Estructura Conceptual

del Control Interno

según COSO

ESH -2021-2
 Contenido
 Un poco de historia
 Control Interno
 Ambiente de Control
 Valoración de Riesgos
 Actividades de Control
 Información y Comunicación
 Monitoreo
 Restricciones del Control Interno
 Roles y Responsabilidades
ESH -2021-2
 Un poco de Historia
Evolución reciente del Control Interno

1970 1980 1990 2000

A mediados Inicios
1992 2002
de los 70s -1980s
Publicación Ley
Investigación Incrementó
del Marco Sarbanes-Oxley
del el enfoque
Integrado de
“Escándalo en Control
Control
Watergate” Interno y
Interno-COSO
1977 cumplimiento
Ley de
prácticas de 1990s – 2000
corrupción Continúa el enfoque en
extranjeras Controles Internos, Riesgos
(Foreign 1985 Administrativos y
Corrupt Comisión Nacional de responsabilidades
Practices Informes Financieros (Blue Ribbon Commission,
Act- FCPA) Fraudulentos Competency Framework for
- (Treadway Internal Audit, Others)
Commission)
ESH -2021-2
COSO- COMMITTE OF SPONSORING ORGANIZATIONS

COMITÉ DE ORGANIZACIONES PATROCINADORAS.

Está integrado por:

AICPA INSTITUTO AMERICANO DE CONTADORES

PUBLICOS CERTIFICADOS

AAA ASOCIACION DE PROFESORES DE

CONTABILIDAD DE LOS ESTADOS UNIDOS

IIA INSTITUTO DE AUDITORES INTERNOS

FEI INSTITUTO DE EJECUTIVOS DE FINANZAS

IMA INSTITUTO DE CONTADORES GERENCIALES

ESH -2021-2
COSO- COMMITTE OF SPONSORING ORGANIZATIONS

¿Quién es el responsable
de que exista un buen
control interno en las
áreas de la empresa?

ESH -2021-2
¿Por qué el Control Interno es importante?

Operacional Financiero

• Promover eficiencia y • Promover la integridad de los

eficacia en las operaciones datos en la toma de decisiones
a través de los procesos del negocio.
estandarizados.
• Asistir en la prevención y
• Asegurar la salvaguarda de detección de fraudes a través
los activos a través de las de la creación de un rastro de
actividades de control. evidencia auditable.

De Cumplimiento

• Ayudar a mantener el
cumplimiento con las leyes y
regulaciones a través de un
monitoreo periódico.

ESH -2021-2
Definición Control Interno

• El control interno es un proceso, efectuado por el directorio

de una compañía, la administración y otro personal,
diseñado para proporcionar seguridad razonable respecto a:

Eficiencia y
eficacia de las
operaciones.

Cumplimiento
de leyes y Confiabilidad de
regulaciones la información
aplicables. financiera.

ESH -2021-2
Conceptos Clave
• De la definición se obtienen ciertos conceptos fundamentales:
El control interno es un proceso.
Es un medio para un fin, no un fin
en sí mismo.
El control interno sólo proporciona
seguridad razonable, no absoluta,
para la administración de la
entidad y el comité directivo.
El control interno es afectado por
personas. No es sólo manuales
de políticas y formas, sino también
personas en todos los niveles de la
organización.
El control interno está guiado
hacia el logro de los objetivos en
una o más categorías separadas
pero que se traslapan.
ESH -2021-2
Objetivos Control Interno

• Objetivos categorizados de acuerdo con la definición

de control interno:
Objetivos de
Objetivos de Objetivos de
información
operaciones cumplimiento
financiera

Relacionados Relacionados Relacionados

con el uso con la con leyes y
eficiente y preparación de reglamentos
eficaz de los reportes aplicables.
recursos. financieros
confiables.

ESH -2021-2
COSO- COMMITTE OF SPONSORING ORGANIZATIONS

 De todos
 A mayor nivel jerárquico mayor
responsabilidad
 El responsable final o de última
instancia es el gerente general

ESH -2021-2
Componentes del Control Interno

ESH -2021-2
Relación entre Componentes y Objetivos
Tres Categorías de Objetivos
es i ón nt
o
n c
a ra i e
io m

Unidades-Actividades-Procesos
c m e i
r a for nci pl

Actividad 2
pe In na
i um
O F C
Monitoreo
Cinco Componentes

Actividad 1
Información y
Comunicación

Unidad B
Actividades de Control

Unidad A
|
Evaluación de Riesgos

Ambiente de Control
ESH -2021-2
Relación entre Objetivos y Componentes
o
nes i ó n i e ra e nt
c io ac nc l im
i
ra m a
e f or Fin m
p
Op In C u

Monitoreo
s
ne
io
Información y er
ac

Actividad 2
Op
Comunicación

Actividad 1
M

Unidad B

Actividad 2
Actividades de Control

Unidad A

Actividad 1
I&C

Unidad B
|

Unidad A
Evaluación de Riesgos AC

Ambiente de Control ER

n es ció
n
ent
o AC
io
A-2

a a i
ac rm ier li m
A-1

er fo c p
Op In nan m
U-B

i Cu
F
U-A

Actividades de Control
ESH -2021-2
Ambiente de control

Los atributos individuales,

incluyendo la integridad,
valores y competencia, que
caracterizan al personal de
una organización.

l
t ro
n
Co
Am de
bien n te
te de C bi e
on t r
ol Am

ESH -2021-2
Ambiente de control (2)

• Factores que afectan el ambiente de control:

Compromiso Comité
Integridad hacia la Directivo y Estilo operativo
y valores competencia Comité de y filosofía de la
éticos. (habilidades y Auditoría. administración.
conocimientos)

Asignación de Políticas y
Estructura autoridad y prácticas de
organizacional. responsabilidad. recursos
humanos.

ESH -2021-2
Ambiente de Control

• Factores que afectan la eficacia del ambiente

de control:
– Las implicaciones de las diferencias entre unidades
operativas foráneas o domésticas y/u otras
subsidiarias en relación con el estilo administrativo.
– El tamaño de la entidad, que puede afectar:
• El grado de formalidad
• La velocidad a la que la comunicación de
políticas y prácticas ocurre

ESH -2021-2
Ambiente de Control - Fraude

• La vulnerabilidad de la entidad hacia actividades fraudulentas

• Si cualquier vulnerabilidad pudiera resultar en un error material
• Organización, industria y características específicas del país
que pueden influenciar la posibilidad de ocurrencia de fraudes
• La gerencia debería desarrollar una elevada conciencia de
fraude
• Debe desarrollarse un programa de administración de riesgos
de fraude.

ESH -2021-2
Evaluación de riesgos

• Mecanismos establecidos para

identificar, analizar y administrar
riesgos relacionados con varias
actividades en las que la entidad
está involucrada y que pueden
e
i ó nd impedir el logro de los objetivos.
Eva l u a c os
luac v a iesg
i E R
Ries ón de
gos

ESH -2021-2
 Definición de Riesgo de Negocio

“La amenaza de que un evento, acción

o falta de acción afecte adversamente
la habilidad de una organización para
lograr sus objetivos y ejecutar sus
estrategias exitosamente” (COSO)

“Cualquier amenaza al logro de

objetivos es un riesgo de negocio”
(Deloitte)
ESH -2021-2
Evaluación de Riesgos

• Identificación de riesgos:
– A nivel de la entidad: que se pueden originar por
factores internos y externos.

Externos

Cambio de las –Nuevas

necesidades Nuevas
Desarrollo legislaciones
legislaciones y Catástrofes
y Competencia
tecnológico y
regulaciones naturales
expectativas regulaciones.
del cliente.

ESH -2021-2
Evaluación de Riesgos (2)

• Identificación de riesgos: (cont.)

– A nivel de la entidad: que se pueden originar por
factores internos y externos.

Internos

La calidad del La naturaleza

Una Un cambio en
personal de las Un comité
interrupción las
contratado y actividades de directivo o de
en el responsabilida
los métodos la entidad y el auditoría
procesamient des de la
de acceso de los ineficaz.
o de sistemas administración
de entrenamiento empleados a
y motivación. los activos.
información.

ESH -2021-2
Evaluación de Riesgos (3)

• Identificación de riesgos: (cont.)

– A nivel de la actividad:
• Considerar riesgos en este nivel ayuda a enfocar la
evaluación de riesgos en las funciones importantes del
negocio: ventas, producción, marketing, desarrollo de
tecnología e investigación y desarrollo.
• Al evaluar exitosamente el riesgo a nivel de actividades
se contribuye a mantener niveles aceptables a nivel
entidad.

ESH -2021-2
Evaluación de Riesgos (4)
Factores de Cambio

 Regulación / Economía
 Personal nuevo
 Sistemas de información nuevos o rediseñados
 Crecimiento rápido
 Tecnología nueva para producción
 Líneas, productos, actividades nuevas
 Reestructuraciones corporativas
 Operaciones en el extranjero

ESH -2021-2
Actividades de control

• Son políticas, procedimientos y

prácticas establecidas para
asegurar que los objetivos de
negocio se logren y que las
s
a de l estrategias para mitigar riesgos
Act
iv t i vid ntro
de C idades Ac Co sean ejecutadas.
ontr de
ol

ESH -2021-2
Actividades de Control

• Las actividades de control deben estar incorporadas en

las operaciones del negocio.
• Las actividades de control también se dividen en:
operaciones, información financiera y cumplimiento.
• Las actividades de control están ligadas a la evaluación
de riesgos, ya que éstas sirven como medio para que el
riesgo sea administrado apropiadamente.
• Enfocadas a la prevención, detección y corrección.

ESH -2021-2
Evaluación de Actividades de Control

• Se deben evaluar en el contexto de las directrices de la

administración para considerar riesgos asociados con el
establecimiento de objetivos para cada actividad significativa.
• Se debe establecer si las actividades de control están
relacionadas con el proceso de evaluación de riesgos y si son
apropiadas para asegurar que las directrices de la
administración se lleven a cabo, y que además se están
aplicando apropiadamente.
• Esto se debe realizar para cada actividad significativa de
negocios, incluyendo controles generales sobre sistemas
computarizados de información.

ESH -2021-2
Tipos de Actividades de Control

 Revisiones de alto nivel: Desempeño actual frente a

planes/presupuestos/pronósticos
 Funciones directas o actividades administrativas:
Actividades propias de las operaciones
 Procesamiento de información: Controles implantados
para validar las transacciones
 Controles físicos: Constatación física
 Indicadores de desempeño/gestión: Definición,
obtención y análisis
 Segregación de funciones: Autorización, registro,
manipulación
ESH -2021-2
Controles en los Sistemas de Información

 Controles generales
 Controles de aplicación

ESH -2021-2
Controles Generales

 Controles a las operaciones del centro de

cómputo
 Controles al software del sistema
 Controles de seguridad de acceso
 Controles de adquisición, desarrollo y
mantenimiento de aplicaciones

ESH -2021-2
Controles de Aplicación

 Se diseñan para cada aplicación específica

 Controles en el ingreso, procesamiento y
salida
 Interfases entre aplicaciones
 Se relacionan y se complementan con los
controles generales

ESH -2021-2
Información y comunicación

• Sistemas que permiten al

n
ció

personal de la entidad
ica

In
fo
un

capturar e intercambiar

rm
om

ac
ió
yC

información necesaria para

n
yC
ón

om
conducir, administrar y
aci

un
rm

ic a
controlar sus operaciones.
o

ció
Inf

ESH -2021-2
“ El cambio administrativo más importante en la
década de los 90 es integrar la planeación,
diseño e implantación de sistemas con la
estrategia global de la organización”

ESH -2021-2
Información y Comunicación (2)

• Consideraciones respecto a la información:

– Información financiera y no financiera, desarrollada
por fuentes internas y externas, es relevante para
lograr todas las categorías de objetivos.
– Los sistemas de información, manuales y
automatizados, son utilizados para procesar
información externa o interna.

ESH -2021-2
Información y Comunicación (3)

• Consideraciones respecto a la información:

– Los sistemas de información pueden ser formales e
informales.
– Los sistemas de información apoyan iniciativas
estratégicas y están integrados con operaciones.
– La calidad de información afecta la habilidad de la
administración para tomar decisiones apropiadas.

ESH -2021-2
Información y Comunicación (4)

• Consideraciones respecto a la información:

– Calidad de la información:
• El contenido es apropiado - ¿Está la información que
se necesita?
• La información es oportuna - ¿Está cuando se
necesita?
• Es actual - ¿Es la última / más reciente disponible?
• Es exacta - ¿Los datos son correctos?
• Es accesible y disponible - ¿Puede ser obtenida
fácilmente por los usuarios?

ESH -2021-2
Información y Comunicación (5)

• Consideraciones respecto a la comunicación:

– La comunicación es una parte inherente de los sistemas
de información.
– El personal debe saber qué hacer en casos
inesperados.
– El personal debe saber cómo sus actividades se
relacionan con el trabajo de otros.
– Debe existir algún medio que permita la comunicación
hacia arriba.
– Comunicación apropiada debe ocurrir fuera y dentro de
la entidad (manuales de políticas, memorandos,
mensajes videograbados,etc.)
ESH -2021-2
Comunicación Externa

 Canales de comunicación abiertos

 Clientes, proveedores
 Auditores externos
 Reguladores
 Competencia
 Economía del país

ESH -2021-2
Monitoreo

• Es el proceso de evaluar la
reo
Mon t o calidad del desempeño del
i
control interno en el
tiempo.

ESH -2021-2
Monitoreo (2)

• El proceso consiste de monitoreo continuo,

evaluaciones independientes, o una combinación
de ambos.
• El monitoreo debe incluir un proceso completo
para reajustar acciones en condiciones variables.
• El alcance y frecuencia de las evaluaciones
independientes depende de la evaluación del nivel
de riesgo involucrado.

ESH -2021-2
Monitoreo (3)

• COSO también establece quién debe ejecutar las

evaluaciones independientes periódicas, describe la
metodología y sugiere la forma de documentar la
evaluación.
• Los planes de acción son una forma útil de ayudar a
los ejecutivos a dirigir, organizar y guiar las
evaluaciones independientes.
• Se proporcionan sugerencias en relación a las fuentes
de información, informe de deficiencias y a quién
reportar.

ESH -2021-2
Evaluación del Monitoreo

• Monitoreo continuo:
– Grado en que el personal, al realizar sus actividades
regulares, obtiene evidencia de que el sistema de
control interno continúa funcionando.
– Grado en que las comunicaciones externas corroboran
información generada internamente o indican
problemas.
– Comparación periódica de los importes registrados por
el sistema de contabilidad con los activos físicos.
– Capacidad de respuesta a las recomendaciones de los
auditores internos y externos como medio para
fortalecer el control interno.
ESH -2021-2
Evaluación del Monitoreo (2)

• Monitoreo continuo: (cont.)

– Grado a que los entrenamientos, sesiones de
planeación y otras juntas proporcionan
retroalimentación a la administración sobre la
eficacia de los controles.
– Si el personal es cuestionado periódicamente sobre
su comprensión del código de conducta.
– Eficacia de las actividades de auditoría interna.

ESH -2021-2
Evaluación del Monitoreo (3)

• Evaluaciones independientes:
– Alcance y frecuencia de evaluaciones independientes
de los sistemas de control interno.
– Lo apropiado del proceso de evaluación.
– Si la metodología para evaluar el sistema es lógica y
apropiada.
• Reportar deficiencias:
– Existencia de mecanismos para capturar y reportar
deficiencias de control interno.
– Lo apropiado de los protocolos de reporte.
– Lo apropiado de acciones de seguimiento.
ESH -2021-2
Control Interno Eficaz

• Mientras que el control interno es un proceso, su eficacia es un

estado o condición del proceso en uno o más puntos en el
tiempo.
• Se puede juzgar que el control interno es eficaz cuando el comité
directivo y la administración tienen seguridad razonable de lo
siguiente:

Comprenden a Los estados

Se cumple con
qué grado se financieros que
leyes y
han logrado los se publican son
regulaciones
objetivos de preparados
aplicables.
operación de la confiablemente.
entidad.

ESH -2021-2
Control Interno

•¿Qué puede hacer el Control Interno?

– El control interno puede ayudar a la entidad a lograr sus
metas de desempeño y utilidades y prevenir la pérdida de
recursos.
– Ayuda a asegurar que la empresa cumpla con leyes y
regulaciones, evitando que su reputación se dañe y otras
consecuencias.
– Ayuda a asegurar que la empresa reporte información
financiera confiable.
– Ayuda a la entidad a ir a donde quiere ir evitando fallas y
sorpresas en el camino.

ESH -2021-2
Control Interno (2)

•¿Qué NO puede hacer el Control Interno?

– No puede cambiar una administración inherentemente
pobre a una buena.
– No puede cambiar los programas y políticas
gubernamentales, las acciones de los competidores o
las condiciones económicas, etc.
– No asegura el éxito, ni la supervivencia.
– El control interno no proporciona seguridad absoluta de
que los objetivos de negocio se lograrán. La probabilidad
de logro se ve afectada por las limitaciones inherentes a
todos los sistemas de control interno.
ESH -2021-2
Limitaciones de Control Interno

• Errores de juicio en la toma de decisiones.

• Errores por mala interpretación, negligencia,
distracción o fatiga.
• Que la administración no observe las políticas o
procedimientos prescritos.
• Colusión.
• Costo-beneficio.

ESH -2021-2