VIDEO 3 COSO III

Componentes del sistema de control interno

El sistema de control interno está divido en cinco componentes integrados que se

relacionan con los objetivos de la empresa:
Entorno de control
Evaluación de los riesgos
Actividades de control
Sistemas de información y comunicación,
Actividades de monitoreo y supervisión.

Un adecuado entorno de control, una metodología de evaluación de riesgos, un

sistema de elaboración y difusión de información oportuna y fiable por de la
organización y un proceso de monitoreo eficiente, apoyados en actividades de
control efectivas, se constituyen en poderosas herramientas gerenciales.

A partir de los cinco componentes se puede abordar y analizar la realidad de la

organización obteniendo un diagnóstico organizacional en cuanto a estructura,
procesos, sistemas, procedimientos y recursos humanos. Existe una relación
directa entre los objetivos de la entidad, los componentes y la estructura
organizacional que es representada en forma de cubo de la siguiente manera:
Los cinco componentes deben funcionar de manera integrada para reducir a un
nivel aceptable el riesgo de no alcanzar un objetivo. Los componentes son
interdependientes, existe una gran cantidad de interrelaciones y vínculos entre
ellos.

Así mismo, dentro de cada componente el marco establece 17 principios que

representan los conceptos fundamentales y son aplicables a los objetivos
operativos, de información y de cumplimiento. Los principios permiten evaluar la
efectividad del sistema de control interno.

Principios y puntos de enfoque

Los puntos de enfoque representan las características importantes de cada

principio, lo que permite que sean más fáciles de entender y que la entidad pueda
evaluar si el principio está presente y funcionando en su sistema de control
interno.

Para determinar que el Sistema de Control Interno es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:

Presente: la determinación de que los componentes y los principios relevantes

existen en el diseño y la implementación del sistema de control interno para lograr
los objetivos especificados.

Funcionando: determinación de que los componentes y los principios relevantes

continúan existiendo en la dirección del sistema de control interno para lograr los
objetivos especificados.

ENTORNO DE CONTROL

El entorno del control persigue establecer y mantener un ambiente mediante el

cual se logre una actitud positiva de respaldo de las personas hacia el control
interno.

Crea conciencia sobre:

La relevancia de la integridad y los valores éticos.
La necesidad de una estructura organizativa alineada a los objetivos de la
entidad ( todo está en los planes estratégicos)
Cultura de enfoque a riesgos y atención a los mismos.
La adecuada asignación de responsabilidades.

Principio 1: La organización demuestra compromiso con la integridad y los

valores éticos
El control debe basarse en la integridad y el compromiso. Para verificar que está
presente a través y funcionando deberán atenderse las cuatro pautas o puntos de
enfoque:

1. Compromiso con los valores y principios éticos. En todos los niveles de

las instituciones deben demostrar a través de instrucciones, acciones y
comportamientos, la importancia de la integridad y los valores éticos para
apoyar el funcionamiento del control interno.
2. Establecimiento de estándares de conducta. Establecer formalmente
estándares de conducta, que fortalezcan la integridad y los valores éticos
de los profesionales de la entidad, dichos entandares deben dar directrices
especificas con respecto a lo que es correcto e incorrecto y evaluarlos
periódicamente, por los medios que la entidad considere pertinente, para
asegurar su entendimiento y aplicación.
3. Evaluación de la adherencia a estándares de conducta. Evaluar el
desempeño de los profesionales de la entidad, en función de los
estándares de conducta establecidos, es por ello que deben considerarse
establecimiento de canales de comunicación formales para que el personal
reporte alguna irregularidad que se presente.
4. Se aborda y decide sobre desviaciones en forma oportuna. Identificar y
remediar en tiempo, las desviaciones de los estándares de conducta
observados en el comportamiento de todos los profesionales de la entidad,
conforme el proceso de evaluación establecido

Principio 2: El consejo de administración ejerce responsabilidad de

supervisión

La máxima autoridad deberá demostrar independencia de la administración y es

responsable de supervisar y cuestionar objetivamente el desarrollo y desempeño
del control interno, de acuerdo a los objetivos y metas de la entidad.

Esta supervisión es apoyada por las estructuras y procesos establecidos en los

niveles de ejecución.

Para verificar que el principio está presente y funcionando deberán atenderse las
cuatro pautas descritas a continuación:

1. La máxima autoridad conoce y cumple con su responsabilidad de

supervisión. Las funciones deben llevarse con independencia y
competencia profesional. Estas se encuentran definidas en el marco legal
de la entidad, es por ello que debe responsabilizarse de vigilar el logro de
sus objetivos y metas.
2. Aplica los conocimientos especializados pertinentes. Mantener y
evaluar periódicamente las habilidades y experiencias necesarias entre su
personal, puede realizar sondeos en la administración y tomar medidas
proporcionales.
 3. Opera independientemente. La máxima autoridad es independiente de la
administración, lo cual permite objetividad al exponer críticas constructivas
en las evaluaciones al funcionamiento de la entidad y la toma de
decisiones.
4. supervisa el funcionamiento del sistema de control interno. La máxima
autoridad tiene la responsabilidad de supervisar el diseño, implementación
y conducción del control interno de la administración, en cada uno de sus
componentes.

Principio 3: La dirección establece estructura, autoridad, y responsabilidad

La administración con la máxima autoridad, debe establecer y actualizar las

estructuras organizativas de la entidad y para cada una de ellas se debe diseñar
las líneas de reporte que establezcan los niveles de autoridad y responsabilidad
para la consecución de sus objetivos.

Para verificar si el principio está presente y funcionando deberán atenderse las

tres pautas de control descritas a continuación:

1. Considerar todas las estructuras de la entidad. Una estructura

organizacional que atienda el cumplimiento de su misión, visión y sus
objetivos (representada en un organigrama) definiendo las áreas clave de
autoridad y responsabilidad y el establecimiento de vías adecuadas de
comunicación. Definir los puestos de trabajo y las actividades a
desempeñar de acuerdo con las estrategias y objetivos específicos de la
entidad.
La administración deberá revisar y evaluar la estructura continuamente para
asegurar la relevancia, efectividad y eficacia con apoyo del control interno
(CI).
2. Establecer líneas de reporte. Se diseñan y evalúa líneas de reporte para
cada estructura de la entidad para permitir la ejecución de la autoridad y
responsabilidad y flujo de la información.
3. Define, asigna y fija los límites de las autoridades y responsabilidades.
Delegan autoridad, definen responsabilidades y uso de procesos y
tecnología apropiada para asignar responsabilidades y segregación de
funciones.

Principio 4: La organización demuestra compromiso para la competencia

Deberá estimular y velar por que la administración este comprometida por atraer,
desarrollar y mantener profesionales competentes, en concordancia con los
objetivos de la entidad, estableciendo políticas y prácticas de la misma para el
establecimiento de sus competencias básicas para ejecutar y evaluar el
desempeño de los profesionales.

Para verificar si el principio está presente y funcionando deberán atenderse las

cuatro pautas de control descritas a continuación:
 1. Establecimiento de políticas y prácticas. Definir políticas y prácticas de
comportamiento de acuerdo a las competencias requeridas, en
correspondencia a los objetivos de la entidad, las cuales servirán de base
para ejecutar y evaluar el desempeño, así para la determinación de
acciones correctivas cuando sea necesario.

Estas deberán estar expresadas en las actitudes, conocimientos y

comportamiento de los profesionales cuando llevan a cabo sus
responsabilidades, tratando de conducirlo de forma tal a que consiga su
mayor rendimiento. Para ello la administración debe velar porque sus
políticas y prácticas incluyan actividades de control en los procesos de
recursos humanos.
2. Evalúa competencias y encara las diferencias detectadas. Evaluar y
aprobar las metodologías a utilizar para evaluar las competencias de los
funcionarios y profesionales, asimismo deberá supervisar los resultados de
su aplicación y con base a las diferencia detectadas velar y cumplir las
acciones correctivas que correspondan de acuerdo a las políticas
sancionatorias autorizadas. La administración deberá evaluar las
competencias de los profesionales, en relación a las políticas y prácticas
establecidas y actuar, si es necesario para resolver las diferencias.
3. Recluta, desarrolla y retiene capacidades suficientes y diferentes. La
administración deberá llevar a cabo el entrenamiento necesario para atraer,
desarrollar y retener a profesionales competentes. Para ello, deberá
asegurar que se cumpla:
Que la búsqueda de los candidatos sea apropiada a la cultura, el
estilo y necesidades de la entidad.
Propicie las condiciones que permitan que los profesionales
desarrollen competencias apropiadas para los roles y
responsabilidades asignadas, refuerzo de estándares de conducta,
niveles de competencia, formación a medida de acuerdo a sus roles
y necesidades.
Que se lleve a cabo la medición del desempeño a través de
metodología efectiva, Motivar y reforzar los niveles esperados de
desempeño y conducta deseada.
4. Planifica y prepara el relevo del personal. Definir planes de carrera de
los servidores públicos, el cual detalle las actividades para entrenar a los
sucesores de puestos claves o especializados, críticos para la consecución
de los objetivos de la entidad, persiguiendo el mínimo impacto en los
procesos, a causa del retiro permanente de un empleado con
responsabilidades críticas en el sistema de control interno. La preparación
del relevo deberá ser planificada, para que el ambiente de control de la
entidad sea afectado lo menos posible.

Principio 5: La máxima autoridad y la administración definen las

responsabilidades de los servidores públicos a nivel de control interno para
la consecución de los objetivos.
Son responsable del diseño, implantación, aplicación y evaluación continua de las
estructuras, autoridades y responsabilidades de cada servidor público para
establecer el alcance de las acciones de control interno en todos los niveles de la
entidad.

Para verificar si el principio está presente y funcionando deberán atenderse las

cinco pautas de control descritas a continuación:

1. Comunica las responsabilidades de control interno e implementa

acciones correctivas. Definir mecanismos para comunicar a todos los
niveles de la entidad, las responsabilidades de las acciones de control
interno establecidas para que están sean comprendidas y llevadas a cabo,
así como también las acciones correctivas a aplicar cuando corresponda.
2. Establece medidas de rendimiento, incentivos y recompensas.
Establecen medidas de desempeño, incentivos y otros beneficios
apropiados para responsabilidades en todos los niveles de la entidad,
reflejándolas dimensiones apropiadas de desempeño y normas de conducta
esperadas y teniendo en cuenta la consecución de los objetivos de corto y
largo plazo.
3. Evalúa las medidas del rendimiento, los incentivos recompensas de
acuerdo a la pertinencia de las mismas. Efectuar la evaluación de las
medidas de desempeño periódicamente para asegurar la relevancia y
efectividad de las mismas. La administración deberá revisar
constantemente el método y resultado de las evaluaciones para que no se
generen conductas inapropiadas y que los incentivos, y las recompensas
permitan motivar el cumplimiento de las responsabilidades de control
interno y por ende el logro de los objetivos.
4. Evalúa e implementa ajustes para ejercer presión hacia el logro de los
objetivos. Evaluar regularmente las medidas de desempeño y efectuar los
ajustes necesarios, a través de una metodología sistemática y continua que
permita determinar el impacto de los riesgos asociados, validar si estos
evolucionan o están siendo gestionados adecuadamente.
5. Evalúa el rendimiento y recompensas o premios a la aplicación de
medidas disciplinarias. Evalúan el desempeño de las responsabilidades
de control interno, incluyendo la observancia de las normas de conducta y
los niveles esperados de competencia y de acuerdo a los resultados
proporcionan compensaciones o ejercen acción disciplinaria, según
corresponda.

La administración deberá supervisar que todas las compensaciones

orienten al sistema de administración, a tener un buen rendimiento en sus
funciones y promuevan una cultura de responsabilidades, cumplimiento y
competencia.

VIDEO 4 COSO III

EVALUACIÓN DE RIESGOS

Principio 6: La organización especifica objetivos relevantes

Las instituciones deben prever, conocer y abordar los riesgos con los que se
enfrenta, para establecer mecanismos que los identifiquen, analicen y disminuyan.

Las entidades definen objetivos con la suficiente claridad para permitir la

identificación y evaluación de riesgos relacionados. La máxima autoridad es
responsable de la definición de los objetivos de la entidad categorizados en:

Objetivos operativos
Objetivos de información
Objetivos de cumplimiento

Estos deberán ser diseminados en todo los niveles de la entidad.

Objetivos operativos: Estos objetivos que hacen referencia a la eficiencia

y eficacia de las operaciones para todos los procesos de la entidad,
incluyendo objetivos de desempeño, metas operativas y financieras. Así
como recursos de protección contra pérdidas y obtención de información no
financiera confiable y oportuna.
Objetivos de información: Estos objetivos se refieren a la disposición de
información para uso de la entidad, teniendo en cuenta su veracidad,
oportunidad, transparencia. Estos relacionan la información financiera y no
financiera, externa e interna y abarcan aspectos de confiabilidad,
oportunidad, transparencia y demás conceptos establecidos por políticas de
la entidad y en atención de las buenas practicas reconocidas
internacionalmente respecto a la seguridad de la información.

Los diferentes objetivos vinculados a la información de la entidad deben

atender lo siguiente:

o Objetivos de reporte financiero externo. Cumplen con las normas

contables aplicables, consideran la materialidad-significatividad y
reflejan las actividades de la entidad.
o Objetivos de reporte no financiero externo. Cumplen con las
normas específicas de la entidad o marcos reconocidos, consideran
el nivel de precisión requerido y reflejan las actividades de la entidad.
o Objetivos de reporte interno. Reflejan la toma de decisiones de la
administración; consideran el nivel de precisión requerido de acuerdo
al tipo, fuentes y medio de obtención de la información y reflejan el
comportamiento de las actividades de la entidad.
Objetivos de cumplimiento: Estos objetivos se refieren a la adhesión, a
las leyes y regulaciones a las cuales la entidad está sujeta, dependen de
 factores externos que pueden ser particulares para la entidad o similares
para grupos de entidades o toda la comunidad del servicio público, según el
caso. Para ello deben: reflejar las leyes y regulaciones aplicables y
considerar la tolerancia al riesgo.

Principio 7: La organización identifica y analiza los riesgos

La administración debe identificar y analizar los riesgos en todos los niveles de la

entidad y tomar las acciones necesarias para responder a estos.

El proceso de identificación deberá dar a conocer los factores que influyen como la
severidad, velocidad y persistencia del riesgo, la probabilidad de perdida de
activos y el impacto relacionado sobre las actividades operativas, de reporte y
cumplimiento, para luego analizar su relevancia e importancia y si es posible
relacionarlos con riesgos y actividades específicas.

Para verificar que el principio está presente y funcionando deberán atenderse las
cinco pautas de control descritas a continuación:

1. Identificar y analizar riesgos. Velar porque los riesgos están siendo

identificados mediante un mapeo de riesgos que incluyen la especificación
de sus procesos claves.
La administración deberá entender y valorar la tolerancia al riesgo y tener la
habilidad para funcionar y operar con ello, para la consecución de los
objetivos de la entidad.
2. Analizar factores internos y externos. Identificar los factores tanto interno
como externos que influyen en la ocurrencia del riesgo tales como la
severidad, velocidad y persistencia del riesgo. La probabilidad de pérdida
de activos y el impacto relacionado sobre las actividades operativas, de
reporte y cumplimiento.

Los factores externos pueden ser:

o Riesgos económicos
o Ambiente natural
o Factores regulatorios
o Operaciones extranjeras
o Factores sociales
o Factores tecnológicos

Los factores internos pueden ser:

o La infraestructura, decisiones sobre el uso de recursos financieros
que puedan afectar las operaciones y la disponibilidad de la
infraestructura.
o Estructura de la administración, cambios en las responsabilidades de
la administración que puedan afectar los controles que se llevan a
cabo en la institución.
 o Personal, calidad del personal contratado y los métodos de
capacitación y motivación.
o Acceso a los activos, naturaleza de las actividades de la instrucción y
acceso de empleados a los activos, que puedan contribuir a la mala
utilización de los activos.
o Tecnología, alteraciones en los sistemas de información que puedan
afectar los procesos y resultados de la institución.
3. Involucrar los niveles adecuados de gestión. La administración deberá
efectuar el proceso de identificación de riesgos de forma integral y completa
en toda la entidad, por ende deberá involucrar a todos los niveles de la
entidad y considerar todas las interacciones significativas de bienes,
servicios e información interna y externa. Este proceso también deberá
considerar los riesgos a nivel de transacciones, lo que permite tener un
nivel aceptable de riesgo.
4. Estimar la importancia de los riesgos identificados. La evaluación de
riesgos debe ser integrada en una matriz de riesgo o en un mecanismo de
que le permita observar su comportamiento. En esta se deberán identificar
los riesgos inherentes y residuales:
o Riesgo inherente. Es el riesgo para el cumplimiento de los objetivos
de la entidad en la ausencia de las acciones para modificar su
probabilidad y/o impacto.
o Riesgo residual. Es el que permanece después de que la
administración lleva a cabo sus respuestas o acciones para mitigar,
reducir, trasladar o compartir los riesgos.
5. Determinar cómo responder a los riesgos. Luego de la identificación y
análisis de los riesgos significativos, la administración deberá definir como
serán manejados. Esto implica uso de juicio y análisis razonable de costos
con la reducción de los niveles de riesgo. La evaluación de riesgos incluye
cómo los riesgos deben ser manejados y si deben ser aceptados, anulados,
reducidos o compartidos.

Principio 8: La organización considera el riesgo de fraude

La administración debe considerar los posibles actos irregulares, ya sean del

personal de la entidad o de los proveedores de servicios externos, que afectan
directamente el comportamiento de los objetivos.

Para verificar que el principio está presente y funcionando deber atenderse cuatro
pautas de control descritas a continuación:

1. Considerar distintos tipos de irregularidades. La administración deberá

analizar y gestionar los riesgos a causa de posibles actos irregularidades a
los cuales podría estar expuesta la entidad.

Para ello, se tienen como actos irregulares los siguientes:

o Reportes financieros y no financieros con irregularidades.
 o Posible pérdida o malversación de activos
o Actividades ilegales.
2. Evalúa incentivos y presiones para cometer irregularidades. La
evaluación de riesgos por irregularidades (personales deudas, demandas
judiciales) considera incentivos y presiones.
3. Evalúa oportunidades para cometer irregularidades. La evolución de
riesgos por oportunidades por adquisición, uso o disposición no autorizada
de activos, alteración de los registros de la entidad o comisión de otros
actos inapropiados. La administración debe estipular los niveles esperados
de desempeño y estándares de conducta a través de contratos y desarrollo
de actividades de control que supervisen las acciones de las terceras
partes.
4. Evalúa actitudes y racionalizaciones. La evaluación de riesgos por
irregularidades considera como la administración y otro personal puede
involucrarse en o justificarse actos inapropiados.

Principio 9: Identifica y analiza cambios importantes que podrían afectar al

sistema de control interno

La administración debe considerar dentro de la evaluación de riesgos el

establecimiento de controles para identificar y comunicar los cambios que puedan
afectar los objetivos de la entidad.

Para verificar que el principio está presente y funcionando deberán atenderse las
tres pautas de control descritas a continuación:

1. Evalúa los cambios en el contexto. La evaluación deberá incluir los

riesgos por cambios en el ambiente regulatorio, económico, y físico en que
opera.
2. Evalúa cambios en el modelo de la entidad. Las entidades consideran el
impacto potencial en el control interno producidos por cambios en el modelo
de institución, por nuevas actividades o variaciones significativa de la
existentes fusiones y escisiones, operaciones en el exterior, rápido
crecimiento o nuevas tecnologías, entre otras.
3. Evalúa cambios en el liderazgo. La entidad considera cambios en la
administración y las respectivas actitudes y filosofías, sobre el sistema de
control interno.

ACTIVIDADES DE CONTROL

Son acciones establecidas a través de las políticas y procedimientos de la entidad,

que contribuyen a la mitigación de los riesgos a los que están expuestos los
objetivos institucionales.
Se llevan a cabo por personas con ayuda de la tecnología y mecanismos de
control, estos deben ejecutarse con una seguridad razonable para enfrentar de
forma eficaz los riesgos que de acuerdo a la evaluación de los mismos.

La actividad de control pueden ser preventiva o de detección, esta debe estar de

acuerdo al riesgo que previene.

Los controles deben prevenir:

Prevenir la ocurrencia de riesgos innecesarios.
Minimizar el impacto de las consecuencias de los mismos.
Reestablecer el sistema en el menor tiempo posible.

Principio 10: La entidad selecciona y desarrolla actividades de control que

contribuyen en la mitigación de riesgo al logro de objetivos, a un nivel
aceptable.
La administración deberá definir y desarrollar las actividades de control orientadas
a minimizar los riesgos que dificultan la realización de los objetivos generales de la
institución.

Cada control que realice deberá estar de acuerdo con el riesgo que previene,
teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar
riegos excesivos.

Este principio debe responder a las siguientes pautas o factores de control:

1. Integración con la evaluación de riesgos. Durante la evaluación de

riesgos la administración identifica e implementa acciones para mitigar los
riesgos, y asegura que las mismas sean apropiadas y oportunas. Las
actividades de control deben dar respuesta al riesgo que enfrentan y
reducen.
2. Factores específicos de la entidad. El ambiente y la complejidad de la
entidad, por la naturaleza y alcance de sus operaciones.

Naturaleza y alcance de las respuestas a los riesgos y actividades de

control, por ubicación, entorno y condiciones específicas de sus
operaciones.

Sistemas de información más sofisticada o de propiedad externa de uso

obligatorio.
3. Determinar los procesos relevantes de la entidad. La administración
debe velar porque las actividades de control estén determinadas por los
procesos relevantes de la entidad, conforme los riesgos detectados durante
la evaluación de riesgos.

El diseño de la actividad de control debe evaluarse el impacto de su

implementación de manera holística (beneficios o consecuencias de otros
 procesos de a entidad), para asegurar que su desarrollo no genera nuevos
riesgos.
4. Combinación de distintos tipos de actividades de control. Las
actividades de control pueden ser:
Preventivos y de detección, diseñadas para evitar eventos no
deseados o para detectar y descubrir eventos no deseados después
de que han ocurrido.
Manuales automatizados o informatizados, de acuerdo a la
complejidad y característica específica del riesgo a mitigar.
Gerenciales y operativos, gerenciales para determinar en qué
medida se están alcanzando los objetivos de la entidad y detectar
eventos relevantes para la oportuna toma de decisiones; mientras
que operativas, son diseñadas para mitigar de manera específica
eventos que se desarrollan en su área de competencia.
5. A qué nivel aplicar las actividades de control. La administración debe
establecer actividades de control a distintos niveles de institución de
acuerdo a los procesos, operaciones y personas involucrados en el riesgo a
gestionar.
6. Separación de funciones. Todas las actividades de autorizar, ejecutar,
registrar y comprobar una transacción deben ser claramente segregadas en
las políticas, procedimientos y diferenciadas para no generar conflictos
durante la ejecución de los controles. Es fundamental para la rendición de
cuentas y para la mitigación del riesgo de posibles irregularidades, debido a
que lo reduce a niveles aceptables.

Principio 11: La entidad selecciona y desarrolla actividades generales de

control sobre la tecnología para apoyar el logro de objetivos

Los sistemas de información deben contar con mecanismos de seguridad flexibles

que permitan cambios y modificaciones en las entradas, procesos,
almacenamientos y salidas cuando sea necesario

Incluye control sobre la infraestructura tecnológica, seguridad de la administración

y adquisición, desarrollo y mantenimiento de los sistemas de información y de
herramientas tecnológicas.

Para su verificación se debe atender los factores siguientes:

1. Determinar la vinculación entre el uso de la tecnología en los procesos

de la entidad y los controles generales para automatizar las
actividades de control. La administración debe comprender y determinar
la dependencia y vinculación entre: los procesos de la entidad, las
actividades de control automatizadas y los controles generales de
tecnología.
2. Establece las actividades de control para la infraestructura
tecnológica pertinente. Para ayudar a asegurar la integridad, exactitud y
disponibilidad de la tecnología de procesamiento.
 3. Establece las actividades control pertinente sobre los procesos de
administración de seguridad. Selecciona, desarrolla e implementa
actividades de control de administración de seguridad. Además de proveer
seguridad en: las entradas, los procesos, el almacenamiento y las salidas
que sean flexibles a modificaciones y protege a los activos de la institución
de las amenazas internas y externas.
4. Establece las actividades de control pertinentes sobre la adquisición,
desarrollo y mantenimiento de la tecnología.

Principio 12: La organización despliega las actividades de control a través de

políticas y procedimientos

Las políticas relejan las afirmaciones de la administración sobre lo que debe

hacerse para llevar a cabo los controles. Estas afirmaciones deben estar
documentadas, y expresadas tanto explícita como implícitamente a través de
comunicaciones, acciones y decisiones.

Los procedimientos son las acciones para implementar las políticas establecidas.

1. Establece políticas y procedimientos para soportar la implementación

de las instrucciones por parte de la administración. Políticas que
establezcan que es lo esperado y procedimientos pertinentes que
especifican las acciones a realizar. Es importante hacer mención que las
políticas y procedimientos deben cumplir con: oportunidad, acciones
correctivas, competencia y evaluación periódica.
2. Establece responsabilidad y rendición de cuentas para la ejecución de
las políticas y procedimientos. La administración establece
responsabilidad y rendición de cuentas por las actividades de control con la
administración (u otro personal designado) de la unidad o función en la que
los riesgos relevantes residen.
3. Pauta de control: desarrolla las actividades de control en forma
oportuna. La máxima autoridad, la administración y todos los servidores
públicos de la entidad son los responsables de desarrollar las actividades
de control de acuerdo a su competencia, en forma oportuna y como es
definido por las políticas y procedimientos.
4. Toma acciones correctivas. Velar porque los actores del control sean
responsables de investigar y actuar en las cuestiones identificadas como
resultado de la ejecución de las actividades de control.
5. Desarrollar las actividades de control utilizando personal competente.
La administración debe cuidar que los actores del control cuenten con la
competencia y autoridad suficiente para desarrollar las actividades de
control con diligencia y enfoque continuo.
6. Reevalúa las políticas y los procedimientos. La administración
periódicamente debe revisar las actividades de control para determinar su
continua relevancia y enfoque y las actualiza de ser necesario.
SISTEMAS DE INFORMACIÓN
La información es necesaria en la entidad para ejercer las responsabilidades de
control interno en función del logro de objetivos. La comunicación ocurre tanto
interna como externamente y provee a la entidad la información necesaria para la
realización de los controles diarios. La comunicación permite al personal
comprender las responsabilidades del control interno y su importancia para el
logro de los objetivos.

La información deberá estar compuesta por los datos que se combinan y sintetizan
con base a la relevancia de los requerimientos de información e todos los niveles
de la entidad, de acuerdo a su necesidad. En cambio la comunicación debe ser un
proceso interactivo y continuo que permita proporcionar, compartir y obtener la
información necesaria, relevante y de calidad tanto interna como externa.

Las normas específicas deben atender tres principios que se detallan a

continuación:

Principio 13: La entidad obtiene o genera y utiliza información relevante y de

calidad para apoyar el funcionamiento del control interno.

La información es recolectada, generada, utilizada y con las características de

calidad para apoyar el funcionamiento del control interno. Se obtiene a partir de las
actividades de la máxima autoridad y sintetizada de tal manera que la
administración y demás personal puedan entender los objetivos y su rol para la
consecución de los mismos.

A través de 4 factores de control puede determinarse su existencia y

funcionamiento:

1. Identificar los requerimientos de información. Existe un proceso para

identificar la información requerida y esperada para soportar el
funcionamiento de las normas de control interno para el logro de los
objetivos de la entidad.
Los requerimientos de información deben estar siempre enfocados a la
utilidad y relevancia para el control interno. Las fuentes de información
deben orientarse a la obtención de datos internos y externos.
2. Capturar fuentes internas y externas de datos. La captura o recopilación
de datos puede ser obtenida a través de fuentes interna y externas. Los
sistemas de información son los medios donde la entidad obtiene, genera,
usa y comunica transacciones de información para mantener la
responsabilidad y medir, revisar el desempeño y comprende un conjunto de
actividades que se realizan a través de personas, procesos, datos y
tecnología.
3. Transformar datos relevantes de la información. Los sistemas de
información deben procesar y transformar datos e información relevante, es
por ello que la administración debe supervisar y velar porque éste se
 genere a través del sistema mismo, y a su vez cumpla con las
características necesarias para que el sistema de control interno cumpla
con sus objetivos.
4. Mantener la calidad en todo el procesamiento. La información puede
presentar oportunidades como riesgos, es por ello que las actividades de
control establecidas para validar la calidad de la información, deben estar
orientadas a las características específicas que requieren de acuerdo a la
utilidad y finalidad de la misma. La información de acuerdo a su finalidad y
considerando la relación de costo beneficio para obtenerla, deberá cumplir
con mayor o menor rigidez con las siguientes características de calidad:
accesible, apropiada, actual, protegida, conservada, suficiente, oportuna,
válida y verificable.

Principio 14: La entidad comunica internamente información, incluido

objetivos y responsabilidades sobre el control interno necesaria para
soportar el funcionamiento del control interno.

1. Comunican internamente las responsabilidades del control interno. A

través de los canales correspondientes definidos para que todos los
servidores públicos comprendan sus roles y responsabilidades en la
institución.
2. Comunicación entre la administración y la junta directiva. Debe existir
una comunicación entre la máxima autoridad y administración para la
presentación de los resultados de las evaluaciones continuas e
independientes de la administración.

La comunicación deberá asegurar que se ejerza supervisión de las

responsabilidades de control interno y hacer referencia a la aceptación,
cambios o problemas presentados en el control interno de la entidad, el
impacto sobre la consecución de sus objetivos y las acciones correctivas o
preventivas implementadas o propuestas para la administración para su
aprobación, cuando así corresponda, de acuerdo a su nivel de
responsabilidad y autoridad.
3. Provee líneas de comunicación separadas. Para que la información fluya
a través de la entidad, deben establecerse formalmente los canales de
comunicación de acuerdo a su finalidad. Los canales deberán ser definidos
de tal forma que faciliten su utilidad con los niveles de seguridad que
correspondan.
4. Selecciona los métodos de comunicación relevantes. Los métodos de
comunicación de uso interno de la entidad deben ser seleccionados de
acuerdo a la oportunidad, audiencia y naturaleza de la información a
comunicar y deben implementarse de acuerdo a su finalidad y beneficios
esperados.

Para validar que los métodos implementados en la entidad están

permitiendo una comunicación efectiva, deben ser evaluados con
regularidad tomando en cuenta factores como los usuarios, la naturaleza de
 la comunicación, costo y beneficio de su disposición, las implicaciones
regulatorias, etc.

Principio 15: La entidad se comunica con los grupos de interés externos en

relación con los aspectos que afectan el funcionamiento del control interno.

La administración debe establecer formalmente los medios de comunicación para

personas externas a la entidad.

Dentro de las políticas para obtener, recibir y clasificar la información externa

deben definirse los canales para compartirla internamente de acuerdo a su
clasificación

1. Comunica a terceras partes. La administración deberá definir las políticas

claras que establezcan controles sobre la obtención y recepción de
información de partes externas, a fin de corroborar aspectos de
funcionamiento del control interno. La comunicación con terceras partes
permite que éstas comprendan los eventos, actividades o circunstancias
que puedan afectar su interacción con la entidad, por lo que la información
que proveen puede ser catalogada importante en el sistema de control
interno.
2. Comunica a la Junta directiva. Toda la información resultante de
evaluaciones externas debe ser comunicada directamente a la máxima
autoridad. Esta deberá establecer acciones que le corresponderá ejecutar
la información y la realización de mejoras al control interno de la entidad.
3. Provee líneas de comunicación interna. Deben establecerse canales de
comunicación separados para la obtención de información relacionada con
denuncias o situaciones sospechosas informadas por personas externas a
la entidad.

Toda esta información deberá ser tratada con los niveles de

confidencialidad necesarios y analizados con la mayor objetividad para
determinar si está contemplada en la evaluación de riesgos de la entidad y
si los controles para su mitigación están siendo efectivos o no.
4. Selecciona los métodos de comunicación relevantes. Los métodos de
comunicación para uso externo, deben ser seleccionados considerando la
oportunidad, audiencia, naturaleza de información a comunicar, y
atendiendo requerimientos legales o regulatorios.

Estos deben implementarse de acuerdo a su finalidad y beneficios

esperados. Para validar que los métodos implementados, para el uso
externo de la entidad están permitiendo una comunicación efectiva deben
ser evaluados con regularidad tomando en cuenta factores como: usuarios,
naturaleza de la comunicación, el costo-beneficio de su disposición,
implicaciones regulatorias, etc.
ACTIVIDADES DE SUPERVISIÓN – MONITOREO

Son evaluaciones concurrentes o separadas, o una combinación de ambas

utilizadas para determinar si cada una de las normas específicas de control
interno, incluye controles para efectivizar los principios de cada norma o
componentes que están presentes y funcionando.

Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente a

la máxima autoridad. La evaluación del control interno deberá tomar en cuenta:
Las actividades de monitoreo durante el curso ordinario de las operaciones
de la entidad (a diario).
Evaluaciones separadas, realizadas por fiscalizadores externos e internos.
Condiciones reportables o hallazgos materiales comunicados.
Papel asumido por cada miembro de la entidad, en los niveles de control.

Principio 16: La entidad selecciona, desarrolla y realiza evaluaciones

concurrentes o separadas para determinar si los componentes de control
interno están presentes y funcionando.

1. Considera una combinación de evaluaciones concurrentes y

separadas. La máxima autoridad (Junta directiva) selecciona y define
actividades de monitoreo y supervisión a través de evaluaciones continuas
e independientes.

La administración debe llevar a cabo las evaluaciones (auditorias) continuas

a través de su integración en los procesos de la entidad, estas evaluaciones
deberán suministrar información oportuna para efectuar las acciones
correctivas que correspondan.
2. Evaluaciones objetivas. Las evaluaciones se realizan periódicamente para
proveer una retroalimentación objetiva.
3. Ajusta el alcance y frecuencia. La administración varía el alcance y
frecuencia de las evaluaciones separadas dependiendo del riesgo.

Principio 17: Evalúa y comunica deficiencias