UNIVERSIDAD RICARDO PALMA

ESCUELA DE POSGRADO

DOCTORADO EN ADMINISTRACIÓN DE NEGOCIOS GLOBALES

COSO - CONTROL INTERNO:

Historia, Evolución, Descripción y Aplicación de sus
Componentes.

Doctorando:

Sixto Córdova Castro.

Lima - Perú

2019
 1

índice
índice 1

INTRODUCCIÓN 3

MARCO TEÓRICO 5
HISTORIA DEL CONTROL INTERNO 5
DEFINICIÓN DE CONTROL 7
CONCEPTO TRADICIONAL DE CONTROL INTERNO 7
LA CONCEPCIÓN DE UN ENFOQUE INTEGRADO 7
IMPORTANCIA DE UN EFICIENTE SISTEMA INTEGRAL DE CONTROL INTERNO 8
LOS NUEVOS ENFOQUES DE CONTROL INTERNO BASADOS EN UN ENFOQUE
INTEGRAL 9

DEFINICIÓN DEL MODELO COSO 9

ORIGEN 10
OBJETIVOS 10
IMPORTANCIA 11
EVOLUCIÓN HISTÓRICA 11
PRINCIPAL INSTITUCIÓN QUE AUSPICIÓ O DIÓ ORIGEN AL ENFOQUE 14
COMMITTEE OF SPONSORING ORGANIZATION OF TREADWAY (COSO) 14
CLASIFICACIÓN DEL MODELO 15

COSO - Marco Integrado de Control Interno (COSO I) 15

DEFINICIÓN 15
IMPORTANCIA 16
COMPONENTES 16
A MODO DE SÍNTESIS 19

MODELO COSO 2013 20

CAMBIOS IMPORTANTES RESPECTO A COSO I 20
A NIVEL GENERAL: 20
A NIVEL DE CADA COMPONENTE: 21
EL CONTROL INTERNO: COSO 2013 23
DEFINICIÓN 23
VENTAJAS 23
ASPECTOS Y BENEFICIOS 24
LIMITACIONES 25
CONSIDERACIONES DE CRITERIOS PROFESIONALES A CONSIDERAR 25
DEFINICIÓN DE OBJETIVOS 26
OBJETIVOS OPERATIVOS 26
 2

OBJETIVOS DE INFORMACIÓN 27
OBJETIVOS DE CUMPLIMIENTO 28
COMPONENTES DEL SISTEMA DE CONTROL INTERNO 28
ENTORNO DE CONTROL 30
EVALUACIÓN DE RIESGOS 31
ACTIVIDADES DE CONTROL 31
INFORMACIÓN Y COMUNICACIÓN 32
SUPERVISIÓN DEL SISTEMA DE CONTROL Y MONITOREO 33
17 PRINCIPIOS Y PUNTOS DE ENFOQUE 34
PRINCIPIOS: ENTORNO DE CONTROL 34
PRINCIPIOS: EVALUACIÓN DE RIESGOS 37
PRINCIPIOS: ACTIVIDADES DE CONTROL 38
PRINCIPIOS: INFORMACIÓN Y COMUNICACIÓN 40
PRINCIPIOS: ACTIVIDADES DE SUPERVISIÓN - MONITOREO 41

Aplicación Práctica del Modelo 43

Conclusiones 56

Bibliografía Primaria 57

Bibliografía Secundaria 58
 3

INTRODUCCIÓN
El presente trabajo, intenta consolidar la mayor información necesaria para
comprender COSO - CONTROL INTERNO, su evolución y los aportes importantes que
viene realizando al control interno y a la gestión de riesgo para generar valor en las
organizaciones.

Para entender el modelo COSO, es necesario repasar los conceptos básicos de

control, desde el punto de vista histórico, su relación con las teorías empresariales, hasta su
evolución contemporánea, con la finalidad de entender la esencia y los principios
fundamentales que ayuden a implementarlo para beneficio de la organización. Es preciso
resaltar también, que la necesidad de gestionar eficientemente la información financiera bajo
un enfoque integral ha contribuido enormemente a la retroalimentación constante del modelo,
que empieza con la publicación del Informe COSO; que es un documento cuyo contenido
está dirigido a la implantación y gestión del Sistema del Control Interno en las
organizaciones. Este ha sido de gran aceptación desde su primera publicación en 1992. El
Informe COSO se ha convertido en una de las las mejores prácticas y el estándar de
referencia para todo tipo de empresas públicas y privadas.

COSO es una comisión que fue formada por cinco organizaciones de contadores y
auditores de los Estados Unidos, que se denominó Committee of Sponsoring Organizations of
the Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), siendo
estas organizaciones: La Asociación Americana de Contabilidad (AAA), El Instituto
Americano de Contadores Públicos Certificados (AICPA), El Instituto de Auditores Internos
(IIA), El Instituto de Contadores Gestión (IMA), Instituto de Ejecutivos Financieros (FEI),
quienes desde su formación impulsaron la creación del informe, amparados en los
acontecimientos de 1985 en Estados Unidos; que debido a las malas prácticas por parte de las
empresas generaron una crisis en el sistema financiero de esa época. La Comisión Treadway
realizó estudios de qué factores llevaron a las empresas a la presentación de información
financiera fraudulenta, elaborando un informe con recomendaciones y destinado a todo tipo
de organizaciones, principalmente a las que son reguladas por la SEC (Securities and
Exchange Commission - Comisión de Mercados y Valores de Estados Unidos).

Muchos de los aportes de la organización COSO, están relacionados con la ayuda en

la implementación del control interno en todo tipo de organizaciones, la optimización de
recursos, la rentabilidad, la gestión de riesgos en todos los niveles organizativos y la
comunicación dentro de la organización.
 4

El informe principal, publicado el año 1992 por la Comisión Tredway, se le conoce

como COSO I. Este fue destinado para que las organizaciones evalúen y mejoren los sistemas
de Control Interno, generando una definición en común y es aquí donde formaliza la primera
definición de control interno integrando varios conceptos: “Es un proceso efectuado por el
consejo de administración, la dirección y el resto del personal de una entidad, diseñado con el
objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos”. La estructura del modelo COSO I, está conformada por cinco componentes:
Ambiente de Control, Evaluación de Riesgos, Actividades de Control, Información y
Comunicación , Supervisión que describiremos con mayor detalle en el presente documento.

Para mayo del 2013, la organización COSO, publicó la tercera versión Internal
Control — Integrated Framework (Marco de Control Interno Integrado) conocido como
COSO 2013 (COSO III), cuyo modelo está formado por cinco componentes, como en el
COSO I. Lo que diferencia el Coso 2013 (COSO III) con Coso 1992 (COSO I), son los 17
principios que están relacionados con componentes y que sirve para el establecimiento de un
sistema de control interno efectivo que debe implementarse en toda la organización, y que
también describiremos en este documento.

Finalmente, debemos recalcar que COSO, es una herramienta al servicio de los

objetivos de las organizaciones y que está en constante evolución; adaptándose a los
paradigmas cada vez más complejos del control interno y gestión de riesgos, que le permitirá
incorporarse a la gestión de las empresas.
 5

MARCO TEÓRICO
HISTORIA DEL CONTROL INTERNO

Desde épocas muy antiguas, se evidencia en las civilizaciones la utilización de los

conceptos de control interno: el control sobre los bienes, sobre las cosechas, sobre los
animales, sobre los actos de comercio, etc. Son algunas de las prácticas más comunes que
evidencian el uso de este concepto en tiempos antiguos. Según Maza (2000, p. 26) las
tablillas mesopotámicas sirvieron para realizar los primeros registros. La forma de llevar este
control fue a partir de escritos o anotaciones, en cuerdas anudadas o quipus, en tablillas de
piedra o de materiales como el marfil, en papiro después, hasta la aparición de la imprenta,
estos avances se presentaron en Mesopotamia, Grecia, Egipto y Roma.

Según Escobar (2008, p. 80) en Mesopotamia por ejemplo, se creó el código

Hammurabi, cuya finalidad fue unificar todos los códigos de la época y de épocas anteriores
en materia civil, penal y de comercio; para obtener el control de las leyes evitando de esta
manera que cada persona ejerciera justicia a su manera.

Hammurabi, fue el sexto rey de la Primera Dinastía de Babilonia, originaria de las

tribus amorreas asentadas en torno al creciente fértil entre el III-II milenio a. C. Según la
denominada Cronología Media, reinó en la ciudad de Babilonia entre los años 1792-1750
a.C., colocando a esta ciudad en el contexto de la Historia Antigua, gracias a sus grandes
dotes como rey conquistador.
 6

El rey ordenó que se pusiera una copia de este código en la plaza de cada ciudad para
que todo el pueblo conociera la ley y sus castigos, para lo cual el cuerpo de la ley se expresa
en lenguaje claro del pueblo. Comienza con la partícula "si" (proposición condicional),
describe la conducta delictiva y luego indica el castigo correspondiente. Una de sus leyes
establece la ley del Talión ("ojo por ojo, diente por diente")1.

En resumen, tenemos que señalar que son un total de 282 leyes distribuidas de la
siguiente manera:

● De la ley 1 a la 5, la mentira y el falso testimonio tenían castigo.

● De la ley 6 a la 25, el robo.
● De la ley 26 a la 41, la protección de las posesiones reales.
● De la ley 42 a la 66, la agricultura y la ganadería.
● De la ley 67 a la 111, las leyes pérdidas.
● De la ley 112 a la 126, los banqueros bien controlados.
● De la ley 127 a la 194, las relaciones personales.
● De la ley 195 a la 214, la ley del talión en su máxima expresión.
● De la ley 215 a la 277, el turno de las otras profesiones.
● De la ley 278 a la 282, el turno de los esclavos.

La aplicación de algunas de las 282 leyes del Código Hammurabi, sin duda, es uno de
los retratos más fidedigno de cómo se ejercía el control interno en las sociedades del mundo
antiguo.

También conviene precisar la aparición del concepto de control en primer modelo de

proceso administrativo propuesto por Henry Fayol (1941-1925), donde postula que toda
organización debe considerar para una efectiva administración varios componentes básicos
que apoyan el proceso administrativo como son:

● Prever: intento de evaluar el futuro mediante un programa y de hacer previsiones para

llevarlo a cabo (esta función dio origen a la función de planeación).
● Organizar: movilizar los recursos humanos y materiales, para poner el plan en acción.
● Dirigir: establecer orientaciones para los empleados y conseguir que las tareas se
cumplan.
● Coordinar: conseguir la unificación y la armonía de todas las actividades y los
esfuerzos.
● Controlar: verificar que las tareas se cumplan de conformidad con las reglas
establecidas y expresadas por la dirección.

1
Código de Hammurabi. México: Cárdenas Editor y Distribuidor, 1992. ISBN 9789684011526.
 7

DEFINICIÓN DE CONTROL

El Diccionario de la Real Academia, define el control como la acción y efecto de

comprobar, inspeccionar, fiscalizar o intervenir. Por su parte, WordReference, establece que
el control implica comprobar e inspeccionar una cosa (ejem. control de calidad, sanidad, etc.),
tener dominio o autoridad sobre alguna cosa (ejem. perder el control del coche) o limitar o
verificar una cosa (ejem. control de gastos, control de velocidad, etc.).

A nivel académico, respecto de los estudios del ciclo gerencial y sus funciones, el
control se define como “la medición y corrección del desempeño a fin de garantizar que se
han cumplido los objetivos de la entidad y los planes ideados para alcanzarlos” 2. En la misma
línea, el control como actividad de la administración “es el proceso que consiste en supervisar
las actividades para garantizar que se realicen según lo planeado y corregir cualquier
desviación significativa” 3.

CONCEPTO TRADICIONAL DE CONTROL INTERNO

La primera noción de control interno, fue establecida por el Instituto Americano de

Contadores Públicos (AICPA), que lo define como “Una herramienta cuya función básica,
era detectar si las organizaciones funcionaban del modo en que lo deseaban sus directivos o
accionistas”; ayudándoles a establecer si su patrimonio estaba protegido de la posibilidad que
ocurra fraude o dolo, y contribuía a determinar si los informes financieros corresponden con
la situación real de la organización.

En esta noción tradicional identifica al director financiero, al controller, o al auditor

interno como las personas o funcionarios que poseían la responsabilidad primaria de
asegurarse que los controles internos estuvieran bien diseñados y funcionando
adecuadamente. Aquí se reconocía a los auditores externos como los principales custodios del
sistema de control interno, por su responsabilidad en evaluar los estados financieros de la
organización.

LA CONCEPCIÓN DE UN ENFOQUE INTEGRADO

En la actualidad, el concepto de control interno se ha vuelto más amplio, sobre todo

debido a la globalización comercial y a la exigente competitividad empresarial que el mundo
de los negocios exige a las empresas actuales, lo cual conlleva a que los directivos de las
organizaciones sean más proactivos y que tomen el control interno como una prioridad, y que

2
Administración, Una perspectiva global, Harold Koontz y Heinz Weihrich, México. McGraw Hill. 1994
3
Administración (10ed). Stephen P. Robbins y Mary Coulter. México. Pearson. 2009
 8

este sea interiorizado y aplicado a todas las áreas de la organización y por ende a todos los
empleados, orientando los fines de la estructura de control a colaborar y contribuir con el
logro de la eficiencia organizacional, a la maximización de los resultado y el cumplimiento
de las obligaciones y regulaciones a las que están sometidas las organizaciones.

El concepto más moderno de control, lo define como una función inherente a la

gestión, integrada al funcionamiento organizacional y a la dirección institucional; por lo tanto
deja de ser una función asignada a un área específica de la organización. El control, entonces,
se orienta a lograr los objetivos de la organización y el buen funcionamiento de la misma,
fomentando el clima necesario para que todo el equipo de trabajo realice su mejor esfuerzo
para lograr los resultados deseados y planificados.

Finalmente, es importante conocer que el concepto de responsabilidad o rendición de

cuentas es uno de los factores claves par el gobierno corporativo de los organizaciones, y que
un eficiente sistema de control puede proporcionar un importante factor de tranquilidad (no
una seguridad absoluta), con relación a la responsabilidad de los directivos, propietarios,
accionistas y los terceros interesados.

IMPORTANCIA DE UN EFICIENTE SISTEMA INTEGRAL DE

CONTROL INTERNO

● Su principal propósito es detectar, con oportunidad, cualquier desviación significativa

en el cumplimiento de las metas y los objetivos establecidos.
● Pasa del enfoque tradicional de detector y corrector a una idea preventiva e integral
de control.
● Es una herramienta de gran utilidad que provee una ayuda continua a las
organizaciones para trazar y mantener el camino correcto que las dirija al logro de sus
objetivos.
● Interactúa y se interrelaciona con las actividades propias de la gestión organizacional,
por ello resulta más efectivo que forme parte de la estructura organizacional.
● Es una herramienta que integra y acerca la visión de control interno general de
organización, con órganos y controles específicos de las áreas que han definido
políticas para tal fin.
 9

LOS NUEVOS ENFOQUES DE CONTROL INTERNO BASADOS EN

UN ENFOQUE INTEGRAL

Diversas asociaciones de profesionales contables han encarado la necesidad de

definir una nueva idea de control cimentada en una concepción moderna:

● Coso (EE UU)

● CoCo (Canadá)
● Cadbury (Reino Unido)
● Vienot (Francia)
● Peters (Holanda)
● King (Sudáfrica)

DEFINICIÓN DEL MODELO COSO

El modelo “COSO” puede ser definido como: técnicas de control interno y criterios
para una eficiente gestión de la organización. Siendo así, el informe COSO plantea que el
control interno sea un proceso integrado, que forme parte de los procesos de los negocios y
no pesados mecanismos burocráticos añadidos a los mismos (Cooper & Lybrand, 1997). Sin
embargo, Diego (2011) indica que el modelo COSO es más que un conjunto de
procedimientos de control, se trata más bien de un marco que considera la tarea de un control
interno de una empresa como un fenómeno complejo y dinámico.

El Informe COSO define el control interno:

“…es un proceso, realizado por el directorio, las gerencias y demás personal,

diseñado para proveer la certeza razonable de que una institución pueda lograr los
siguientes objetivos institucionales:

● Operaciones eficaces y eficientes.

● Producción de informes financieros (o de negocios) confiables para la toma
de decisiones internas y para el uso de terceros.
● Cumplimiento con las leyes y regulaciones que la apliquen.

El informe COSO divide el control interno en cinco componentes, los cuales se

encuentran relacionados con los objetivos institucionales y deben estar presentes y
funcionando eficientemente:

● Entorno de control.
● Evaluación de riesgos.
 10

● Actividades de control.
● Información y comunicación
● Monitoreo.

ORIGEN

La historia del modelo COSO, está enmarcada a dos aspectos fundamentales:

Contexto en la que se origina y el grupo de trabajo que hizo la propuesta. Como forma de
solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al
control interno, es publicado en 1992, el modelo COSO en los Estados Unidos (Normas
generales de control Interno, 2007).

Asimismo, Melini (2005) el modelo COSO nace como una respuesta a la

preocupación generalizada respecto de los razonantes casos jurisprudenciales que evidencian
situaciones límites, donde las quiebras están originadas en fallas de los administradores
respecto al manejo de los patrimonios de las empresas.

De esta forma, los escándalos financieros ocurridos en Europa y, posteriormente en

Norteamérica a inicios del siglo XXI, estremecieron el mundo empresarial y sirvieron para
posicionar al COSO como un marco adecuado para la evaluación del control interno de las
compañías (Fonseca Luna, 2011).

OBJETIVOS

Los objetivos primordiales del modelo COSO son: integrar diversos conceptos del
control interno y ser la base para evaluar los sistemas de control interno en las entidades.

Según, Cooper & Lybrand (1997), el modelo COSO pretende que los interlocutores
tengan una referencia conceptual común sobre el control interno para garantizar un buen
gobierno corporativo. De esta manera, el modelo COSO fue creado con la finalidad de
conceptualizar el control interno, principalmente para la emisión de información financiera
(Lara, 2012).

Por otra parte, el modelo COSO presenta pautas de funcionamiento para prevenir la
violación de la estructura de organización y de sus sistemas (Ricardo, 2005). También,
Mantilla (2004) asevera que el modelo COSO puede ser usado como base para revisar la
efectividad de los sistemas de control y determinar cómo mejorarlos.

En líneas generales COSO tiene como objetivo resguardar los recursos de la empresa
o negocio evitando pérdidas por fraude o negligencia, como así también detectar las
desviaciones que se presenten en la empresa y que puedan afectar al cumplimiento de los
objetivos de la organización.
 11

EVOLUCIÓN HISTÓRICA

1972: Investigación del “Escándalo Watergate”, fue un gran escándalo político que
tuvo lugar en Estados Unidos en la década de 1970 a raíz de un robo de documentos en el
complejo de oficinas Watergate de Washington D. C., sede del Comité Nacional del Partido
Demócrata de Estados Unidos, y el posterior intento de la administración Nixon de encubrir a
los responsables. Cuando la conspiración se destapó, el Congreso de los Estados Unidos
inició una investigación, pero la resistencia del gobierno de Richard Nixon a colaborar en
esta condujo a una crisis institucional.4

1977: Ley de Prácticas de Corrupción Extranjera (Foreing Corrupt Practices

Act-FCPA. Es una ley de los Estados Unidos promulgada hace 42 años (1977) que sanciona
a individuos y entidades por pagos indebidos a funcionarios públicos extranjeros y a emisores
de valores en los Estados Unidos que no prevengan o detecten pagos indebidos en sus libros y
registros, y/o (2) en sus sistemas de controles de contabilidad interna.5

1978,1979 y 1980: El Instituto Americano de Contadores Públicos Certificados

(American Institute of Certified Public Accountants AICPA, fundado por 31 personas en
nueva York, en el año de 1887, es la asociación profesional nacional de primer nivel que
representa por lo menos 340.000 CPAs en negocios, práctica pública, gobierno, y educación.
Realiza recomendaciones sobre publicar conjuntamente los Estados Financieros y un reporte
de Control Interno, así como la publicación de normas de auditoría para Control Interno.6

En los 1980: La Comisión Bancaria y de Valores (Securities and Exchange

Commission - SEC) es una institución independiente del gobierno de Estados Unidos
encargada de vigilar el cumplimiento de las leyes federales del mercado de valores, la
regulación de las bolsas de valores y el mercado de opciones de Estados Unidos. La SEC es
la Comisión de Mercados y Valores de Estados Unidos, un organismo regulador y supervisor
de los mercados financieros y tiene la responsabilidad de hacer cumplir las leyes federales. La
SEC, fue creada por el Securities Exchange Act of 1934 para regular la industria de valores.
En el año 1980, incrementó el enfoque en Control Interno y Cumplimiento.7

1981: La Fundación de Ejecutivos de Finanzas para la Investigación (Financial

Executive Research Fundation - FERF) es una filial de investigación sin fines de lucro 501

4
«CNN.com - A burglary turns into a constitutional crisis - Jun 15, 2004». edition.cnn.com.
5

https://medium.com/@evan.epstein/la-ley-de-pr%C3%A1cticas-corruptas-en-el-extranjero-fcpa-am%C3%
A9rica-latina-y-acuerdos-globales-2018-7d89b1ae116c
6

http://www.eumed.net/libros-gratis/2010e/804/Asociacion%20Interamericana%20de%20Contadores.ht
m
7
https://www.oroyfinanzas.com/2013/06/que-sec-securities-and-exchange-commission/
 12

(c) (3) de la FEI que lleva a cabo proyectos de investigación financiera objetiva y programas
de educación profesional. En 1981 elabora estudios sobre Control Interno.8

1985: Iniciativas legislativas sobre Control Interno y se crea el Comité de las

Organizaciones Patrocinadoras de la Comisión Treadway (Committee Of Sponsoring
Organizations of the Treadway Commission - COSO)

1988: El Instituto Americano de Contadores Públicos Certificados (American

Institute of Certified Public Accountants AICPA, se definen los elementos de la
estructura de Control Interno.

1991: La Agencia Federal para el Mejoramiento de la Organizaciones

Aseguradoras (The Federal Deposit Insurance Corporation Improvement Act-FDIC),
es una agencia federal independiente de los Estados Unidos. Esta agencia fue creada tras
aprobarse la ley Glass-Steagall (1933), que entre otras cosas establece la creación de la FDIC,
la cual tiene como misión garantizar la recuperación de su dinero a los depositantes si un
banco quiebra. La FDIC, abastece de dinero cuando las instituciones financieras fracasan,
inspirando confianza a los bancos y los clientes. En el año 1991, requiere que se informe
sobre la eficiencia y eficacia del Control Interno.

1992: Se publica COSO (COSO I), Es un proceso efectuado por el consejo de

administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro
de las siguientes categorías:

● Eficacia y eficiencia de las operaciones

● Fiabilidad de la información financiera
● Cumplimiento de la leyes y normas que sean aplicables

1995 a 2000: Continúa el enfoque sobre Control Interno, Riesgos Administrativos y

Cumplimiento. Se crean otros marcos de referencia alrededor del mundo.

2002: Ley Sarbanes Oxley (SOX). La Ley Sarbanes Oxley se promulgó en Estados
Unidos con el propósito de monitorizar a las empresas que cotizan en bolsa de valores,
evitando que la valorización de las acciones de las mismas sean alteradas de manera dudosa,
mientras que su valor es menor. Su finalidad, es evitar fraudes y riesgo de bancarrota,
protegiendo al inversionista. Esta ley surgió en respuesta a los escándalos financieros de
grandes corporaciones, como por ejemplo: Enron, Tyco International, WorldCom y Peregrine

8
https://www.financialexecutives.org/Research/research_about.aspx
 13

Systems, ya que éstos disminuyeron la confianza que tenía opinión pública en los sistemas de
contabilidad y sobre todo, en la auditoría.9

2004: Se crea COSO ERM (COSO II), es un sistema de gestión de riesgo y control
interno para cualquier organización. Se basa en un marco cuyo objetivo es diagnosticar
problemas, generar los cambios necesarios para gestionarlos y evaluar la efectividad de los
mismos.Se trata de un proceso continuo efectuado por el personal de una compañía (en todos
los niveles) y diseñado para identificar eventos potenciales y evaluarlos.10

2013: Se crea COSO 2013 (COSO III), El control interno es un proceso, efectuado
por el Directorio, la gerencia y otro personal de la organización, diseñado para proporcionar
una seguridad razonable sobre el logro de los objetivos relacionados con:

● Las operaciones,
● La elaboración de información y
● El cumplimiento.

2017: Se publica COSO 2017 (COSO IV), Gestión del Riesgo Empresarial—
Integrando Estrategia y Desempeño, destaca la importancia de la gestión del riesgo
empresarial en la planificación estratégica y su integración en todos los niveles de la
organización, ya que el riesgo influye y alinea la estrategia y el desempeño en todos los
departamentos y funciones.11

PRINCIPAL INSTITUCIÓN QUE AUSPICIÓ O DIÓ ORIGEN AL

ENFOQUE

COMMITTEE OF SPONSORING ORGANIZATION OF TREADWAY (COSO)

El Comité de organizaciones patrocinadoras de la Comisión Treadway, fue

conformado en 1985, con la finalidad de identificar los factores que originan la presentación
de información financiera falsa o fraudulenta, y emitir las recomendaciones que garantizaran
la máxima transparencia informativa en ese sentido.

COSO, se dedica a desarrollar marcos y orientaciones generales sobre el control

interno, la gestión del riesgo empresarial y la prevención del fraude, diseñados para mejorar
el desempeño organizacional y la supervisión, y reducir el riesgo de fraude en las
organizaciones.

9
Fernandez, Alain. «La loi Sarbanes Oxley SOX»
10
https://www.esan.edu.pe/apuntes-empresariales/2019/01/coso-ii-los-sistemas-para-el-control-interno/
11
https://auditoresinternos.es/uploads/media_items/coso-2018-esp.original.pdf
 14

Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de
control interno son necesarios para el éxito a largo plazo de las organizaciones.

El Comité está conformado por cinco instituciones representativas en Estados Unidos

en el campo de la contabilidad, las finanzas y la auditoría interna:

● American Accounting Association (AAA) – Asociación de Contadores Públicos

Norteamericanos.
● American Institute of Certified Public Accountants (AICPA) – Instituto
Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman
parte de empresas de contabilidad que hacen auditorías externas de estados
financieros).
● Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos de
Finanzas.
● Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores
encargados de la evaluación de los sistemas de control interno en el interior de las
organizaciones).
● Institute of Management Accountants (IMA) – Instituto de Contadores Empresariales
(Contadores que trabajan en empresas).

En septiembre de 1992, el Comité COSO emitió en los Estados Unidos el informe:

Internal Control-Integrated Framework (Marco Integrado de Control Interno, COSO I),
orientado a establecer una definición común de control interno y proveer una guía para la
creación y el mejoramiento de la estructura de control interno de las entidades.

Este Marco fue publicado para las empresas de los Estados Unidos. Sin embargo,ha
sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los
procesos de evaluación y mejoramiento continuo de sus sistemas de control interno.

CLASIFICACIÓN DEL MODELO

El modelo COSO ha evolucionado en el tiempo a través de las siguientes publicaciones:

 15

COSO - Marco Integrado de Control Interno (COSO I)

DEFINICIÓN

Es un proceso efectuado por el consejo de administración, la dirección y el resto del

personal de una entidad, diseñado con el objeto de proporcionar una garantía razonable en
cuanto a la consecución de objetivos dentro de las siguientes categorías:

● Efectividad y eficiencia de las operaciones.

● Confiabilidad de la información financiera.
● Cumplimiento de las leyes y normas que sean aplicables.
● Salvaguardia de los recursos.

Esta definición se complementa con la identificación de los cinco componentes cuya

presencia en una organización permite determinar la existencia de un sistema efectivo de
control interno. Estos componentes, que se relacionan entre sí, están integrados en el proceso
de gestión de la entidad y proporcionan una referencia válida para evaluar el sistema de
control interno.
 16

IMPORTANCIA

A nivel organizacional, Informe Coso I destaca la necesidad de que la alta dirección y

el resto de la organización comprendan la trascendencia del control interno, la incidencia del
mismo sobre los resultados de la gestión, el papel estratégico a conceder a la auditoría y
esencialmente la consideración del control como un proceso integrado a los procesos
operativos de la empresa y no como un conjunto de actividades adicionales, que daría como
resultado procesos burocráticos.

A nivel regulatorio o normativo, el Informe COSO pretende que cuando se plantee

cualquier discusión o problema de control interno, tanto a nivel práctico de las empresas,
como a nivel de auditoría interna o externa, o en los ámbitos académicos o legislativos, los
interlocutores tengan una referencia conceptual común, lo cual antes de la aplicación del
informe era complejo, dada la multiplicidad de definiciones y conceptos divergentes que han
existido sobre control interno.

Desde su elaboración, esta metodología se incorporó en las políticas, reglas y

regulaciones y ha sido utilizada por muchas empresas para mejorar sus actividades de control
hacia el logro de sus objetivos planteados.

Dicho Informe intenta brindar un grado razonable de seguridad frente al riesgo que se
presenta. Este último se define como la probabilidad que ocurra un determinado evento que
puede tener efectos negativos para la organización.12

COMPONENTES

El Informe Coso I se vale de diversos componentes para explicar el desarrollo del

control interno en una organización, y estos son:

● Entorno de control: Establece el tono de la institución al influenciar en la

conciencia de control de su personal. Constituye un aspecto fundamental,
puesto que representa la base para la evaluación de la filosofía de control
organizacional. Los factores considerados para este análisis son los siguientes:
○ Preocupación desde el máximo nivel.
○ Valores éticos.
○ Capacitación y desarrollo profesional del personal.
○ Nivel de delegación de responsabilidades.
○ Políticas de la organización.
○ Filosofía de dirección.
12
CARE, Consultora en Administración de Riesgo Empresarial, Riesgo del Negocio, recuperado de
http://www.careconsultora.com.ar/beneficios.html
 17

○ Integridad y capacidad de los recursos humanos.

○ Compromiso con la excelencia y la transparencia.
○ Estructura organizacional y de gestión.
○ Niveles de autoridad y responsabilidad.
○ Políticas y procedimientos de personal.
● Evaluación de riesgos: Mediantes este componente, se identifica el proceso
gerencial para el establecimiento de los objetivos institucionales y los riesgos
asociados con el logro de dichos objetivos, y se evalúa si los riesgos son
manejados adecuadamente. En este apartado se consideran las siguientes
categorías de objetivos:
○ Objetivos operacionales.
○ Objetivos de informes financieros.
○ Objetivos de cumplimiento.

Algunos de los factores determinantes que se toman en cuenta para la

evaluación de este componente son:

○ Políticas y procedimientos.
○ Aprobaciones y autorizaciones.
○ Conciliaciones y verificaciones.
○ Seguridad de activos.
○ Segregación de funciones.
● Actividades de control: El análisis de las actividades de control es utilizado
para comprobar o verificar, mediante pruebas selectivas, que las principales
observaciones detectadas como consecuencia de los demás componentes son
correctas. Dichas pruebas son efectuadas comprendiendo:
○ Procesos de pago, compras, ventas, cobranzas, recepción y
almacenamiento.
○ Método para la elaboración y presentación de reportes.
○ Conciliaciones bancarias y análisis de otras cuentas.
○ Autorizaciones.
○ Verificación de auditorias internas.
○ Sistemas computarizados administrativos y financieros.
○ Manejo de los archivos y correspondencia.
○ Otros trámites administrativos.
● Información y comunicación: A partir del análisis de este componente, se
revisa la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información de una forma y
en un periodo que le permita al personal cumplir con sus responsabilidades.
 18

En este apartado se considera lo siguiente:

○ La integración de la información con las operaciones y calidad de la

información, se analiza si ésta es apropiada, oportuna, corriente, fiables
y accesible.
○ La comunicación de la información institucional (interna, externa y
otros tipos de información).

Algunos de los factores determinantes para la evaluación de la información y

la comunicación son:

○ Si el sistema de información implementado brinda información

operativa, financiera y administrativa-contable.
○ El establecimiento de una comunicación eficaz y multidireccional.
○ La disposición de información útil para la toma de decisiones.
● Monitoreo: Comprende el análisis de los procesos utilizados en las
organizaciones para determinar, supervisar o medir la calidad del desempeño
de la estructura de control interno a través de tiempo.

En este apartado se considera lo siguiente:

● Las actividades de monitoreo durante el curso ordinario de las

operaciones de la entidad.
● Las evaluaciones separadas (alcance y frecuencia, quién evalúa,
proceso de evaluación, metodología, documentación, y plan de acción).
● Las condiciones reportables (fuentes de información,qué debe ser
reportado, a quien se reporta, y las directivas para condiciones
reportables)
● El papel asumido por cada miembro de la organización en los niveles
de control.

La definición de control interno y la identificación y análisis de sus cinco

componentes configuran un nuevo marco conceptual del control interno, válido para todo tipo
de organizaciones con independencia de cual sea su tamaño, sus titulares o la naturaleza de
los objetivos a los que sirven.
 19

Desde 1994, este marco conceptual se ha ido enriqueciendo con nuevas aportaciones,
entre las cuales destaca el nuevo informe sobre Gestión de Riesgos Corporativos - Marco
Integrado (COSO 2004) .

A MODO DE SÍNTESIS

COSO I

Título Marco Integrado de Control Interno

Antecedentes E.E.U.U. en 1992 por Committee of Sponsoring Organizations of the

TreadwayCommision (COSO)

Definición Es un proceso efectuado por el consejo de administración, la dirección y el resto

del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de
las siguientes categorías:
● Eficacia y eficiencia de las operaciones;
● Fiabilidad de la información financiera
● Cumplimiento de la leyes y normas que sean aplicables

Finalidad ● Facilitar un modelo en base al cual las entidades evalúen sus sistemas
de control y decidan cómo mejorarlos.
● Integrar diversos conceptos de control interno dentro de un marco en el
que se pueda establecer una definición común e identificar los
componentes de control.
● Visión del riesgo a eventos negativos.

Objetivos ● Eficacia y eficiencia de las operaciones.

● Fiabilidad de la información financiera.
 20

● Cumplimiento de las leyes y normas que sean aplicables

Componentes 1. Entorno de control.

2. Evaluación de riesgos.
3. Actividades de control.
4. Información y comunicación.
5. Monitoreo.

MODELO COSO 2013

CAMBIOS IMPORTANTES RESPECTO A COSO I

A NIVEL GENERAL:

Los siguientes cuadros muestran los cambios más importantes presentes en el Marco
Integrado de Control Interno 2013, a nivel general y por cada componente:
 21

A NIVEL DE CADA COMPONENTE:

22
 23

EL CONTROL INTERNO: COSO 2013

La implementación de un sistema de control interno eficiente en las empresas es

importante, pues les permitirá hacer frente a los retos cambiantes del mundo actual. Es
responsabilidad de la administración y de los principales directivos implementarlo y
desarrollarlo con la finalidad de contribuir al cumplimiento de los objetivos de la
organización y se integre como parte fundamental de la cultura organizacional.

La administración y los directivos deben articular los objetivos de la organización y

desarrollar de forma conjunta herramienta y estrategias para lograrlos, e identificar los riesgos
para mitigarlos.

Es aquí, donde radica la importancia de COSO como herramienta diseñada para

controlar los riesgos que puedan afectar el cumplimiento de los objetivos, reduciendo dichos
riesgos a un nivel aceptable y cimentando al control interno para que proporcione razonables
garantías para que las empresas puedan lograr sus objetivos, y mantener y mejorar su
rendimiento.

DEFINICIÓN

El control interno es definido como un proceso integrado y dinámico llevado a cabo

por la administración, la dirección y demás personal de una entidad, diseñado con el
propósito de proporcionar un grado de seguridad razonable en cuanto a la consecución de los
objetivos relacionados con las operaciones, la información/Reporting y el cumplimiento. De
esta manera, el control interno se convierte en una función inherente a la administración,
integrada al funcionamiento organizacional y a la dirección institucional y deja, así, de ser
una función que se asignaba a un área específica de una empresa.

VENTAJAS

La implementación de un sistema de control interno eficiente debe proporcionar:

● Consecución de objetivos de rentabilidad y rendimiento para prevenir la pérdida de

recursos.
● Operaciones eficaces y eficientes.
● Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a
un fin.
● Control interno efectuado por las personas de la entidad y las acciones que estas
aplican en cada nivel de la entidad.
● Producción de informes financieros confiables para la toma de decisiones.
● Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.
 24

● Cumplimiento de las leyes y regulaciones pertinentes.

● Adaptación a la estructura de la entidad.
● Promoción, evaluación y preocupación por la seguridad, calidad y mejora continua de
todos los procesos de la entidad.

ASPECTOS Y BENEFICIOS

El modelo de control interno COSO 2013 actualizado, está compuesto por los cinco
componentes establecidos en el marco anterior y 17 principios, además de puntos de enfoque
que presentan las características fundamentales de cada componente. Se caracteriza por tener
en cuenta los siguientes aspectos y generar diferentes beneficios:

● Mayores expectativas del gobierno corporativo.

● Globalización de mercados y operaciones.
● Cambio continuo en mayor complejidad en los negocios.
● Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
● Expectativas de competencias y responsabilidades.
● Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
● Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de las características de

claridad, agilidad, y confianza, y de esta manera se puede obtener una certeza razonable sobre
el logro de los objetivos de la entidad.

Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no

alcanzar un objetivo de la entidad. Para esto es indispensable que los componentes y
principios estén presentes y en funcionamiento. Esto quiere decir que los componentes y
principios relevantes existen en el diseño e implementación del sistema de control interno
para alcanzar los objetivos especificados. Además, los componentes y principios deben ser
aplicados en el sistema de control interno y funcionar de manera integrada. Cuando se
determina que el Sistema de Control Interno es efectivo la alta dirección y la Junta Directiva
tienen una seguridad razonable acerca del cumplimiento de las tres categorías de objetivos.

Es preciso señalar que el control interno no puede evitar que se aplique un deficiente
criterio personal o se adopten malas decisiones. Las limitaciones siempre están presentes e
impiden que el consejo de administración y la dirección tengan la seguridad absoluta. Sin
embargo, estas limitaciones tienen que identificarse y tomarse en cuenta al momento de
seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas
limitaciones.
 25

LIMITACIONES

● La falta de adecuación de los objetivos establecidos como condición previa para el

control interno.
● El criterio profesional de las personas en la toma de decisiones puede ser erróneo y
estar sujeto a sesgos.
● Fallas humanas conscientes e inconscientes.
● La capacidad de la dirección de anular el control interno.
● La capacidad de la dirección y demás miembros del personal para eludir los controles
mediante confabulación entre ellos.
● Acontecimientos externos que escapan al control de la organización.
● Conspiraciones o complots.

Por esta razón, el Marco Integrado de Control Interno requiere de un criterio

profesional en el diseño, implementación, y conducción del control interno y la evaluación de
su efectividad. El uso del criterio profesional ayuda a la administración a tomar mejores
decisiones con respecto al sistema de control interno, teniendo en cuenta que esto no
garantiza resultados perfectos.

CONSIDERACIONES DE CRITERIOS PROFESIONALES A

CONSIDERAR

● Aplicación de los componentes de control interno en relación con las categorías de los
objetivos.
● Aplicación de los componentes y principios de control interno dentro de la estructura
de la entidad.
● Especificación de objetivos generales y específicos apropiados y evaluación de
riesgos para su cumplimiento.
● Selección, desarrollo y despliegue de los controles necesarios para llevar a cabo los
principios.
● Evaluar si los componentes y principios están presentes, funcionando y operando de
manera integrada en la entidad.
● Evaluación de la severidad de una o más deficiencias de control interno de acuerdo
con las leyes, reglas, regulaciones y estándares externos pertinentes.
 26

DEFINICIÓN DE OBJETIVOS

Toda organización responsablemente establecida cuenta con un marco estratégico

(visión, misión, etc.) que les permite determinar los objetivos y las estrategias necesarias para
alcanzar el éxito y junto a la evaluación de sus fortalezas y debilidades, e identificando las
oportunidades y amenazas del entorno, le permiten definir una estrategia global para
alcanzarlo.

Es responsabilidad de la Administración y la Alta Dirección, establecer los objetivos

del negocio y es necesario fijar los objetivos con carácter previo al diseño e implementación
del sistema de control interno, con el fin de controlar y mitigar de manera adecuada los
riesgos que afectan a dichos objetivos. Los objetivos deben complementarse, estar
relacionados entre sí y ser coherentes con las capacidades y expectativas de la entidad y las
unidades empresariales y sus funciones. Establecer objetivos es un requisito previo para un
control interno eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad
se mueve al desarrollar sus actividades.

Esta responsabilidad está establecida en los procesos de la administración, como se

presenta a continuación:

● Determinar los objetivos estratégicos y seleccionar la estrategia dentro del

contexto de la entidad establecido en su misión y visión.
● Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con
base en los requerimientos de la entidad según las circunstancias.
● Alinear los objetivos con la estrategia de la entidad y el apetito general del
riesgo.
● Establecer los objetivos generales y específicos para la entidad y sus niveles
según sean las circunstancias.

El Marco Integrado de Control Interno, establece tres categorías de objetivos que

permiten a las organizaciones centrarse en diferentes aspectos del control interno. Estos son:

OBJETIVOS OPERATIVOS

Estos objetivos, se relacionan con el cumplimiento de la misión y visión de la entidad.

Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos sus objetivos de
rendimiento financiero y operacional, y la protección de sus activos frente a posibles
pérdidas. Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en
relación con la protección de los activos de la entidad, y la selección y desarrollo de los
controles necesarios para mitigar dichos riesgos.
 27

Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico

en que se involucra la entidad; y están relacionados con el mejoramiento del desempeño
financiero, la productividad, la calidad, las prácticas ambientales, y la innovación y
satisfacción de empleados y clientes.

OBJETIVOS DE INFORMACIÓN

Estos objetivos se refieren a la preparación de reportes para uso de la organización y

los accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia. Estos reportes
relacionan la información financiera y no financiera interna y externa y abarcan aspectos de
confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los reguladores,
organismos reconocidos o políticas de la entidad.

La presentación de informes a nivel externo da respuesta a las regulaciones y

normativas establecidas y a las solicitudes de los grupos de interés, y los informes a nivel
interno atienden a las necesidades al interior de la organización tales como: la estrategia de la
entidad, plan operativo y métricas de desempeño.

Es preciso señalar que en relación a los REPORTES FINANCIEROS INTERNOS,

estos se relacionan con las obligaciones que tiene la organización con los accionistas. Los
estados financieros son solicitados por diferentes partes externas tales como inversores,
organismos públicos, proveedores, entre otros, y deben ser preparados de acuerdo con los
principios de contabilidad pertinentes y cumpliendo con los siguiente criterios:

● Relevancia
● Representación exacta
● Comparabilidad
● Verificabilidad
 28

● Oportunidad, y
● Comprensibilidad

Con respecto a los REPORTES NO FINANCIEROS EXTERNOS, la dirección debe

cumplir con las regulaciones y estándares aplicables en la realización y publicación de
informes no financieros externos. Además:

○ Clasifica y resume la información razonablemente en el nivel apropiado de

detalle.
○ Refleja las actividades subyacentes de la entidad.
○ Presenta transacciones y eventos dentro de los niveles requeridos de precisión
y exactitud pertinente a las necesidades de los usuarios.
○ Usa el criterio de terceras partes, estándares y marcos, según sea apropiado.

Con respecto a los REPORTES FINANCIERO Y NO FINANCIERO INTERNO, los

informes internos para la alta dirección deben incluir la información necesaria para la toma de
decisiones. Estos informes soportan la toma decisiones y la supervisión de la administración
de las actividades y desempeño de la entidad.

El reporte interno:

● Usa el criterio establecido por terceras partes, estándares y marcos, según sea
apropiado.
● Clasifica y resume la información razonablemente en el nivel apropiado de
detalle.
● Reflejo de las actividades subyacentes de la entidad.
● Presentación de transacciones y eventos dentro de los niveles requeridos de
precisión y exactitud pertinente a las necesidades de los usuarios.

OBJETIVOS DE CUMPLIMIENTO

Están relacionados con el cumplimiento de las leyes y regulaciones a las que está sujeta la
entidad. La entidad debe desarrollar sus actividades en función de las leyes y normas
específicas.

COMPONENTES DEL SISTEMA DE CONTROL INTERNO

El sistema de control interno, está dividido en cinco componentes integrados que se

relacionan con los objetivos de la empresa: entorno de control, evaluación de los riesgos,
actividades de control, sistemas de información y comunicación, y actividades de
monitoreo y supervisión.
 29

Un adecuado entorno de control, una metodología de evaluación de riesgos, un

sistema de elaboración y difusión de información oportuna y fiable por de la organización y
un proceso de monitoreo eficiente, apoyados en actividades de control efectivas, se
constituyen en poderosas herramientas gerenciales.

A partir de los cinco componentes, se puede abordar y analizar la realidad de la

organización obteniendo un diagnóstico organizacional en cuanto a estructura, procesos,
sistemas, procedimientos y recursos humanos. Existe una relación directa entre los objetivos
de la entidad, los componentes y la estructura organizacional que es representada en forma de
cubo de la siguiente manera:

Los cinco componentes deben funcionar de manera integrada, para reducir a un nivel
aceptable el riesgo de no alcanzar un objetivo. Los componentes son interdependientes, existe
una gran cantidad de interrelaciones y vínculos entre ellos. Así mismo, dentro de cada
componente el marco establece 17 principios que representan los conceptos fundamentales y
son aplicables a los objetivos operativos, de información y de cumplimiento. Los principios
permiten evaluar la efectividad del sistema de control interno.
 30

ENTORNO DE CONTROL

Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la

gestión de la administración. El entorno de control, es influenciado por factores tanto internos
como externos, tales como la historia de la entidad, los valores, el mercado, y el ambiente
competitivo y regulatorio. Comprende las normas, procesos y estructuras que constituyen la
base para desarrollar el control interno de la organización. Este componente crea la disciplina
que apoya la evaluación del riesgo para el cumplimiento de los objetivos de la entidad, el
rendimiento de las actividades de control, uso de la información y sistemas de comunicación,
y conducción de actividades de supervisión.

Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la
estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo
de gerencia y el compromiso.

Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida
financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente tiene
una influencia muy relevante en los demás componentes del sistema de control interno, y se
convierte en el cimiento de los demás proporcionando disciplina y estructura.

Una organización que establece y mantiene un adecuado entorno de control es más

fuerte a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta
con:

● Actitudes congruentes con su integridad y valores éticos.

● Procesos y conductas adecuados para la evaluación de conductas.
● Asignación adecuada de responsabilidades.
● Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la
● consecución de los objetivos.

Por esta razón, el Entorno de control está compuesto por el comportamiento que se
mantiene dentro de la organización, e incluye aspectos como:

● La integridad y los valores éticos de los recursos humanos,

● La competencia profesional,
● La delegación de responsabilidades,
● El compromiso con la excelencia y la transparencia,
● La atmósfera de confianza mutua,
● La filosofía y estilo de dirección,
● La estructura y plan organizacional,
● Los reglamentos y manuales de procedimientos,
 31

● Las políticas en materia de recursos humanos y

● El Comité de Control.

EVALUACIÓN DE RIESGOS

Este componente identifica los posibles riesgos asociados con el logro de los objetivos
de la organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto
interno como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en
diferentes sentidos, como en su habilidad para competir con éxito, mantener una posición
financiera fuerte y una imagen pública positiva. Por ende, se entiende por riesgo cualquier
causa probable de que no se cumplan los objetivos de la organización. De esta manera, la
organización debe prever, conocer y abordar los riesgos con los que se enfrenta, para
establecer mecanismos que los identifiquen, analicen y disminuyan. Este es un proceso
dinámico e iterativo que constituye la base para determinar cómo se gestionan los riesgos.

ACTIVIDADES DE CONTROL

En el diseño organizacional, deben establecerse las políticas y procedimientos que

ayuden a que las normas de la organización se ejecuten con una seguridad razonable para
enfrentar de forma eficaz los riesgos. Las actividades de control se definen como las acciones
establecidas a través de las políticas y procedimientos que contribuyen a garantizar que se
lleven a cabo las instrucciones de la dirección para mitigar los riesgos con impacto potencial
en los objetivos.

Las actividades de control se ejecutan en todos los niveles de la entidad, en las

diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven como
mecanismos para asegurar el cumplimiento de los objetivos.

Según su naturaleza, pueden ser preventivas o de detección y pueden abarcar una

amplia gama de actividades manuales y automatizadas. Las actividades de control conforman
una parte fundamental de los elementos de control interno. Estas actividades están orientadas
a minimizar los riesgos que dificultan la realización de los objetivos generales de la
organización. Cada control que se realice debe estar de acuerdo con el riesgo que previene,
teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos
excesivos. Estos controles permiten:

● Prevenir la ocurrencia de riesgos innecesarios.

● Minimizar el impacto de las consecuencias de los mismos.
● Restablecer el sistema en el menor tiempo posible.

En todos los niveles de la organización existen responsabilidades en las actividades de

control, debido a esto es necesario que todo el personal dentro de la organización conozca
 32

cuáles son las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las
funciones de control que le corresponden a cada individuo.

INFORMACIÓN Y COMUNICACIÓN

El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente hace
referencia a la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información.

La información es necesaria para que la entidad lleve a cabo las responsabilidades de

control interno, que apoyan el cumplimiento de los objetivos. La gestión de la empresa y el
progreso hacia los objetivos establecidos, implican que la información es necesaria en todos
los niveles de la empresa. En este sentido, la información financiera no se utiliza solo para los
estados financieros, sino también en la toma de decisiones. Por ejemplo, toda la información
presentada a la Dirección con relación a medidas monetarias facilita el seguimiento de la
rentabilidad de los productos, la evolución de deudores, las cuotas en el mercado, las
tendencias en reclamaciones, etc.

La información está compuesta por los datos que se combinan y sintetizan con base en
la relevancia, para los requerimientos de información. Es importante que la dirección
disponga de datos fiables a la hora de efectuar la planificación, preparar presupuestos, y
demás actividades. Es por esto que la información debe ser de calidad y tener en cuenta los
siguientes aspectos:

● Contenido: ¿presenta toda la información necesaria?

● Oportunidad: ¿se facilita en el tiempo adecuado?
● Actualidad: ¿está disponible la información más reciente?
● Exactitud: ¿los datos son correctos y fiables?
● Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas
adecuadas?

La comunicación es el proceso continuo e iterativo de proporcionar, compartir y

obtener la información necesaria, relevante y de calidad, tanto interna como externamente. La
comunicación interna es el medio por el cual la información se difunde a través de toda la
organización, que fluye en sentido ascendente, descendente y a todos los niveles de la
entidad. Esto hace posible que el personal pueda recibir de la Alta Dirección un mensaje claro
de las responsabilidades de control. La comunicación externa tiene dos finalidades:
comunicar de afuera hacia el interior de la organización información externa relevante, y
proporcionar información interna relevante de adentro hacia afuera, en respuesta a las
necesidades y expectativas de grupos de interés externos.
 33

Para esto se tiene en cuenta:

● Integración de la información con las operaciones y calidad de la

información, analizando si ésta es apropiada, oportuna, fiable y accesible.
● Comunicación de la información institucional eficaz y multidireccional.
● Disposición de la información útil para la toma de decisiones.
● Los canales de información deben presentar un grado de apertura y eficacia
acorde con las necesidades de información internas y externas.

La comunicación puede ser materializada en manuales de políticas, memorias, avisos

o mensajes de video. Cuando se hace verbalmente la entonación y el lenguaje corporal le dan
un énfasis al mensaje. La actuación de la Dirección debe ser ejemplo para el personal de la
entidad.

Un sistema de información comprende un conjunto de actividades, y envuelve

personal, procesos, datos y/o tecnología, que permite que la organización obtenga, genere,
use y comunique transacciones de información para mantener la responsabilidad y medir y
revisar el desempeño o progreso de la entidad hacia el cumplimiento de los objetivos.

SUPERVISIÓN DEL SISTEMA DE CONTROL Y MONITOREO

Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de

mejoramiento continuo; así mismo, el Sistema de Control Interno debe ser flexible para
reaccionar ágilmente y adaptarse a las circunstancias. Las actividades de monitoreo y
supervisión deben evaluar si los componentes y principios están presentes y funcionando en
la entidad.

Es importante determinar, supervisar y medir la calidad del desempeño de la

estructura de control interno, teniendo en cuenta:

● Las actividades de monitoreo durante el curso ordinario de las operaciones de

la entidad.
● Evaluaciones separadas.
● Condiciones reportables.
● Papel asumido por cada miembro de la organización en los niveles de control.

Es importante establecer procedimientos, que aseguren que cualquier deficiencia

detectada que pueda afectar al Sistema de Control Interno sea informada oportunamente para
tomar las decisiones pertinentes. Los sistemas de control interno cambian constantemente,
debido a que los procedimientos que eran eficaces en un momento dado, pueden perder su
 34

eficacia por diferentes motivos, como la incorporación de nuevos empleados, restricciones de

recursos, entre otros.

17 PRINCIPIOS Y PUNTOS DE ENFOQUE

En el próximo cuadro se presenta la relación entre los componentes, los principios y

los puntos de enfoque para cada uno. Los puntos de enfoque representan las características
importantes de cada principio, lo que permite que sean más fáciles de entender y que la
entidad pueda evaluar si el principio está presente y funcionando en su sistema de control
interno.

Para determinar que el Sistema de Control Interno, es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:

● Presente: la determinación de que los componentes y los principios relevantes existen

en el diseño y la implementación del sistema de control interno para lograr los
objetivos especificados.
● Funcionando: la determinación de que los componentes y los principios relevantes
continúan existiendo en la dirección del sistema de control interno para lograr los
objetivos especificados.

No todos los puntos de enfoque son requeridos para valorar la efectividad del sistema
de control. La administración puede determinar que algunos de estos no son relevantes y
puede identificar y considerar otros.

De esta manera, el Marco Integrado de Control Interno facilita la labor de diseño y

supervisión del Sistema de Control Interno y permite comprender con más claridad el
contenido, significado y el impacto que los Sistemas de Control Interno implementados
tienen al momento de mitigar los riesgos de la organización.

PRINCIPIOS: ENTORNO DE CONTROL

1. La organización demuestra compromiso con la integridad y los valores éticos.

PUNTOS DE ENFOQUE

Establece el tono de la gerencia. la Junta Directiva,la Alta Gerencia y el personal supervisor están comprometidos con lo
Establece estándares de conducta. La integridad y los valores éticos son definidos en los estándares de conducta de la en
Evalúa la adherencia a estándares de conducta. Los procesos están en su lugar para evaluar el desempeño de los individuo
 35

● Aborda y decide sobre desviaciones en forma oportuna. Las desviaciones de los

estándares de conducta esperados en la entidad son identificadas y corregidas oportuna y
adecuadamente.

2. El consejo de administración demuestra independencia de la dirección y ejerce la

supervisión del desempeño del sistema de control interno.
PUNTOS DE ENFOQUE

Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica y acepta su responsabilidad
Aplica experiencia relevante. La Junta directiva define, mantiene y periódicamente evalúa las habilidades y experiencia
Conserva o delega responsabilidades de supervisión.
Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son independientes de la Admin
Brinda supervisión sobre el Sistema de Control Interno. La Junta Directiva conserva la responsabilidad de supervisión d
Entorno de Control: establece integridad y valores éticos, estructuras de supervisión, autoridad y responsabilidad, expec
Evaluación de Riesgos: monitorea las evaluaciones de riesgos de la administración para el cumplimiento de los objetivo
Actividades de Control: provee supervisión a la Alta Dirección en el desarrollo y cumplimiento de las actividades de con
Información y Comunicación: analiza y discute la información relacionada con el cumplimiento de los objetivos de la en
Actividades de Supervisión: evalúa y supervisa la naturaleza y alcance de las actividades de monitoreo y la evaluación y

3. La dirección establece con la supervisión del Consejo, las estructuras, líneas de

reporte y los niveles de autoridad y responsabilidad apropiados para la
consecución de los objetivos.
PUNTOS DE ENFOQUE

Considera todas las estructuras de la entidad. La Administración y la Junta Directiva consideran las estructuras múltiple
Establece líneas de reporte. La Administración diseña y evalúa las líneas de reporte para cada estructura de la entidad, p
Define, asigna y delimita autoridades y responsabilidades. La Administración y la Junta Directiva delegan autoridad, de
 36

adecuadas para asignar responsabilidad, segregar funciones según sea necesario en varios
niveles de la organización:
○ Junta directiva: conserva autoridad sobre las decisiones significativas y revisa
las evaluaciones de la administración y las limitaciones de autoridades y
responsabilidades.
○ Alta Dirección: establece instrucciones, guías, y control habilitando a la
administración y otro personal para entender y llevar a cabo sus
responsabilidades de control interno.
○ Administración: guía y facilita la ejecución de las instrucciones de la Alta
Dirección dentro de la entidad y sus sub-unidades.
○ Personal: entiende los estándares de conducta de la entidad, los riesgos
evaluados para los objetivos, y las actividades de control relacionadas con sus
respectivos niveles de la entidad, la información esperada y los flujos de
comunicación, así como las actividades de monitoreo relevantes para el
cumplimiento de los objetivos.
○ Proveedores de servicios externos: cumple con la definición de la administración
del alcance de la autoridad y la responsabilidad para todos los que no sean
empleados comprometidos.

4. La organización demuestra compromiso para atraer, desarrollar y retener a

profesionales competentes, en concordancia con los objetivos de la organización.
PUNTOS DE ENFOQUE

Establece políticas y prácticas. Las políticas y prácticas reflejan las expectativas de competencia necesarias para apoyar
Evalúa la competencia y direcciona las deficiencias. La Junta Directiva y la Administración evalúan la competencia a tra
Atrae, desarrolla y retiene profesionales. La organización provee la orientación y la capacitación necesaria para atraer, d
Planea y se prepara para sucesiones. La Alta Dirección y la Junta Directiva desarrollan planes de contingencia para la as

5. La organización define las responsabilidades de las personas a nivel de control

interno para la consecución de los objetivos
PUNTOS DE ENFOQUE

Hace cumplir la responsabilidada través de estructuras, autoridades y responsabilidades. La Administración y la Junta D

Establece medidas de desempeño, incentivos y premios. La Administración y la Junta Directiva establecen medidas de
 37

cumplimiento de objetivos a corto y largo plazo.

● Evalúa medidas de desempeño, incentivos y premios para la relevancia en curso. La
Administración y la Junta Directiva alinean incentivos y premios con el cumplimiento de
las responsabilidades de control interno para la consecución de los objetivos.
● Considera presiones excesivas. La administración y la Junta Directiva evalúan y ajustan
las presiones asociadas con el cumplimiento de los objetivos; asimismo asignan
responsabilidades, desarrollan medidas de desempeño y evalúan el desempeño.
● Evalúa desempeño y premios o disciplina los individuos. La Administración y la Junta
Directiva evalúan el desempeño de las responsabilidades de control interno, incluyendo la
adherencia a los estándares de conducta y los niveles de competencia esperados, y
proporciona premios o ejercer acciones disciplinarias cuando es apropiado.

PRINCIPIOS: EVALUACIÓN DE RIESGOS

6. La organización define los objetivos con suficiente claridad para permitir la

identificación y evaluación de los riesgos relacionados.
PUNTOS DE ENFOQUE

Objetivos Operativos:
Refleja las elecciones de la administración.
Considera la tolerancia al riesgo.
Incluye las metas de desempeño operativo y financiero.
Constituye una base para administrar los recursos.
Objetivos de Reporte Financiero Externo:
Cumple con los estándares contables aplicables.
Considera la materialidad.
Refleja las actividades de la entidad.
Objetivos de Reporte no Financiero Externo:
Cumple con los estándares y marcos externos establecidos.
Considera los niveles de precisión requeridos.
Refleja las actividades de la entidad
Objetivos de Reporte interno:
Refleja las elecciones de la administración.
Considera el nivel requerido de precisión.
Refleja las actividades de la entidad.
Objetivos de Cumplimiento:
Refleja las leyes y regulaciones externas.
Considera la tolerancia al riesgo.

7. La organización identifica los riesgos para la consecución de sus objetivos en

todos los niveles de la entidad y los analiza como base sobre la cual determina
cómo se deben gestionar.
PUNTOS DE ENFOQUE

Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La organización identifica y evalúa los
Evalúa la consideración de factores externos e internos en la identificación de los riesgos que puedan afectar a los objeti
 38

● Involucra niveles apropiados de administración. La dirección evalúa si existen

mecanismos adecuados para la identificación y análisis de riesgos.
● Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al
riesgo de la organización.
● Determina la respuesta a los riesgos. La evaluación de riesgos incluye la consideración
de cómo el riesgo debería ser gestionado y si aceptar, evitar, reducir o compartir el riesgo.

8. La organización considera la probabilidad de fraude al evaluar los riesgos para

la consecución de los objetivos.
PUNTOS DE ENFOQUE

Considera varios tipos de fraude: La evaluación del fraude considera el Reporte fraudulento, posible pérdida de activos
La evaluación del riesgo de fraude evalúa incentivos y presiones.
La evaluación del riesgo de fraude tiene en consideración el riesgo de fraude por adquisiciones no autorizadas, uso o ena
La evaluación del riesgo de fraude considera como la dirección u otros empleados participan en, o justifican, acciones in

9. La organización identifica y evalúa los cambios que podrían afectar

significativamente al sistema de control interno
PUNTOS DE ENFOQUE

Evalúa cambios en el ambiente externo. El proceso de identificación de riesgos considera cambios en los ambientes regu
Evalúa cambios en el modelo de negocios. La organización considera impactos potenciales de las nuevas líneas del nego
Evalúa cambios en liderazgo. La organización considera cambios en administración y respectivas actitudes y filosofías e

PRINCIPIOS: ACTIVIDADES DE CONTROL

10. La organización define y desarrolla actividades de control que contribuyen a la

mitigación de los riesgos hasta niveles aceptables para la consecución de los
objetivos.
PUNTOS DE ENFOQUE

Se integra con la evaluación de riesgos.Las actividades de control ayudan a asegurar que las respuestas a los riesgos que
Considera factores específicos de la entidad. La administración considera cómo el ambiente, complejidad, naturaleza y
 39

control.
● Determina la importancia de los procesos del negocio. La administración determina la
importancia de los procesos del negocio en las actividades de control.
● Evalúa una mezcla de tipos de actividades de control. Las actividades de control
incluyen un rango y una variedad de controles que pueden incluir un equilibrio de
enfoques para mitigar los riesgos teniendo en cuenta controles manuales y automatizados,
y controles preventivos y de detección.
● Considera en qué nivel las actividades son aplicadas. La administración considera las
actividades de control en varios niveles de la entidad.
● Direcciona la segregación de funciones. La administración segrega funciones
incompatibles, y donde dicha segregación no es práctica, la administración selecciona y
desarrolla actividades de control alternativas.

11. La organización define y desarrolla actividades de control a nivel de entidad

sobre la tecnología para apoyar la consecución de los objetivos.
PUNTOS DE ENFOQUE

Determina la relación entre el uso de la tecnología en los procesos del negocio y los controles generales de tecnología: L
Establece actividades de control para la infraestructura tecnológica relevante: la Dirección selecciona y desarrolla activi
Establece las actividades de control para la administración de procesos relevantes de seguridad: la dirección selecciona y
Establece actividades de control relevantes para los procesos de adquisición, desarrollo y mantenimiento de la tecnologí

12. La organización despliega las actividades de control a través de políticas que

establecen las líneas generales del control interno y procedimientos.
PUNTOS DE ENFOQUE

Establece políticas y procedimientos para apoyar el despliegue de las directivas de la administración: la administración e
Establece responsabilidad y rendición de cuentas para ejecutar las políticas y procedimientos: la administración establec
Funciona oportunamente: el personal responsable desarrolla las actividades de control oportunamente, como es definido
Toma acciones correctivas: el personal responsable investiga y actúa sobre temas
 40

identificados como resultado de la ejecución de actividades de control.

● Trabaja con personal competente: personal competente con la suficiente autoridad
desarrolla actividades de control con diligencia y continúa atención.
● Reevalúa políticas y procedimientos: la administración revisa periódicamente las
actividades de control para determinar su continua relevancia, y las actualiza cuando es
necesario.

PRINCIPIOS: INFORMACIÓN Y COMUNICACIÓN

13. La organización obtiene o genera y utiliza información relevante y de calidad

para apoyar el funcionamiento del control interno.
PUNTOS DE ENFOQUE

Identifica los requerimientos de información: un proceso está en ejecución para identificar la información requerida y es
Captura fuentes internas y externas de información: los sistemas de información capturan fuentes internas y externas de
Procesa datos relevantes dentro de la información: los sistemas de información procesan datos relevantes y los transform
Mantiene la calidad a través de procesamiento: los sistemas de información producen información que es oportuna, actu
Considera costos y beneficios: la naturaleza, cantidad y precisión de la información comunicada están acorde con, y apo

14. La organización comunica la información internamente, incluidos los objetivos y

responsabilidades que son necesarios para apoyar el funcionamiento del sistema
de control interno.
PUNTOS DE ENFOQUE

Comunica la información de control interno: un proceso está en ejecución para comunicar la información requerida pa
Se comunica con la Junta directiva: existe comunicación entre la administración y la Junta Directiva; por lo tanto, amba
Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irr
Selecciona métodos de comunicación relevantes: los métodos de comunicación consideran tiempo, público y la naturale
 41

15. La organización se comunica con los grupos de interés externos sobre los
aspectos clave que afectan al funcionamiento del control interno.
PUNTOS DE ENFOQUE

Se comunica con grupos de interés externos: los procesos están en funcionamiento para comunicar información relevant
Permite comunicaciones de entrada: canales de comunicación abiertos permiten los aportes de clientes, consumidores, p
Se comunica con la Junta Directiva: la información relevante resultante de evaluaciones conducidas por partes externas
Proporciona líneas de comunicación separadas: separa canales de comunicación, como líneas directas de denuncia de irr
Selecciona métodos de comunicación relevantes: los métodos de comunicación consideran el tiempo, público, y la natur

PRINCIPIOS: ACTIVIDADES DE SUPERVISIÓN - MONITOREO

16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o

independientes para determinar si los componentes del sistema están presentes y
funcionando.
PUNTOS DE ENFOQUE

Considera una combinación de evaluaciones continuas e independientes: la administración incluye un balance de evalua
Considera tasa de cambio: la administración considera la tasa de cambio en el negocio y los procesos del negocio cuand
Establece un punto de referencia para el entendimiento: el diseño y estado actual del sistema de control interno son usad
Uso de personal capacitado: los evaluadores que desarrollan evaluaciones continuas e independientes tienen suficiente c
Se integra con los procesos del negocio: las evaluaciones continuas son construidas dentro de los procesos del negocio y
Ajusta el alcance y la frecuencia: la administración cambia el alcance y la frecuencia de las evaluaciones independientes
Evalúa objetivamente: las evaluaciones independientes son desarrolladas periódicamente para proporcionar una retroalim
 42

17. La organización evalúa y comunica las deficiencias de control interno de forma

oportuna a las partes responsables de aplicar medidas correctivas, incluyendo la
alta dirección y el consejo, según corresponda.
PUNTOS DE ENFOQUE

Evalúa resultados: la Administración o la Junta Directiva, según corresponda, evalúa los resultados de las evaluaciones c
Comunica deficiencias: las deficiencias son comunicadas a las partes responsables para tomar las acciones correctivas y
Supervisa acciones correctivas: la administración monitorea si las deficiencias son corregidas oportunamente.
 43

Aplicación Práctica del Modelo

El siguiente es un ejemplo práctico de que debemos considerar para aplicar el modelo COSO
(como ejemplo de Auditoría Interna) a una “Sociedad Comercial”. Esto también es aplicable
a otro tipo de empresa, ya sea, de “Servicios”, “Logística y Distribución”, “Producción” y por
ende, de cualquier rubro.

¿Cómo enfocamos nuestra Auditoria Interna con COSO?

Siguiendo el Modelo de Control Interno (COSO), se debe trabajar bajo los cinco aspectos
significativos del modelo.

Estos son:

● El Entorno de Control.
● La Evaluación de los Riesgos.
● Las Actividades de Control.
● La Comunicación e Información.
● La Supervisión

1. El Entorno de Control

El Entorno de Control, marca las pautas de comportamiento en una Organización y

por lo tanto mantiene una influencia directa en el nivel de percepción del personal
respecto al mismo. Motivo por el cual debemos revisar, por ejemplo:

A. La Integridad y Los Valores Éticos.

○ La existencia de códigos de conducta, políticas y prácticas relacionadas con
las prácticas profesionales aceptables. Pautas establecidas por La Gerencia
sobre las incompatibilidades o pautas esperadas de comportamiento ético y
moral.
○ La forma en que se llevan a cabo las negociaciones con los empleados,
proveedores, clientes, inversionistas, acreedores, compañías de seguros,
competidores directos, entre otros.
○ Como es el trabajo a presión que ejerce La Gerencia para alcanzar los
objetivos, revisar si ¿son realistas o no? .Si, ¿son a corto, mediano o largo
plazo? Y en qué medida la remuneración del personal está a nivel de mercado
y sobre todo a la medida de las exigencias del trabajo en cuestión.

B. Compromiso de Competencia Profesional.

 44

○ La existencia de descripciones de Cargo, formales e informales.

○ La existencia de descripciones de Funciones, respecto al cargo asignado.
○ La existencia de un Organigrama claro y detallado.

C. Consejo de Administración o Comité de Auditoría

○ La independencia de los asesores externos (Abogados, Auditores, etc.)
○ La frecuencia y oportunidad de las reuniones con La Gerencia, Director
Financiero, Contador general, Auditores externos e internos.
○ La oportunidad y el alcance en que se facilita la información a los miembros
del consejo o comité de auditoría que permita supervisar los objetivos y las
estrategias, la situación financiera, así como los resultados de explotación,
entre otros.

D. Filosofía de Dirección y el Estilo de Gestión.

○ Es necesario revisar la naturaleza de los riesgos empresariales aceptados, vale
decir, si La Dirección en su totalidad participa a menudo en operaciones de
alto riesgo para La Sociedad.
○ Revisar la frecuencia con que se llevan a cabo los contactos o reuniones entre
La Alta Dirección y La Dirección Operativa, sobre todo cuando se ubican en
zonas geográficas diferentes y distanciadas.
○ Revisar la presentación de la información financiera (memorias anuales, actas
de reuniones de directorio, planificación estratégica, tratamiento contable de
acuerdo a normas, etc.) Cabe destacar que se debe revisar la veracidad de los
documentos auditados.

E. Estructura Organizativa
○ Revisar la idoneidad de la estructura organizacional y su real capacidad para
proporcionar flujos de información a los distintos departamentos que la
requieran.
○ Analizar la suficiencia de la responsabilidad de los Directivos claves y su
conocimiento y responsabilidad.

F. Asignación de Autoridad y Responsabilidad

○ Revisar la asignación de responsabilidad y delegación de autoridad para hacer
frente a las metas y objetivos organizativos, funciones operativas y
responsabilidades en cuanto a los sistemas de información y la autorización
para la Gestión del Cambio.
○ La existencia de normas y procedimientos escritos y conocidos respecto del
control, incluyendo las descripciones de puestos de trabajo.
 45

G. Políticas y Prácticas de Recursos Humanos.

○ Revisar si existen políticas vigentes, procedimientos adecuados.
○ Revisar la idoneidad de los candidatos a los puestos de trabajos por ejercer y
en ejercicio.
○ Revisar la idoneidad de los criterios utilizados en la cultura organizacional,
sobre todo para retener y promocionar a los empleados.

Herramientas a utilizar

Checklist
Diagnóstico General del Sistema de Control Interno.
Evaluación de Proveedores
Check List de Información para un Nuevo Miembro de la Junta Directiva
Cuestionario para Evaluar la Junta Directiva
Indicadores para Medir la Ética en la Organización
Check List para las Prácticas del Comité de Auditoría
Cuestionario para el Comité de Auditoría frente a las Debilidades del Control Interno
Cuestionario para Evaluar la Gestión de la Función de Auditoría Interna por
parte del Comité de Auditoría
Lista de Verificación para las Actividades Iniciales de la Junta Directiva
Check List de Información para un Nuevo Miembro del Comité de Auditoría
Cuestionario para el Auditor Interno en Privado con el Comité de Auditoría
Cómo Prepararse para la Evaluación de Desempeño
Entrevista para la Selección de Auditores
Preguntas del Comité de Auditoría frente a la Cultura de la Organización
Cuestionario Para Evaluar la Adaptación a la Cultura Organizacional

Riesgos y Controles
Señales de Alerta para los Miembros de la Junta Directiva
Matriz de Riesgos y Controles para la Ética y el Cumplimiento
Matriz para Definir las Responsabilidades en la Organización
Señales de Alerta de Fraude Frente a las Metas de Cumplimiento
Indicadores para Medir la Ética

Buenas Prácticas
Buenas Prácticas para la Implementación del Primer Componente de Coso
Buenas Prácticas para Desarrollar una Cultura Ética en las Organizaciones
Buenas Prácticas para Implementar el Código de Ética
 46

Buenas Prácticas para el Comité de Compensación

Buenas Prácticas de Gobierno Corporativo
Buenas Prácticas para Incentivos
Buenas Prácticas para la Evaluación de Desempeño
Buenas Prácticas para Definir y Mantener el Tono de la Gerencia
Buenas Prácticas para el Plan de Sucesión

Modelos
Política de Cumplimiento Normativo
Política para la Vinculación y Retención de Talentos
Política para el Conflictos de Interés
Política para la Línea Ética
Código de Ética y Conducta
Aceptación del Código de Ética y Conducta
Formato para el Registro de Capacitaciones
Reglamento para el Comité de Nombramientos - Buen Gobierno Corporativo
Modelo de Evaluación de Desempeño
Declaración de Conflictos de Interés
Modelo Estatuto del Comité de Riesgos
Modelo Estatuto Comité de Auditoría
Modelos de Indicadores para Recursos Humanos
Modelo de un Código de Ética y Conducta
Política para el Desarrollo Profesional

2. Evaluación y Análisis de los Riesgos

Todos los Riesgos existentes en las Empresas, vienen dados por los objetivos, en esta
etapa revisaremos los riesgos relacionados a los objetivos, partiendo por:

A. Objetivos Relacionados con las Operaciones, ellos se refieren a la eficacia y

eficiencia en las operaciones, incluyendo los objetivos de rendimiento y
rentabilidad y por supuesto la salvaguarda de los recursos contra posibles
pérdidas.
B. Objetivos Relacionados con La Información Financiera, ello, referente a la
preparación de los estados financieros, que por supuesto sean fiables.
C. Objetivos de Cumplimiento, ellos se refieren al cumplimiento de leyes y
normas vigentes en la actualidad.
 47

EJEMPLO DE RIESGOS

En todas las Sociedades, los riesgos pueden ser la consecuencia de factores externos
como internos, como por ejemplo:

Factores Externos.

● Avances Tecnológicos.
● Necesidad o expectativas cambiantes de los clientes.
● Competencia agresiva a nivel de mercado.
● Nuevas normas y reglamentaciones.
● Desastres naturales.
● Cambios económicos.

Factores Internos.

● Sistemas informáticos con averías u obsoletos.

● Cambios de responsabilidad en Directivos o puestos a nivel de Gerencia.
● Descuadre en la naturaleza de las actividades.
● Un consejo de administración o comité de auditoría débil.

Herramientas a utilizar

Checklist
Diagnóstico General del Sistema de Control Interno - Evaluación de Riesgos
Cuestionario para la Identificación y Actualización de Riesgos por Proceso
Checklist para Definir y Evaluar los Objetivos
Check List para la Definición y el Seguimiento al Apetito de Riesgos
Cuestionario para la Identificación y Actualización de Riesgos de Negocio
Check List para el Diseño e Implementación de Indicadores de Riesgo
Check List para Evaluar la Cultura de Riesgo en la Organización
Check List para Identificar Riesgo en el Proceso Financiero
Check List para Identificar Riesgos en la Administración de Talento Humano
Check List para Identificar Riesgos de Fraude en las Organizaciones.
Check List para Evaluar el Ambiente de Control Frente al Riesgo de Fraude
Check List para Identificar Señales de Fraude en el Proceso de Compras
Check List para Identificar Señales de Fraude en el Proceso Nómina
Check List Incentivos para Cometer un Fraude
Check List para la Identificación de Riesgos en el Reporte Financiero
Check List para Identificar Señales de Fraude en los Activos
 48

Check List para Identificar Riesgos en la Tercerización de Procesos

Check List para Identificar Riesgos Legales
Check List para Identificar Señales de Corrupción
Check List para Identificar Factores de Riesgo Externo
Check List: Cómo Evaluar el Riesgo de Fraude y su Administración
Checklist para Administrar los Riesgos IT

Riesgos y Controles
Matriz de Riesgos para la Administración de Inventarios
Matriz de Riesgos y Controles de Tesorería
Matriz de Riesgos y Controles de Compras
Matriz de Riesgos y Controles de Nómina
Matriz de Riesgos y Controles para Realizar y Ejecutar el Presupuesto
Matriz de Riesgos y Controles para Contratación
Matriz de Riesgos y Controles en el Proceso Contable
Matriz de Riesgos y Controles para el Proceso de Ventas
Matriz de Riesgos y Controles para la Administración de Activos Fijos
Matriz de Riesgos y Controles para Cuentas por Pagar
Factores de Riesgo para el Desarrollo de Proyectos
Factores de Riesgo en la Dirección
Factores de Riesgo de Negocio
Factores de Riesgo de Producción
Riesgo de Negocio del Sector Retail
Riesgo de Negocio del Sector Construcción
Riesgo de Negocio del Sector Alimentos
Riesgo de Negocio del Sector Hidrocarburos
Riesgo de Negocio del Sector de Telecomunicaciones
Riesgo de Negocio del Sector de Medios y Entretenimiento
Riesgo de Negocio del Sector de Inmobiliario
Riesgo de Negocio para Empresas de Servicios Públicos
Riesgo de Negocio para el Sector Farmacéutico

Buenas Prácticas
Buenas Prácticas para la Identificación de Riesgos de Negocio
Buenas Prácticas para Implementar la Cultura de Riesgo
Buenas Prácticas para la Gestión del Riesgo de Fraude en el Proceso de Compras
Buenas Prácticas para la Gestión del Riesgo en Proyectos
 49

Buenas Prácticas para Desarrollar los Objetivos de Cumplimiento

Buenas Prácticas para Gestionar el Riesgo de Fraude en la Información Financiera
Buenas Prácticas para Gestionar el Riesgo Legal
Buenas Prácticas en la Gestión de Riesgos
Modelos
Política de Gestión de Riesgos
Modelo Hoja de Vida para Indicador de Riesgo
Modelo de Indicadores de Riesgo para Talento Humano
Modelo de Indicadores Generales de Riesgo
Papel de Trabajo para la Identificación de Riesgos de Fraude
Señales de Alerta de Riesgos
Señales de Alerta de Riesgos Emergentes
Factores de Riesgo para la Integridad de la Información

Luego de identificar los riesgos a nivel de entidad y actividad, se debe seguir una
metodología. Normalmente incluiremos:

A. Estimación de la importancia del riesgo

B. Evaluación de la probabilidad de ocurrencia o que se materialice el riesgo.
C. Gestión del riesgo, es decir evaluación del mismo.

3. Actividades de Control

Consiste en las políticas y procedimientos que tienden a asegurar que se cumplan las
directrices de La Dirección.

● Controles sobre las operaciones del centro de procesos de datos

● Controles sobre el software utilizado.
● Controles sobre la seguridad de acceso.
● Controles sobre el desarrollo y mantenimiento de las aplicaciones.
● Controles sobre los procesos de tesorería
● Controles sobre los procesos de custodia de valores
● Controles sobre la recepción, custodia y salida de mercaderías
● Controles sobre el proceso de remuneraciones
● Controles sobre el proceso de contabilización, declaración y pago de los
impuestos mensuales.
● Controles sobre el uso de los activos (camionetas, herramientas, sistemas
computacionales)
● Entre otros.
 50

Ya sabemos que los controles deben ser:

A. Controles preventivos.
B. Controles detectivos.
C. Controles correctivos.
D. Controles tecnológicos.
E. Controles administrativos.

Herramientas a utilizar

Checklist
Evaluación Controles Generales-IT
Revisar la Gestión General del Área de TI
Terminación de Contrato Laboral
Evaluar la Gestión de Tesorería
Revisar la Seguridad de la Información de IT
Evaluar la Infraestructura de IT
Evaluar la Necesidad de Implementar una Política
Manejo de Incidentes en Ciberseguridad
Evaluar los Proveedores de IT
Evaluar los Desarrollos de IT
Check List Actividades de Control para Disuadir el Fraude
Check List para Reducir los Errores en el Inventario
Check List para para Construir el Plan Estratégico
Check List para Revisar Contratos
Check List para Mitigar el Riesgo de Fraude en Tesorería
Check List para Mitigar el Fraude en los Estados Financieros
Check List para Mitigar el Fraude en Nómina
Check List para Mitigar el Riesgo de Fraude en la Administración del Efectivo
Checklist para el Cierre Contable
Checklist de Riesgos en la Segregación de Funciones
Checklist para Controles en la Administración de Activos Fijos
Checklist para Revisar los Controles en Cuentas por Cobrar.
Checklist para Revisar los Controles en Inversiones
Checklist para Revisar la Innovación en su Organización

Guías
 51

Componente 3 de COSO III. Actividad de Control

Control de Conciliación
Control de Segregación de Funciones
Control de Autorización
Control de Indicadores Clave de Rendimiento
Control de Revisión de la Gerencia
Modelo de Indicadores de IT para Infraestructura y Operación
Modelo de Indicadores de IT para Aplicaciones
Modelo de Indicadores para la Gestión Administrativa de IT
Modelo de Indicadores para el Personal de IT
Modelo de Indicadores para Incidentes en Seguridad de IT
Modelo de Indicadores para Administrar el Inventario
Modelo de Indicadores para las Redes Sociales
Modelo de Indicadores para el Proceso de Ventas
Modelo de Indicadores para el Proceso de Compras
Modelo de Indicadores desde la Perspectiva Financiera
Modelo Matriz de Indicadores
Modelo Evaluación de Proveedores

Buenas Prácticas
Diseño de Políticas
Diseño de Controles
Segregación de Funciones
Privacidad de la Información
Gestión de Cambios IT
Gestionar las Copias de Seguridad
Gestionar los Accesos
Gestionar los Activos de IT
Protección de Datos Personales en las Organizaciones
Desarrollar la Estrategia de IT
Documentar las Políticas de una Organización.
Ciberseguridad
Controles de Aplicación
Administración de Talento Humano de IT.
Buenas Prácticas para Definir los Indicadores de IT
Buenas Prácticas para Prevenir el Fraude Electrónico
Buenas Prácticas en Controles para Ciberseguridad
 52

Buenas Prácticas para el Recaudo de Efectivo

Modelos
Modelos Políticas
Riesgos y Controles
Matriz de Segregación de Funciones para el Proceso de Inventarios
Matriz de Segregación de Funciones en la Administración de Activos Fijos
Matriz de Segregación de Funciones en la Administración de Efectivo
Matriz de Segregación de Funciones para Nómina
Matriz de Segregación de Funciones en Inversiones y Tesorería
Matriz de Segregación de Funciones para Cuentas por Pagar
Matriz de Segregación de Funciones para Cuentas por Cobrar

4. Información y Comunicación

Esta debe ser necesaria para identificar, recoger y comunicar la información relevante
de un modo y en un plazo tal que permitan a cada uno asumir sus responsabilidades.

Dentro de nuestras Auditorías se debe tener muy presente los cinco (5) puntos más
importantes sobre “La Comunicación y La Información”, vale decir:

A. Contenido. ¿Se considera toda la información necesaria?

B. Oportunidad. ¿Se facilita en el tiempo adecuado?
C. Actualidad. La Información disponible, ¿es la más reciente?
D. Exactitud. ¿Los datos proporcionados son los correctos?
E. Accesibilidad. ¿Puede ser obtenida fácilmente por las personas no adecuadas?

Debemos tener presente sobre la Información y Comunicación que:

● La Información, se debe obtener de manera externa e interna

● La Información debe ser proporcionada por personas adecuadas, con el
máximo de detalle y oportunidad, demostrándonos que su responsabilidad es
eficiente y eficaz.
● La revisión de los sistemas de información, deben ser con el criterio que se
nos plantea sobre el efecto de lograr tanto los objetivos generales de la entidad
como los de cada actividad auditada
● El apoyo de la Dirección, en la entrega de información es indispensable y
necesaria y se pone de manifiesto en la aportación de los recursos adecuados,
tanto humanos como financieros.
 53

● Se debe tener presente que la comunicación debe ser eficaz hacia el personal,
sus funciones y responsabilidades.
● Se deben establecer líneas de comunicación para la denuncia de posibles actos
indebidos
● La comunicación debe siempre ser horizontal, debe haber integridad y
oportunidad en la información.

Herramientas a utilizar

Checklist
Diagnóstico General del Sistema de Control Interno
Check List para Diseñar el Plan de Comunicaciones
Check List para Revisar los Controles de Información y Comunicación
Check List para Revisar los Acuerdos de Confidencialidad
Check List para Revisar la Protección de los Secretos Industriales
Check List para Evaluar la Integridad de la Información
Buenas Prácticas
Buenas Prácticas para las Comunicaciones Internas
Buenas Prácticas para Medir la Comunicación Interna
Buenas Prácticas para Implementar Acuerdos de Confidencialidad
Buenas Prácticas para Proteger los Secretos Industriales
Buenas Prácticas para Comunicarse con la Junta
Buenas Prácticas para Comunicar el Plan Estratégico al Equipo de Trabajo
Buenas Prácticas para Comunicarse con los Stakeholders
Buenas Prácticas para Comunicarse con el Auditor
Buenas Prácticas para la Presentación de Reportes Financieros
Modelos
Modelo Política de Confidencialidad
Política de Comunicación
Política para la Clasificación y Administración de Datos
Riesgos y Controles
Matriz para la Administración de Datos

5. Supervisión

Siempre es necesario realizar actividades de supervisión o seguimientos a los niveles

y sistemas de control interno.
 54

El alcance y la frecuencia de la evaluación o seguimiento del control interno varían

según la magnitud de los riesgos objetos de control y la importancia de los controles
para la reducción de los mismos. Así, los controles que actúan sobre los riesgos de
mayor prioridad y los más críticos para la reducción de un determinado riesgo serán
objeto de una evaluación con más frecuencia.

Herramientas a utilizar

Checklist
Check List Diagnóstico General del Sistema de Control Interno - Actividades de Supervisión
Check List para Revisar Temas Financieros por parte de la Junta
Check List para Revisar los Programas de Cumplimiento en las Organizaciones
Check List para Revisar la Función Fiscal de la Organización
Check List para Revisar la Gestión de Riesgos por parte de la Junta
Check List para Evaluar el Comité de Compensación
Check List para Revisar el Plan de Sucesión del Director General por parte de la Junta
Check List para Revisar Temas Financieros por parte de la Junta
Check List para Evaluar la Gestión de Riesgos en las Redes Sociales
Check List para Evaluar la Gestión de Riesgos en Cumplimiento
Cuestionario para el Auditor Externo con el Comité de Auditoría
Check List para Evaluar al Auditor Externo
Check List para Promover la Cultura de Denunciar
Check List para la Identificación de Riesgos por el Comité de Auditoría
Check List para el Proceso de Selección del Auditor Externo
Check List del Auditor Interno para Revisar la Gestión de Fraude en la Organización
Check List para Cerrar las Investigaciones de Fraude
Check List para Diseñar el Proceso de Licitación para Auditoría
Check List para Evaluar la Madurez del Programa de Seguridad de la Información
Check List para Conocer el Plan de Seguridad Informática
Check List para Revisar la Ciberseguridad por la Junta
Check List para Revisar el Proceso de Cuentas por Pagar
Check List para identificar Fallas en la Comunicación del Comité de Auditoría
Check List para Evaluar la Administración General de la Compañía
Checklist para Evaluar el Servicio al Cliente
Checklist para Revisar la Política de Denuncias
Cuestionario para Evaluar la gestión de la función de auditoría interna por parte del Comité de auditoría
Cuestionario para el auditor interno en privado con el comité de auditoría
 55

Buenas Prácticas
Buenas Prácticas para Diseñar Programas de Denuncia
Buenas Prácticas para Comités de Auditoría Eficaces
Buenas Prácticas para la Línea de Denuncias
Buenas Prácticas para Diseñar un Plan Antifraude
Buenas Prácticas en Seguridad para Comercio Electrónico
Modelos
Política para Denunciar
Modelo – Plan Estratégico
Declaración de Cumplimiento de la Autoevaluación de Control Interno
Evaluación del Proceso de Gestión de Riesgos
Modelo de Indicadores para la Implementación del BSC en la Función de Auditoría Interna
Modelo de Evaluación de la Función Estratégica de Recursos Humanos
Herramienta para Evaluar el Nivel de Madurez del Sistema de Control Interno COSO III
Riesgos y Controles
Factores de Riesgo de Cumplimiento
Modelo de Indicadores para la Gestión de Fraude
Modelo de Indicadores para la Cadena de Suministro
Modelo de Indicadores para Administrar el Presupuesto
Modelo de Indicadores para el Análisis de Gastos
Modelo de Indicadores para Cuentas por Pagar
Formato para el Registro de Capacitaciones
Modelo de Indicadores para Medir el Cambio en la Cultura de Riesgos
 56

Conclusiones
● El control interno debe ser considerado un elemento fundamental en todo
organización, ya permite identificar y garantizar que todas las operaciones de la
organización se realicen adecuadamente apalancando el cumplimiento de sus
objetivos estratégicos o de negocio..
● El enfoque COSO es una potente y poderosa herramienta para la evaluación del
control interno en las organizaciones y debe ser usada para generar valor, ya que a
través de su aplicación metodológica contribuye de manera estratégica y operativa al
logro de los objetivos organizacionales.
● La aplicación del enfoque otorga las condiciones necesarias para aplicar mecanismos
formales y preestablecidos de control para evitar o reducir fraudes, riesgos y
conductas inadecuadas que puedan surgir, por parte del personal, como por clientes y
proveedores.
● Con la implementación de las prácticas sugeridas por el modelo COSO, las
organizaciones podrían controlar más eficientemente sus operaciones, y
transparentarlas para formalizarlas y medirlas de manera simple y efectiva.
● es importante conocer que el concepto de responsabilidad o rendición de cuentas es
uno de los factores claves par el gobierno corporativo de los organizaciones, y que un
eficiente sistema de control puede proporcionar un importante factor de tranquilidad
(no una seguridad absoluta), con relación a la responsabilidad de los directivos,
propietarios, accionistas y los terceros interesados.
● Para la correcta aplicación del modelo es indispensable el compromiso de la alta
dirección, y a partir de una concientización de los niveles estratégico, táctico y
operacional, comprometer a todo el personal de la entidad a estar permanentemente
pendientes del desempeño, las tendencias, los comportamientos irregulares y los
cambios de contextos internos y externos, de tal forma que una vez aplicado el
modelo de manera oportuna, se tomen decisiones acertadas.
 57

Bibliografía Primaria
● Committee of Sponsoring Organizations of the Treadway Commission (COSO) (1992, 1994)
Internal Control. Integrated framework. Two-Volume edition 1994.
● Committee of Sponsoring Organizations of the Treadway Commission (COSO) (2004)
Enterprise risk management. Integrated framework. (2 Vol. set).
● Carvajal, O. L., & Sanabria, J. A. G. (2015). Control organizacional: una mirada comparativa
con el mundo/Control management: a comparative perspective with the world/Contrôle
organisationnel : un regard comparatif avec le monde/Controle organizacional: um olhar
corporativo com o mundo. Contaduria Universidad de Antioquia, (66), 175–190. Retrieved
from https://search.proquest.com/docview/1781341843?accountid=45097.
● Flores, J. C. D., & Rivas, R. S. D. P. (2012). ¿Control de gestión o gestión de
control?*/Management control or control management? Contabilidad y Negocios, 7(14), 69–
80. Retrieved from https://search.proquest.com/docview/1318935649?accountid=45097
● Fol, M. M. (2010). Las tendencias actuales en los sistemas de control interno de las
organizaciones. Implicaciones para las Administraciones Públicas. Documentación
Administrativa, (286–287). Retrieved from
https://search.proquest.com/docview/2012126725?accountid=45097.
● Montoya, O. P. V. (2016). Visión integral del control interno TT - Integral vision of internal
control Vision globale du contrôle interne Visāo integral do controle interno. Contaduria
Universidad de Antioquia, (69), 139–154. Retrieved from
https://search.proquest.com/docview/1927854811?accountid=45097
● Torre-Enciso, M. I. M., & San José-Martí, M. I. C. (2011). EL PROCESO DE GESTIÓN DE
RIESGOS COMO COMPONENTE INTEGRAL DE LA GESTIÓN EMPRESARIAL.
Boletín de Estudios Económicos, 66(202), 73–93. Retrieved from
https://search.proquest.com/docview/1314736320?accountid=45097
● Committee of Sponsoring Organizations of the Treadway Commission (COSO). 2017.
Enterprise Risk Management: Integrating with Strategy and Performance - Executive
Summary. En línea, disponible en:
https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performa
nce-Executive-Summary.pdf
● Abella Ramon, Guerola Joaquin & Cendon Ana. (2012). Actualización COSO I: Análisis del
borrador del Marco de Control Interno actualizado.
● Laski, Julián Pablo. El control interno como estrategia de aprendizaje organizacional: El
Modelo COSO y sus alcances en América Latina. 2. Coopers & Lybrand. (1997). Los nuevos
conceptos del control interno. España.
 58

Bibliografía Secundaria
1. Código de Hammurabi. México: Cárdenas Editor y Distribuidor, 1992. ISBN
9789684011526.
2. https://nachobeltran.info/2017/02/10/fray-luca-pacioli-y-la-partida-doble-la-contabilidad-de-v
enecia/
3. Administración, Una perspectiva global, Harold Koontz y Heinz Weihrich, México. McGraw
Hill. 1994
4. Administración (10ed). Stephen P. Robbins y Mary Coulter. México. Pearson. 2009
5. http://doc.contraloria.gob.pe/Control-Interno/web/documentos/Publicaciones/Marco_Concept
ual_Control_Interno_CGR.pdf
6. Deloitte 2015 Galaz, Yamazaki, Ruiz Urquiza, S.C. 22
7. http://www.economicas.unsa.edu.ar/web/archivo/otros/control-unsa-sistema-de-control-intern
o.pdf
8. www.coso.org
9. «CNN.com - A burglary turns into a constitutional crisis - Jun 15, 2004». edition.cnn.com.
10. https://medium.com/@evan.epstein/la-ley-de-pr%C3%A1cticas-corruptas-en-el-extranjero-fc
pa-am%C3%A9rica-latina-y-acuerdos-globales-2018-7d89b1ae116c
11. http://www.eumed.net/libros-gratis/2010e/804/Asociacion%20Interamericana%20de%20Cont
adores.htm
12. https://www.oroyfinanzas.com/2013/06/que-sec-securities-and-exchange-commission/