Informática
Check List para Revisar la Ciberseguridad por la Junta
Check List para Revisar el Proceso de Cuentas por Pagar
Check List para identificar Fallas en la Comunicación del Comité de Auditoría
Check List para Evaluar la Administración General de la Compañía
Checklist para Evaluar el Servicio al Cliente
Checklist para Revisar la Política de Denuncias
Cuestionario para Evaluar la gestión de la función de auditoría interna por parte del Comité de auditoría
Cuestionario para el auditor interno en privado con el comité de auditoría
55
Buenas Prácticas
Buenas Prácticas para Diseñar Programas de Denuncia
Buenas Prácticas para Comités de Auditoría Eficaces
Buenas Prácticas para la Línea de Denuncias
Buenas Prácticas para Diseñar un Plan Antifraude
Buenas Prácticas en Seguridad para Comercio Electrónico
Modelos
Política para Denunciar
Modelo – Plan Estratégico
Declaración de Cumplimiento de la Autoevaluación de Control Interno
Evaluación del Proceso de Gestión de Riesgos
Modelo de Indicadores para la Implementación del BSC en la Función de Auditoría Interna
Modelo de Evaluación de la Función Estratégica de Recursos Humanos
Herramienta para Evaluar el Nivel de Madurez del Sistema de Control Interno COSO III
Riesgos y Controles
Factores de Riesgo de Cumplimiento
Modelo de Indicadores para la Gestión de Fraude
Modelo de Indicadores para la Cadena de Suministro
Modelo de Indicadores para Administrar el Presupuesto
Modelo de Indicadores para el Análisis de Gastos
Modelo de Indicadores para Cuentas por Pagar
Formato para el Registro de Capacitaciones
Modelo de Indicadores para Medir el Cambio en la Cultura de Riesgos
56
Conclusiones
● El control interno debe ser considerado un elemento fundamental en todo
organización, ya permite identificar y garantizar que todas las operaciones de la
organización se realicen adecuadamente apalancando el cumplimiento de sus
objetivos estratégicos o de negocio..
● El enfoque COSO es una potente y poderosa herramienta para la evaluación del
control interno en las organizaciones y debe ser usada para generar valor, ya que a
través de su aplicación metodológica contribuye de manera estratégica y operativa al
logro de los objetivos organizacionales.
● La aplicación del enfoque otorga las condiciones necesarias para aplicar mecanismos
formales y preestablecidos de control para evitar o reducir fraudes, riesgos y
conductas inadecuadas que puedan surgir, por parte del personal, como por clientes y
proveedores.
● Con la implementación de las prácticas sugeridas por el modelo COSO, las
organizaciones podrían controlar más eficientemente sus operaciones, y
transparentarlas para formalizarlas y medirlas de manera simple y efectiva.
● es importante conocer que el concepto de responsabilidad o rendición de cuentas es
uno de los factores claves par el gobierno corporativo de los organizaciones, y que un
eficiente sistema de control puede proporcionar un importante factor de tranquilidad
(no una seguridad absoluta), con relación a la responsabilidad de los directivos,
propietarios, accionistas y los terceros interesados.
● Para la correcta aplicación del modelo es indispensable el compromiso de la alta
dirección, y a partir de una concientización de los niveles estratégico, táctico y
operacional, comprometer a todo el personal de la entidad a estar permanentemente
pendientes del desempeño, las tendencias, los comportamientos irregulares y los
cambios de contextos internos y externos, de tal forma que una vez aplicado el
modelo de manera oportuna, se tomen decisiones acertadas.
57
Bibliografía Primaria
● Committee of Sponsoring Organizations of the Treadway Commission (COSO) (1992, 1994)
Internal Control. Integrated framework. Two-Volume edition 1994.
● Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004)
Enterprise risk management. Integrated framework. (2 Vol. set).
● Carvajal, O. L., & Sanabria, J. A. G. (2015). Control organizacional: una mirada comparativa
con el mundo/Control management: a comparative perspective with the world/Contrôle
organisationnel : un regard comparatif avec le monde/Controle organizacional: um olhar
corporativo com o mundo. Contaduria Universidad de Antioquia, (66), 175–190. Retrieved
from https://search.proquest.com/docview/1781341843?accountid=45097.
● Flores, J. C. D., & Rivas, R. S. D. P. (2012). ¿Control de gestión o gestión de
control?*/Management control or control management? Contabilidad y Negocios, 7(14), 69–
80. Retrieved from https://search.proquest.com/docview/1318935649?accountid=45097
● Fol, M. M. (2010). Las tendencias actuales en los sistemas de control interno de las
organizaciones. Implicaciones para las Administraciones Públicas. Documentación
Administrativa, (286–287). Retrieved from
https://search.proquest.com/docview/2012126725?accountid=45097.
● Montoya, O. P. V. (2016). Visión integral del control interno TT - Integral vision of internal
control Vision globale du contrôle interne Visāo integral do controle interno. Contaduria
Universidad de Antioquia, (69), 139–154. Retrieved from
https://search.proquest.com/docview/1927854811?accountid=45097
● Torre-Enciso, M. I. M., & San José-Martí, M. I. C. (2011). EL PROCESO DE GESTIÓN DE
RIESGOS COMO COMPONENTE INTEGRAL DE LA GESTIÓN EMPRESARIAL.
Boletín de Estudios Económicos, 66(202), 73–93. Retrieved from
https://search.proquest.com/docview/1314736320?accountid=45097
● Committee of Sponsoring Organizations of the Treadway Commission (COSO). 2017.
Enterprise Risk Management: Integrating with Strategy and Performance - Executive
Summary. En línea, disponible en:
https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performa
nce-Executive-Summary.pdf
● Abella Ramon, Guerola Joaquin & Cendon Ana. (2012). Actualización COSO I: Análisis del
borrador del Marco de Control Interno actualizado.
● Laski, Julián Pablo. El control interno como estrategia de aprendizaje organizacional: El
Modelo COSO y sus alcances en América Latina. 2. Coopers & Lybrand. (1997). Los nuevos
conceptos del control interno. España.
58
Bibliografía Secundaria
1. Código de Hammurabi. México: Cárdenas Editor y Distribuidor, 1992. ISBN
9789684011526.
2. https://nachobeltran.info/2017/02/10/fray-luca-pacioli-y-la-partida-doble-la-contabilidad-de-v
enecia/
3. Administración, Una perspectiva global, Harold Koontz y Heinz Weihrich, México. McGraw
Hill. 1994
4. Administración (10ed). Stephen P. Robbins y Mary Coulter. México. Pearson. 2009
5. http://doc.contraloria.gob.pe/Control-Interno/web/documentos/Publicaciones/Marco_Concept
ual_Control_Interno_CGR.pdf
6. Deloitte 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 22
7. http://www.economicas.unsa.edu.ar/web/archivo/otros/control-unsa-sistema-de-control-intern
o.pdf
8. www.coso.org
9. «CNN.com - A burglary turns into a constitutional crisis - Jun 15, 2004». edition.cnn.com.
10. https://medium.com/@evan.epstein/la-ley-de-pr%C3%A1cticas-corruptas-en-el-extranjero-fc
pa-am%C3%A9rica-latina-y-acuerdos-globales-2018-7d89b1ae116c
11. http://www.eumed.net/libros-gratis/2010e/804/Asociacion%20Interamericana%20de%20Cont
adores.htm
12. https://www.oroyfinanzas.com/2013/06/que-sec-securities-and-exchange-commission/