Aspectos clave del

Control Interno
1. El ABC del
Control
Interno
Control Interno

¿Por dónde
empezar?
POR UNA REFLEXIÓN

Un barco en el puerto está

seguro, pero los barcos no se
construyeron para eso.
Paulo Coelho
Las organizaciones públicas
y privadas buscan:

MANTENER EL
CREAR VALOR VALOR CREADO
Y PROTEGERLO
Paulo Coelho
Lograr lo anterior
implica tomar y
afrontar riesgos.
Los riesgos están presentes tanto en los
negocios públicos como en los privados
No podemos pensar en
el control interno sin la
imperiosa necesidad
de afrontar riesgos
¿Pero qué es un riesgo?

Es la posibilidad de que ocurra

un evento, que podría afectar
el logro de los objetivos de una
organización.
¿Cómo percibimos
a los riesgos?
El símbolo chino de la crisis
Está formado por dos caracteres

El primero es Wei, que El segundo es Ji, que

significa peligro significa oportunidad
 DOS FORMAS DE PERCIBIR A LOS
RIESGOS
Percepción negativa Percepción positiva

Aquellos riesgos que Aquellos riesgos que es

pueden destruir el necesario tomar para la
valor creado creación de valor

Se debe proteger a la Se deben de asumir

organización
TANTO LA TOMA DE RIESGOS COMO LA RESPUESTA A
LOS MISMOS DEBEN DE SER LLEVADAS A CABO
DENTRO DE UN MARCO QUE PERMITA GESTIONARLOS
ADECUADAMENTE
 Si bien los riesgos están
presentes en los negocios
públicos y privados…
Lo importante es cómo los afrontamos
¿Qué es un
control?
CONTROL:

Cualquier medida tomada por el Consejo de

Administración, la Dirección, la Gerencia y otras
partes, para gestionar los riesgos y aumentar la
posibilidad de lograr los objetivos establecidos.
LOS CONTROLES
CONTRIBUYEN A
ALCANZAR LOS
OBJETIVOS
PREVISTOS
En contraparte, una organización sin controles no
tiene ninguna certeza de que cumplirá con los
objetivos que son su razón de ser.
EL ORIGEN DEL CONTROL INTERNO…

Mucho se habla sobre la

importancia del control
interno, pero muy poco
sobre los orígenes que le
dieron lugar a su
existencia
Un poco de
historia…
EN 1930 SURGE EL
CONCEPTO DE
“CONTROL
INTERNO”
SE DEFINE ORIGINALMENTE COMO:

La coordinación del sistema de contabilidad y

de los procedimientos de oficina, de tal
manera que el trabajo de un empleado
llevando a cabo sus labores delineadas en una
forma independiente, compruebe
continuamente el trabajo de otro empleado.

George E. Bennett. “Fraud. Its Control Through”. Nueva York, D. Appleton Century Co. Inc. 1930.
Dicha definición se refería a la
separación de funciones entre
dos o más personas para
delegar responsabilidades, lo
cual permitiría verificar que el
trabajo se cumpliera.
Si bien la segregación
de funciones es un
mecanismo de control,
es hasta la década de
los 70´s cuando
comienza a gestarse la
noción moderna del
control interno.
En 1971, en el marco del Seminario Internacional de Auditoría Gubernamental de Austria,
bajo el patrocinio de la Organización de las Naciones Unidas (ONU) y de la Organización
Internacional de Entidades Fiscalizadoras Superiores (INTOSAI), se define al control interno
como:

El conjunto de planes, métodos,

procedimientos y otras medidas
de una institución, tendientes a
ofrecer una garantía razonable
de que se cumplan los objetivos
principales siguientes:
a) Promover operaciones metódicas, económicas, eficientes y
eficaces, así como productos y servicios con la calidad
esperada.
b) Preservar el patrimonio de pérdidas por despilfarro, abuso,
mala gestión, errores, fraudes o irregularidades.
c) Respetar las leyes y reglamentaciones, como también las
directivas y estimular al mismo tiempo la adhesión de los
integrantes de la organización a las políticas y objetivos de la
misma.
d) Obtener datos financieros y de gestión completos y confiables
y presentados a través de informes oportunos.
EL DETONANTE…
EL DETONANTE
El escándalo de Watergate

Fue un escándalo político en los Estados

Unidos durante el mandato de Richard Nixon,
que culminó con la imputación de algunos
consejeros muy cercanos al presidente, y con
su propia dimisión el 8 de agosto de 1974.
El escándalo comenzó con el arresto de cinco hombres por el allanamiento
de la sede del Comité Demócrata Nacional en el complejo de oficinas
Watergate, en Washington, D.C. el 17 de junio de 1972.
Las investigaciones revelaron que este robo fue sólo una de las múltiples
actividades ilegales autorizadas y ejecutadas por el equipo de Nixon.
Ello condujo a que se develara el enorme
alcance de los crímenes y abusos realizados,
los cuales incluían:

• Fraude en la campaña
• Espionaje político y sabotaje
• Intrusiones ilegales
• Escuchas ilegales a gran escala
• Auditorías de impuestos falsas
• Un fondo secreto en México para pagar a
quienes realizaban estas operaciones.
 Watergate evidenció deficiencias importantes de
control que permitieron la realización de operaciones
ilegales de financiación de partidos políticos y sobornos
a representantes de gobiernos extranjeros.
 Ante esta situación, en 1977, se estableció la Foreign
Corrupt Practices Act, la cual, además de las disposiciones
contra sobornos, contiene disposiciones relacionadas con
la contabilidad y el control interno.

De acuerdo con estas disposiciones, el empresario está obligado a:

• Llevar libros, registros y cuentas que reflejen de manera fiel y
exacta las transacciones y la utilización de los activos de la
empresa.
• Elaborar y mantener un sistema de control interno adecuado
para conseguir los objetivos empresariales.
 Como solución y respuesta a los requerimientos
de la FCPA, en 1985 nació COSO (Committee of
Sponsoring Organizations of the Treadway
Commission), con el objetivo de ser un
referente como foro de profesionales destinado
a definir marcos de actuación y facilitar
orientación sobre el control interno.

COSO es una Comisión voluntaria constituida por representantes de

cinco organizaciones del sector privado en Estados Unidos:
• La Asociación Americana de Contabilidad (AAA)
• El Instituto Americano de Contadores Públicos Certificados (AICPA)
• Ejecutivos de Finanzas Internacional (FEI)
• El Instituto de Auditores Internos (IIA)
• La Asociación Nacional de Contadores (ahora el Instituto de
Contadores Administrativos (AMI)
En 1992 la Comisión publicó el primer informe
“Internal Control - Integrated Framework”,
denominado COSO I, con el objeto de ayudar a
las entidades a evaluar y mejorar sus sistemas de
control interno, facilitando un modelo con base
en el cual pudieran valorar sus sistemas de
control interno y generando una definición
común de “control interno”.
DE ESTA FORMA…

El concepto moderno de control interno surge de una

necesidad real, la de contar con un proceso que permita
minimizar o, en su caso, evitar la ocurrencia de aquellos
eventos que pueden repercutir negativamente en los
objetivos fundamentales que son la razón de ser de las
organizaciones.

Paulo Coelho
EVOLUCIÓN DEL MODELO COSO

1992 2004 2013 2017

• COSO I • COSO ERM • COSO 2013 • ERM
• Marco • Marco de • Actualización • Marco de
Integrado de Gestión del Marco Gestión de
Control Integral de Integrado de Riesgos
Interno Riesgos del Control Empresariales:
Negocio Interno Integrando
Estrategia y
Desempeño

Paulo Coelho
 2. El Marco
Integrado de
Control Interno
REFLEXIÓN

«La suerte sólo

favorece a la
mente
preparada»
 Es una frase original del científico francés
Louis Pasteur, posteriormente citada y
popularizada por el escritor estadounidense
Isaac Asimov, para significar que sólo aquel
que procede con método, disciplina y rigor
puede aspirar a tener éxito.
De manera similar, la metodología de
control interno provee el orden y las
estructuras necesarias que
contribuyen a que las organizaciones
alcancen los objetivos propuestos.
Pero… ¿Qué es el control
interno?
CONTROL INTERNO:

Es el proceso llevado a cabo por el

Consejo de Administración, la
Dirección, la Gerencia y el resto del
personal de una entidad, diseñado
con el objeto de proporcionar un
grado de seguridad razonable en la
consecución de los objetivos
institucionales.
Estos objetivos institucionales se pueden clasificar en
una o más de las tres categorías siguientes:

• Operación: Se refiere a la eficacia, eficiencia y

economía de las operaciones.

• Información: Consiste en la confiabilidad de los

informes internos y externos.

• Cumplimiento: Se relaciona con el apego a las

disposiciones jurídicas y normativas.
El control interno incluye planes, métodos, programas,
políticas y procedimientos utilizados para alcanzar el
mandato, la misión, el plan estratégico, los objetivos y
las metas institucionales.
CABE SEÑALAR QUE:
El control interno puede proporcionar una
seguridad razonable en la consecución de
los objetivos, mas no absoluta.
LA SEGURIDAD RAZONABLE IMPLICA QUE:

El control interno, a pesar de estar adecuadamente

diseñado e implementado, no puede garantizar, de
manera absoluta, que los objetivos se consigan, debido
a limitaciones inherentes.
La seguridad razonable reconoce la posibilidad de
imperfección, debido al hecho de que la actividades son
desarrolladas por las personas, por lo que en su ejecución
están involucrados desde juicios o entendimientos distintos,
hasta la equivocación o el error (intencional o no).
El control interno no es 100% infalible porque
tiene limitaciones inherentes, ya que:

• Los juicios humanos en la toma de decisiones

pueden ser defectuosos.

• El fracaso puede provenir de fallas humanas,

como errores o irregularidades.
¿Cuáles son los componentes
que integran al Control
Interno?
Los componentes del control interno son:

a) Ambiente de Control
b) Evaluación de Riesgo
c) Actividades de Control
d) Información y Comunicación
e) Actividades de Supervisión
a)Ambiente de Control
 Es la base del control interno.
Proporciona disciplina y estructura para apoyar a
los miembros de una organización en la
consecución de los objetivos institucionales.
Es el conjunto de normas, procesos
y estructuras que constituyen la
base sobre la que se desarrolla el
control interno de la organización.
El consejo y la alta dirección son quienes
marcan el “Tone at the Top” con
respecto a la importancia del control
interno y los estándares de conducta
esperados dentro de la entidad. La
dirección refuerza las expectativas sobre
el control interno en los distintos niveles
de la organización.
El entorno de control incluye la integridad y los valores éticos
de la organización; los parámetros que permiten al consejo
llevar a cabo sus responsabilidades de supervisión del gobierno
corporativo; la estructura organizacional y la asignación de
autoridad y responsabilidad; el proceso de atraer, desarrollar y
retener a profesionales competentes; y el rigor aplicado a las
medidas de evaluación del desempeño, los esquemas de
compensación para incentivar la responsabilidad por los
resultados del desempeño.
El ambiente de control de una
organización tiene una
influencia muy relevante en el
resto de componentes del
control interno.
b) Evaluación de riesgo
Es el componente que
evalúa los riesgos a
los que se enfrenta
una organización al
buscar alcanzar sus
objetivos.
 Esta evaluación provee las bases para
identificar los riesgos, analizarlos,
catalogarlos, priorizarlos y desarrollar
respuestas que mitiguen su impacto en
caso de materialización.
 El riesgo se define como la probabilidad de que
un evento ocurra e impacte negativamente la
consecución de los objetivos.

RIESGO = PROBABILIDAD X IMPACTO

Cada entidad se enfrenta a una gama diferente de riesgos
procedentes de fuentes externas e internas.

TIPOS DE RIESGOS:

• De gobernanza
• Estratégicos
• Operativos
• Financieros
• De crédito
• De infraestructura
• De contratación
• De corrupción
TIPOS DE RIESGOS:

Evento que podría repercutir negativamente en el logro de los objetivos y

metas, y que está directamente relacionado con el sistema y la estructura de
De gobernanza gobierno corporativo que dirige y controla a la organización, lo cual incluye
deficiencias en la conducción de la organización y en el funcionamiento del
Consejo de Administración.
Evento que podría impedir el cumplimiento del objetivo estratégico de la
Estratégicos
organización.
Situaciones que repercutirían negativamente en la eficiencia, la eficacia y la
Operativos
economía de los procesos de la organización.
Evento que podría afectar negativamente la estabilidad o solidez financiera
Financieros de la organización, entendida como la adecuada administración de sus
activos y pasivos.
Evento relacionado con el endeudamiento de la organización que podría
De crédito repercutir negativamente en su capacidad para hacer frente a sus
obligaciones crediticias.
TIPOS DE RIESGOS:
Evento que podría afectar el adecuado y óptimo funcionamiento de la
De infraestructura infraestructura productiva de la organización.
Riesgo relacionado con el adecuado funcionamiento del proceso de
contrataciones de la organización, que podría afectar las estrategias de
De contratación
contratación y de negocios, los planes de adquisiciones u obstaculizar la
transparencia en el proceso de contratación.
Eventos que por acción u omisión, mediante el abuso del poder, el uso
indebido de recursos, de información, empleo, cargo o comisión, podrían
dañar los intereses de Pemex, para la obtención de un beneficio particular o
de terceros, incluye soborno, fraude, apropiación indebida u otras formas de
De fraude y
desviación de recursos por un funcionario de la empresa, nepotismo,
corrupción
extorsión, tráfico de influencias, uso indebido de información privilegiada,
entre otras prácticas, en aquellos procesos o temáticas relacionados con
áreas de gobernanza, financieras, presupuestales, de contratación,
operativos, de infraestructura y de inversión.
Los riesgos deben evaluarse en relación con unos niveles preestablecidos de tolerancia.
ESCALA DE PROBABILIDAD DE OCURRENCIA Y MAGNITUD DE IMPACTO DE LOS RIESGOS
Cuadrante Valor Grado de Atención
I Probabilidad de 0.6 a 1.0 Riesgos de atención inmediata: son críticos
Magnitud de 6 a 10 por su alta probabilidad de ocurrencia y por
la magnitud de su impacto.
II Probabilidad de 0.5 a 1.0 Riesgos de atención periódica: aun cuando
Magnitud de 6 a 10 son significativos y relevantes por su
magnitud de impacto si llegan a
materializarse, tienen baja probabilidad de
ocurrencia.
III Probabilidad de 0 a 0.5 Riesgos Controlados: son de baja
Magnitud de 0 a 5 probabilidad de ocurrencia y su impacto no
es tan significativo.
IV Probabilidad de 0.6 a 1.0 Riesgos de seguimiento: tienen alta
Magnitud de 0 a 5 probabilidad de ocurrencia, pero su
impacto es poco significativo.
MAPA DE RIESGOS

Es una
representación
gráfica de los
riesgos que
permite vincular
su probabilidad de
ocurrencia y su
impacto.
Una condición previa a la evaluación de riesgos es el
establecimiento de objetivos operativos, de información
y de cumplimiento, con suficiente claridad y detalle,
para permitir la identificación y evaluación de los
riesgos con impacto potencial en dichos objetivos.
La evaluación de riesgos
constituye la base para
determinar como se
gestionarán.
c) Actividades de control
 Son aquellas
acciones
establecidas, a
través de políticas
y procedimientos,
para alcanzar los
objetivos
institucionales y
responder a sus
riesgos asociados.
Las actividades de control se ejecutan en todos
los niveles de la organización, en las diferentes
etapas de los procesos de negocio, y en el
entorno tecnológico.

De acuerdo con su naturaleza, pueden ser

preventivas o detectivas, y pueden abarcar una
amplia gama de actividades manuales y
automatizadas, tales como autorizaciones,
verificaciones, conciliaciones y revisiones del
desempeño empresarial.
 TIPOS DE CONTROLES
PREVENTIVOS DETECTIVOS

Procedimientos de autorización Verificaciones

y aprobación
Conciliaciones
Segregación de funciones
Revisión de desempeño
Controles sobre el acceso a operativo
recurso y archivos
Revisión de operaciones,
procesos y actividades

Supervisión
 PREVENTIVOS

Procedimientos de autorización y aprobación

La autorización y ejecución de transacciones y eventos deben

ser hechas sólo por personas que estén dentro del rango de
autoridad. Los procedimientos de autorización, que tienen que
ser documentados y claramente comunicados a los gerentes y
empleados, deben incluir condiciones específicas y términos
bajo los cuales se puedan hacer las autorizaciones.
 PREVENTIVOS

Segregación de funciones (autorización, procesamiento, archivo y revisión)

Para reducir el riesgo de error, el desperdicio o las actividades

incorrectas y el riesgo de no detectar tales problemas, no debe
haber un solo individuo o equipo que controle todas las etapas
clave de una transacción o evento. Más bien, los deberes y
responsabilidades deben estar asignados sistemáticamente a
un cierto número de individuos para asegurar la existencia de
revisiones efectivas. Las funciones clave incluyen autorización y
archivo de transacciones, procesamiento y revisión o auditoría
de las transacciones.
 PREVENTIVOS

Controles sobre el acceso a recursos y archivos

El acceso a recursos o archivos debe ser limitado a individuos

autorizados que sean responsables por la custodia o utilización
de los mismos. La responsabilidad en cuanto a la custodia se
pone en evidencia por la existencia de recibos, inventarios y
otros registros otorgando la custodia y registrando la
transferencia de la custodia. La restricción de acceso a los
recursos reduce el riesgo de la utilización no autorizada o la
pérdida y ayuda a lograr las directivas gerenciales.
 DETECTIVOS

Verificaciones

Las transacciones y eventos significativos deben ser verificados

antes y después de ser procesados, ejemplo: cuando los bienes
son entregados, el número de bienes provistos es verificado
con el número de bienes pedidos. Después, el número de
bienes facturados es verificado con el número de bienes
recibidos.
 DETECTIVOS

Conciliaciones

Los archivos son conciliados con los documentos apropiados

sobre una base regular, ejemplo: los archivos de contabilidad
relacionados con las cuentas bancarias son conciliados con los
estados bancarios.
 DETECTIVOS

Revisión de Desempeño Operativo

El desempeño de las operaciones es revisado a la luz de las

normas sobre una base regular, valorando la efectividad y
eficiencia. Si los análisis determinan que las acciones existentes
no alcanzan las normas establecidas, los procesos deberían ser
objeto de análisis para determinar si son necesarias mejoras
 DETECTIVOS

Revisión de Operaciones, Procesos y Actividades

Las operaciones, los procesos y las actividades deben ser

periódicamente revisadas para asegurar que cumplen con los
reglamentos, políticas, procedimientos en vigor y con el resto
de los requisitos.
 DETECTIVOS

Supervisión

Los supervisores deberán dar a los empleados la suficiente guía

y capacitación para ayudar a asegurarse de que las actividades
incorrectas sean minimizadas y que las directivas de la gerencia
sean cumplidas.
d) Información y
Comunicación
La información es necesaria para que la entidad
pueda llevar a cabo sus responsabilidades de
control interno y soportar el logro de sus
objetivos. La dirección necesita información
relevante y de calidad, tanto de fuentes
internas como externas, para apoyar el
funcionamiento de los otros componentes de
control interno.
La comunicación es el proceso continuo de
proporcionar, compartir y obtener la informa-
ción necesaria.
La comunicación interna es el medio por el cual
la información se difunde a través de toda la
organización, que fluye en el sentido
ascendente, descendente y a todos los niveles
de la entidad. Esto hace posible que el personal
pueda recibir de la alta dirección un mensaje
claro de que las responsabilidades de control
deben ser tomadas seriamente.
La comunicación externa persigue dos
finalidades: comunicar, de fuera hacia el
interior de la organización, información externa
relevante y proporcionar información interna
relevante de dentro hacia fuera, en respuesta a
las necesidades y expectativas de grupos de
interés externos.
e) Actividades de
Supervisión
Son las actividades establecidas y operadas con
la finalidad de mejorar de manera continua al
control interno mediante una vigilancia y
evaluación periódicas a su eficacia, eficiencia y
economía.
La supervisión contribuye a la optimización
permanente del control interno y, por lo tanto,
a la calidad en el desempeño de las
operaciones, la salvaguarda de los recursos
públicos, la prevención de la corrupción, la
oportuna resolución de los hallazgos de
auditoría y de otras revisiones, así como a la
idoneidad y suficiencia de los controles
implementados.