Lectura COSO III

0
MODELO COSO III − MARCO

INTEGRADO DE CONTROL INTERNO
MATERIAL DE APOYO
Descripción del Curso

El objetivo del presente curso es el de presentar a los participantes la nueva estructura del
Marco Integrado de Control Interno COSO, publicada en mayo de 2013, cuyos objetivos son:
aclarar los requerimientos del control interno, actualizar el contexto de la aplicación del control
interno a muchos cambios en las empresas y ambientes operativos, y ampliar su aplicación al
expandir los objetivos operativos y de emisión de informes. Este nuevo Marco Integrado permite
una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.
www.auditool.org
MODELO COSO III
MARCO INTEGRADO DE CONTROL INTERNO –
INTERNAL CONTROL INTEGRATED FRAMEWORK
Introducción
El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en

inglés) presentó en 1992 la primera versión del Marco Integrado de Control Interno, que ha sido
aceptado alrededor del mundo y se ha convertido en un marco líder en diseño, implementación y
conducción de control interno y evaluación de su efectividad. El Comité tenía como principal
objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y
conceptos utilizados en el campo del control interno. Teniendo en cuenta los grandes cambios
que han tenido la industria y los avances tecnológicos, el Comité lanzó en mayo de 2013 una
versión actualizada que permitirá que las empresas desarrollen y mantengan efectiva y
eficientemente sistemas de control interno que ayuden en el proceso de adaptación a los cambios,
cumplimiento de los objetivos de la empresa, mitigación de los riesgos a un nivel aceptable, y
apoyo a la toma de decisiones y al gobierno.
Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del control
interno y del gobierno corporativo, y responde a la presión pública para un mejor manejo de los
recursos públicos o privados en cualquier tipo de organización, como consecuencia de los
numerosos escándalos, la crisis financiera y los fraudes presentados.
Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin
de proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos en
relación con la eficacia y la eficiencia de las operaciones, la confiabilidad de la información
financiera, y el cumplimento de leyes y normas aplicables.
El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba
cinco componentes relacionados entre sí: el entorno de control, la evaluación del riesgo, el
sistema de información y comunicación, las actividades de control, y la supervisión del sistema
de control.
De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás

partes que interactúan con la entidad, ofreciendo un entendimiento de lo que constituye un
sistema de control interno efectivo. Un sistema de control interno debe verse como un proceso
integrado y dinámico y se caracteriza por las siguientes propiedades:
 Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus
necesidades.
 Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden
aplicar a nivel de entidad, a nivel operativo y a nivel funcional.
2 www.auditool.org
 Establece los requisitos para un sistema de control interno efectivo, considerando los
componentes y principios existentes, cómo funcionan y cómo interactúan.
 Proporciona un método para identificar y analizar los riesgos, así como para desarrollar
y gestionar respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y
con un mayor enfoque sobre las medidas antifraude.
 Constituye una oportunidad para ampliar el alcance de control interno más allá de la
información financiera, a otras formas de presentación de la información, operaciones y
objetivos de cumplimiento.
 Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que
proporcionan un valor mínimo en la reducción de riesgos para la consecución de los
objetivos de la entidad.
 Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los
sistemas de control interno.
 Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la
entidad.
 Genera mayor confianza en la capacidad de la entidad para identificar, analizar y
responder a los riesgos y a los cambios que se produzcan en el entorno operativo y de
negocios.
 Permite lograr una mayor comprensión de la necesidad de un sistema de control
interno efectivo.
 Facilita el entendimiento de que mediante la aplicación de un criterio
profesional oportuno la dirección puede eliminar controles no efectivos,
redundantes o ineficientes.
Comité de organizaciones patrocinadoras de la Comisión Treadway –

Committee of Sponsoring Organizations of Treadway Commission
(COSO)
El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985

con la finalidad de identificar los factores que originaban la presentación de información
financiera falsa o fraudulenta y emitir las recomendaciones que garantizaran la máxima
transparencia informativa en ese sentido. COSO se dedica a desarrollar marcos y orientaciones
generales sobre el control interno, la gestión del riesgo empresarial y la prevención del fraude,
diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el riesgo de
fraude en las organizaciones.
Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de control interno
son necesarios para el éxito a largo plazo de las organizaciones.
El Comité estaba conformado por cinco instituciones representativas en Estados Unidos en el

campo de la contabilidad, las finanzas y la auditoria interna:
 American Accounting Association (AAA) – Asociación de Contadores Públicos

Norteamericanos
3 www.auditool.org
 American Institute of Certified Public Accountants (AICPA) – Instituto
Norteamericano de Contadores Públicos Certificados (Contadores CPA que forman
parte de empresas de contabilidad que hacen auditorías externas de estados
financieros).
 Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos de
Finanzas.
 Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores
encargados de la evaluación de los sistemas de control interno en el interior de las
organizaciones).
 Institute of Management Accountants (IMA) – Instituto de Contadores
Empresariales (Contadores que trabajan en empresas).
La complejidad en las operaciones de las empresas y organizaciones hizo necesario adoptar

procesos administrativos que debían incluir planificación, organización, dirección y control. A
su vez, estos procesos requerían de personal capacitado para implementar y mantener las normas
de control interno en el ámbito de la gestión con el fin de asegurar el cumplimiento de los
objetivos de la empresa.
De esta manera, las empresas empezaron a implementar sus propias políticas para el control
interno, generando una diversidad de conceptos que carecían de uniformidad. Esta situación
hizo evidente la necesidad de un marco conceptual que estandarizara las buenas prácticas con
respecto a control interno, facilitando así la implementación y comprensión de sistemas de
control interno adecuados. En primera medida, este marco debía establecer una definición
común de control interno, y luego presentar un modelo que se pudiera adecuar a cualquier
empresa sin distinción alguna.
Por esta razón, el comité COSO, en septiembre de 1992, emitió en los Estados Unidos el
informe Internal Control – Integrated Framework (Marco Integrado de Control Interno, COSO
I) –, luego de un trabajo arduo de cinco años y orientado a establecer una definición común de
control interno y proveer una guía para la creación y el mejoramiento de la estructura de control
interno de las entidades.
Este Marco fue publicado para las empresas de los Estados Unidos, pero sin embargo ha sido
utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de
evaluación y mejoramiento continuo de sus sistemas de control interno. Además, ha sido
incluido en las políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de
control hacia el logro de sus objetivos. Es el caso de la Ley Sarbarnes Oxley, según la cual las
empresas que cotizan en bolsa tienen que cumplir con una sección de control interno (sección
404), que solicita la implementación y evaluación de un sistema de control interno en las
organizaciones.
Como respuesta a una serie de escándalos e irregularidades que provocaron pérdidas

importantes a inversionistas, empleados y otros grupos de interés, en septiembre de 2004, el
comité COSO publicó el Enterprise Risk Management – Integrated Framework y sus
aplicaciones técnicas asociadas (COSO II), en el cual se amplía el concepto de control interno,
y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y
gestión integral del riesgo.
4 www.auditool.org
Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora como parte
de él, y permite a las compañías mejorar sus prácticas de control interno o decidir
encaminarse hacia un proceso más completo de gestión de riesgo.
Adicionalmente, dado que COSO Enterprise Risk Management - Integrated Framework se
encuentra completamente alineado con el Internal Control - Integrated Framework, las mejoras
en la gestión de riesgo permiten mejorar un trabajo eficaz en control interno bajo las
disposiciones de la Ley Sarbanes-Oxley.
En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de Control
Interno, cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto
de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos, y
ampliar su aplicación al expandir los objetivos operativos y de emisión de informes. Este nuevo
Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente
las organizaciones.
Algunos de los factores más relevantes que contribuyeron a la actualización del Marco
Integrado de Control Interno son:
 Variación de los modelos de negocio como consecuencia de la globalización.

 Mayor necesidad de información a nivel interno debido a los entornos
cambiantes.
 Incremento del número y complejidad de las normativas aplicables al mundo
empresarial a nivel internacional.
 Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las
organizaciones.
 Incremento de las expectativas de los grupos de interés (inversores,
reguladores) en la prevención y detección del fraude.
 Aumento del uso de las nuevas tecnologías, y su desarrollo constante.
 Exigencias en la fiabilidad de la información reportada.
5 www.auditool.org
Los siguientes cuadros presentan los cambios más significativos presentes en el Marco
Integrado de Control Interno 2013, a nivel general y en cada componente:
COSO 1992
COSO 2013 Cambia
Se mantiene:
Ampliación y aclaración de conceptos con el objetivo de
Definición del concepto de
abarcar las actuales condiciones del mercado y
Control Interno
la economía global
Codificación de principios y puntos de enfoque con
aplicación internacional para el desarrollo y evaluación
de la eficacia del Sistema de Control
Cinco componentes del
Interno
control interno
Aclaración de la necesidad de establecer objetivos
de negocio como condición previa a los objetivos de control
interno
Criterios a utilizar en el Extensión de los objetivos de reporte más allá de los
proceso de evaluación de la informes financieros externos, a los de carácter interno y a
eficacia del Sistema de Control los no financieros tanto externos como internos
Interno
Uso del Juicio profesional Inclusión de una guía orientadora para facilitar la
para la evaluación de la supervisión del Control Interno sobre las operaciones, el
eficacia del Sistema de cumplimiento y los objetivos de reporte
Control Interno
Componentes Cambios Representativos

Se recogen en cinco principios la relevancia de la integridad
y los valores éticos, la importancia de la filosofía de la
administración y su manera de operar, la necesidad de una
estructura organizativa, la adecuada asignación de
responsabilidades y la importancia de las políticas de
recursos humanos
Se explican las relaciones entre los componentes del
Control Interno para destacar la importancia del Entorno
Entorno de Control de Control
Se amplía la información sobre el Gobierno Corporativo de
la organización, reconociendo diferencias en las estructuras,
requisitos, y retos a lo largo de diferentes jurisdicciones,
sectores y tipos
de entidades
Se enfatiza la supervisión del riesgo y la relación entre el
riesgo y la respuesta al mismo
Se amplía la categoría de objetivos de Reporte,
Evaluación de Riesgos considerando todas las tipologías de reporte
internos y externos
6 www.auditool.org
Componentes Cambios Representativos
Se aclara que la evaluación de riesgos incluye la
identificación, análisis y respuesta a los riesgos
Se incluyen los conceptos de velocidad y persistencia de
los riesgos como criterios para
evaluar la criticidad de los mismos
Se considera la tolerancia al riesgo en la evaluación
de los niveles aceptables de riesgo
Se considera el riesgo asociado a las fusiones,
adquisiciones y externalizaciones
Se amplía la consideración del riesgo al fraude
Se indica que las actividades de control son
acciones establecidas por políticas y procedimientos
Se considera el rápido cambio y evolución de la tecnología
Actividades de Control
Se enfatiza la diferenciación entre controles

automáticos y Controles Generales de Tecnología
Se enfatiza la relevancia de la calidad de
información dentro del Sistema de Control Interno
Se profundiza en la necesidad de información y
comunicación entre la entidad y terceras partes
Información y
Se enfatiza el impacto de los requisitos regulatorios sobre
Comunicación la seguridad y protección de la información
Se refleja el impacto que tiene la tecnología y otros
mecanismos de comunicación en la rapidez y
calidad del flujo de información
Se clarifica la terminología definiendo dos
categorías de actividades de monitoreo:
Actividades de Monitoreo – evaluaciones continuas y evaluaciones
Supervisión independientes
Se profundiza en la relevancia del uso de la
tecnología y los proveedores de servicios externos
Control interno
Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la administración y
de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la
empresa y se convierta en una parte esencial de la cultura organizacional. El Marco Integrado de
Control Interno propuesto por COSO provee un enfoque integral y herramientas para la
implementación de un sistema de control interno efectivo y en pro de la mejora continua.
7 www.auditool.org
Cada empresa, en el cumplimiento de su misión, debe alcanzar sus objetivos. Por esta razón,
los directivos y la administración deben articular sus objetivos, desarrollar estrategias para
lograrlos, identificar los riesgos relacionados para mitigarlos y cumplir la estrategia planteada.
De esta manera, el Marco Integrado de Control Interno es diseñado para controlar los riesgos
que puedan afectar el cumplimiento de los objetivos, reduciendo dichos riesgos a un nivel
aceptable. Es así como este Marco afirma que el control interno proporciona razonables
garantías para que las empresas puedan lograr sus objetivos, y mantener y mejorar su
rendimiento.
Cada empresa debe tener su propio sistema de control interno No pueden existir dos empresas
con el mismo sistema debido a que sus características cambian (industria, leyes y regulaciones
pertinentes, tamaño, naturaleza, entre otras).
El control interno es definido como un proceso integrado y dinámico llevado a cabo por la
administración, la dirección y demás personal de una entidad, diseñado con el propósito de
proporcionar un grado de seguridad razonable en cuanto a la consecución de los objetivos
relacionados con las operaciones, la información/Reporting y el cumplimiento. De esta manera,
el control interno se convierte en una función inherente a la administración, integrada al
funcionamiento organizacional y a la dirección institucional y deja, así, de ser una función que
se asignaba a un área específica de una empresa.
En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones
necesarias para que el equipo de trabajo dé su mayor esfuerzo con el fin de lograr los resultados
deseados, debido a que promueve el buen funcionamiento de la organización. El concepto de
responsabilidad toma gran importancia y se convierte en un factor clave para el gobierno de las
organizaciones, teniendo en cuenta que el principal propósito del sistema de control interno es
detectar oportunamente cualquier desviación significativa en el cumplimiento de las metas y
objetivos establecidos.
La implementación de un sistema de control interno eficiente debe proporcionar:
 Consecución de objetivos de rentabilidad y rendimiento para prevenir la

pérdida de recursos.
 Operaciones eficaces y eficientes.
 Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a
un fin.
 Control interno efectuado por las personas de la entidad y las acciones que estas
aplican en cada nivel de la entidad.
 Producción de informes financieros confiables para la toma de decisiones.
 Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.
 Cumplimiento de las leyes y regulaciones pertinentes.
 Adaptación a la estructura de la entidad.
 Promoción, evaluación y preocupación por la seguridad, calidad y mejora
continua de todos los procesos de la entidad.
8 www.auditool.org
El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque que
presentan las características fundamentales de cada componente. Se caracteriza por tener en
cuenta los siguientes aspectos y generar diferentes beneficios:
 Mayores expectativas del gobierno corporativo.

 Globalización de mercados y operaciones.
 Cambio continuo en mayor complejidad en los negocios.
 Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
 Expectativas de competencias y responsabilidades.
 Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
 Expectativas relacionadas con prevenir, desalentar y detectar el fraude.
La efectividad del sistema de control interno depende de estas características, y de esta manera
se puede obtener una certeza razonable del logro de los objetivos de la entidad. Un sistema de
control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un objetivo de la
entidad y puede hacer referencia a las categorías de objetivos. Para esto es indispensable que los
componentes y principios estén presentes y en funcionamiento. Esto quiere decir que los
componentes y principios relevantes existen en el diseño e implementación del sistema de
control interno para alcanzar los objetivos especificados. Además, los componentes y principios
deben ser aplicados en el sistema de control interno y funcionar de manera integrada. Cuando se
determina que el Sistema de Control Interno es efectivo la alta dirección y la Junta Directiva
tienen una seguridad razonable acerca del cumplimiento de las tres categorías de objetivos.
9 www.auditool.org
Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el éxito
de una entidad. Este puede ayudar a la consecución de los objetivos y suministrar información
sobre el progreso de la entidad, pero el desempeño de la administración y directivas y factores
externos como condiciones económicas tienen gran influencia en el éxito de la entidad. El
control interno no puede evitar que se aplique un deficiente criterio profesional o se adopten
malas decisiones. Además, el sistema de control interno puede garantizar solo una seguridad
razonable en relación con el cumplimiento de los objetivos de la organización. Las limitaciones
siempre están presentes e impiden que el Consejo de Administración y la dirección tengan una
seguridad absoluta. Sin embargo, estas limitaciones tienen que ser tenidas en cuenta al momento
de seleccionar, desarrollar y desplegar los controles, para que minimicen en lo posible dichas
limitaciones.
Las limitaciones pueden originarse por los siguiente factores:
 La falta de adecuación de los objetivos establecidos como condición previa para el

control interno.
 El criterio profesional de las personas en la toma de decisiones puede ser erróneo
y estar sujeto a sesgos.
 Fallos humanos conscientes e inconscientes.
 La capacidad de la dirección de anular el control interno.
 La capacidad de la dirección y demás miembros del personal para eludir los
controles mediante confabulación entre ellos.
 Acontecimientos externos que escapan al control de la organización.
 Conspiraciones o complots.
Por esta razón, el Marco Integrado de Control Interno requiere de un criterio profesional en el
diseño, implementación, y conducción del control interno y la evaluación de su efectividad. El
uso del criterio profesional ayuda a la administración a tomar mejores decisiones con respecto al
sistema de control interno, teniendo en cuenta que esto no garantiza resultados perfectos.
La administración hace uso del criterio profesional en diferentes momentos:
 Aplicación de los componentes de control interno en relación con las

categorías de los objetivos.
 Aplicación de los componentes y principios de control interno dentro de la
estructura de la entidad.
 Especificación de objetivos generales y específicos apropiados y evaluación de
riesgos para su cumplimiento.
 Selección, desarrollo y despliegue de los controles necesarios para llevar a cabo los
principios.
 Evaluar si los componentes y principios están presentes, funcionando y
operando de manera integrada en la entidad.
 Evaluación de la severidad de una o más deficiencias de control interno de acuerdo con
las leyes, reglas, regulaciones y estándares externos pertinentes.
10 www.auditool.org
Objetivos
Cada entidad tiene una misión, la cual determina los objetivos y las estrategias necesarias para
cumplirla. Los objetivos pueden ser establecidos mediante un proceso estructurado o informal
dependiendo de la entidad, y junto con la evaluación de los puntos fuertes y débiles de la
entidad, y de las oportunidades y amenazas del entorno, define una estrategia global.
Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del

negocio y es necesario fijar los objetivos con carácter previo al diseño e implementación del
sistema de control interno, con el fin de controlar y mitigar de manera adecuada los riesgos que
afectan a dichos objetivos. Los objetivos deben complementarse, estar relacionados entre sí y
ser coherentes con las capacidades y expectativas de la entidad y las unidades empresariales y
sus funciones. Establecer objetivos es un requisito previo para un control interno eficaz. Los
objetivos proporcionan las metas medibles hacia las que la entidad se mueve al desarrollar sus
actividades.
Esta responsabilidad está establecida en los procesos de la administración, como se presenta a

continuación:
 Determinar los objetivos estratégicos y seleccionar la estrategia dentro del

contexto de la entidad establecido en su misión y visión.
 Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en
los requerimientos de la entidad según las circunstancias.
 Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo.
 Establecer los objetivos generales y específicos para la entidad y sus niveles según
sean las circunstancias.
El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a las
organizaciones centrarse en diferentes aspectos del control interno. Estas son:
 Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la

misión y visión de la entidad. Hacen referencia a la efectividad y eficiencia de las
operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la
protección de sus activos frente a posibles pérdidas. Por lo tanto, estos objetivos
constituyen la base para la evaluación del riesgo en relación con la protección de los
activos de la entidad, y la selección y desarrollo de los controles necesarios para mitigar
dichos riesgos.
Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico

en que se desenvuelve la entidad; y están relacionados con el mejoramiento del
desempeño financiero, la productividad, la calidad, las prácticas ambientales, y la
innovación y satisfacción de empleados y clientes.
11 www.auditool.org
 Objetivos de información/Reporting: estos objetivos se refieren a la preparación de
reportes para uso de la organización y los accionistas, teniendo en cuenta la veracidad,
oportunidad y transparencia. Estos reportes relacionan la información financiera y no
financiera interna y externa y abarcan aspectos de confiabilidad, oportunidad,
transparencia y demás conceptos establecidos por los reguladores, organismos
reconocidos o políticas de la entidad. La presentación de informes a nivel externo da
respuesta a las regulaciones y normativas establecidas y a las solicitudes de los grupos
de interés, y los informes a nivel interno atienden a las necesidades internas de la
organización tales como la estrategia de la entidad, plan operativo y métricas de
desempeño.
Reporting Financiero Externo

Cuentas anuales Reporting No Financiero Externo
Estados financieros intermedios Informe de Control Interno
Publicació n de resultados
Memoria de sostenibilidad
Distribució n de utilidades
Plan estratégico
Custodia de activos
Reporting No Financiero Interno

Reporting Financiero Interno Utilización de activos
Estados financieros de las divisiones Encuestas de satisfacción del cliente
Cash-flow / Presupuesto Indicadores clave de riesgo
Cá lculos de Covenants Reporting al consejo
 Reporting financiero externo: estos objetivos se relacionan con el

cumplimiento de las obligaciones con los accionistas. Los estados financieros
son solicitados por diferentes partes externas tales como inversores,
organismos públicos, proveedores, entre otros, y deben ser preparados de
acuerdo con los principios de contabilidad pertinentes y cumpliendo con los
siguiente criterios:
 Relevancia
 Representación exacta
 Comparabilidad
 Verificabilidad
 Oportunidad
 Comprensibilidad
12 www.auditool.org
 Reporting no financiero externo: la dirección debe cumplir con las
regulaciones y estándares aplicables en la realización y publicación de
informes no financieros externos. Además:
 Clasifica y resume la información razonablemente en el nivel

apropiado de detalle.
 Refleja las actividades subyacentes de la entidad.
 Presenta transacciones y eventos dentro de los niveles requeridos de
precisión y exactitud pertinente a las necesidades de los usuarios.
 Usa el criterio de terceras partes, estándares y marcos, según sea
apropiado.
 Reporting financiero y no financiero interno: los informes internos

para la alta dirección deben incluir la información necesaria para la toma de
decisiones. Estos informes soportan la toma decisiones y la supervisión de la
administración de las actividades y desempeño de la entidad.
El reporte interno:
 Usa el criterio establecido por terceras partes, estándares y

marcos, según sea apropiado.
 Clasifica y resume la información razonablemente en el nivel
apropiado de detalle.
 Reflejo de las actividades subyacentes de la entidad.
 Presentación de transacciones y eventos dentro de los niveles requeridos
de precisión y exactitud pertinente a las necesidades de los usuarios.
 Objetivos de cumplimiento: están relacionados con el cumplimiento de las

leyes y regulaciones a las que está sujeta la entidad. La entidad debe desarrollar sus
actividades en función de las leyes y normas específicas.
Componentes del sistema de control interno
El sistema de control interno está divido en cinco componentes integrados que se relacionan con
los objetivos de la empresa: entorno de control, evaluación de los riesgos, actividades de
control, sistemas de información y comunicación, y actividades de monitoreo y supervisión. Un
adecuado entorno de control, una metodología de evaluación de riesgos, un sistema de
elaboración y difusión de información oportuna y fiable por de la organización y un proceso de
monitoreo eficiente, apoyados en actividades de control efectivas, se constituyen en poderosas
herramientas gerenciales.
13 www.auditool.org
A partir de los cinco componentes se puede abordar y analizar la realidad de la organización
obteniendo un diagnóstico organizacional en cuanto a estructura, procesos, sistemas,
procedimientos y recursos humanos. Existe una relación directa entre los objetivos de la
entidad, los componentes y la estructura organizacional que es representada en forma de cubo
de la siguiente manera:
OBJETIVOS
COSO
COSO1992
ESTRUCTURA
E RUCTUR
Alca Organizacional
Alc c
O anizacion
COMPONENTES
COMPONENTE
COSO
COSO 2013
Los cinco componentes deben funcionar de manera integrada para reducir a un nivel aceptable
el riesgo de no alcanzar un objetivo. Los componentes son interdependientes, existe una gran
cantidad de interrelaciones y vínculos entre ellos. Así mismo, dentro de cada componente el
marco establece 17 principios que representan los conceptos fundamentales y son aplicables a
los objetivos operativos, de información y de cumplimiento. Los principios permiten evaluar la
efectividad del sistema de control interno.
Principios y puntos de enfoque
En el próximo cuadro se presenta la relación entre los componentes, los principios y los puntos
de enfoque para cada uno. Los puntos de enfoque representan las características importantes de
cada principio, lo que permite que sean más fáciles de entender y que la entidad pueda evaluar
si el principio está presente y funcionando en su sistema de control interno.
14 www.auditool.org
Para determinar que el Sistema de Control Interno es efectivo se requiere que los cinco
componentes y los principios estén presentes y funcionando:
 Presente: la determinación de que los componentes y los principios relevantes existen

en el diseño y la implementación del sistema de control interno para lograr los objetivos
especificados.
 Funcionando: determinación de que los componentes y los principios relevantes

continúan existiendo en la dirección del sistema de control interno para lograr los
objetivos especificados.
Debido a que cada principio es fundamental para los componentes, todos estos son relevantes para
todas las entidades; si un principio no está presente y funcionando, en consecuencia el componente
relacionado no está presente ni funcionando. Por el contrario, todos los puntos de enfoque no son
requeridos para valorar la efectividad del sistema de control. La administración puede determinar
que algunos de estos no son relevantes y puede identificar y considerar otros.
De esta manera, el Marco Integrado de Control Interno facilita la labor de diseño y supervisión
del Sistema de Control Interno y permite comprender con más claridad el contenido, significado
y el impacto que los Sistemas de Control Interno implementados tienen al momento de mitigar
los riesgos de la organización.
PUNTOS DE ENFOQUE -
COMPONENTE PRINCIPIOS
ATRIBUTOS
Establece el tono de la gerencia, la
Junta Directiva. La Alta Gerencia y
el personal supervisor están
comprometidos con los valores y
principios éticos y los refuerzan en
sus
actuaciones
1. La organización demuestra Establece estándares de conducta.
Entorno de compromiso con la integridad Las expectativas de la Junta
control y los valores éticos Directiva y la Alta Dirección con
respecto a la integridad y los valores
éticos son definidos en los
estándares de conducta de la entidad
y entendidos en todos los niveles de
la organización y por los proveedores
de servicio externos
y socios de negocios
15 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Evalúa la adherencia a estándares de
conducta. Los procesos están en su
lugar para evaluar el desempeño de
los individuos y equipos en relación
con los estándares de conducta
esperados de la entidad
Aborda y decide sobre desviaciones

en forma oportuna. Las desviaciones
de los estándares de conducta
esperados en la entidad son
identificadas y corregidas
oportuna y adecuadamente
Establece las responsabilidades de

supervisión de la dirección. La
Junta Directiva identifica y acepta
su responsabilidad de supervisión
con respecto a establecer
requerimientos y
expectativas
Aplica experiencia relevante. La
Junta directiva define, mantiene y
periódicamente evalúa las
habilidades y experiencia necesaria
entre sus miembros para que
2. El consejo de administración puedan hacer preguntas de sondeo
demuestra independencia de la de la Alta Dirección y tomar
dirección y ejerce la medidas
supervisión del desempeño del proporcionales
sistema de control interno. Conserva o delega
responsabilidades de
supervisión
Opera de manera independiente. La
Junta Directiva tiene suficientes
miembros, quienes son
independientes de la Administración
y objetivos en evaluaciones y toma
de
decisiones
Brinda supervisión sobre el
Sistema de Control Interno. La
Junta Directiva conserva la
responsabilidad de supervisión
del diseño, implementación y
16 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
conducción del Control Interno
de la Administración:
– Entorno de Control: establece
integridad y valores éticos,
estructuras de supervisión, autoridad
y responsabilidad, expectativas de
competencia, y rendición de cuentas
a la Junta.
– Evaluación de Riesgos: monitorea
las evaluaciones de riesgos de la
administración para el cumplimiento
de los objetivos, incluyendo el
impacto potencial de los cambios
significativos, fraude, y la evasión
del control interno por parte de la
administración.
– Actividades de Control: provee
supervisión a la Alta Dirección en
el desarrollo y cumplimiento de las
actividades de control.
– Información y Comunicación:
analiza y discute la información
relacionada con el cumplimiento de
los objetivos de la entidad.
– Actividades de Supervisión:
evalúa y supervisa la naturaleza y
alcance de las actividades de
monitoreo y la evaluación y
mejoramiento de la administración
de las
deficiencias.
Considera todas las estructuras de la

entidad. La Administración y la
Junta Directiva consideran las
3. La dirección estable con la
estructuras múltiples utilizadas
supervisión del consejo, las
(incluyendo unidades operativas,
estructuras, líneas de reporte y
entidades legales, distribución
los niveles de autoridad y
geográfica, y proveedores de
responsabilidad apropiados
servicios externos) para apoyar la
para la consecución de los
consecución de los objetivos
objetivos.
Establece líneas de reporte. La

Administración diseña y evalúa
las líneas de reporte para cada
17 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
estructura de la entidad para permitir
la ejecución de autoridades y
responsabilidades y el flujo de
información para gestionar las
actividades de la
entidad
Define, asigna y delimita autoridades
y responsabilidades. La
Administración y la Junta Directiva
delegan autoridad, definen
responsabilidades, y utilizan
procesos y tecnologías adecuadas
para asignar responsabilidad,
segregar funciones según sea
necesario en varios niveles de la
organización:
– Junta directiva: conservar
autoridad sobre las decisiones
significativas y revisar las
evaluaciones de la administración y
las limitaciones de autoridades y
responsabilidades.
– Alta Dirección: establece
instrucciones, guías, y control
habilitando a la administración y
otro personal para entender y llevar
a cabo sus responsabilidades de
control interno.
– Administración: guía y facilita la
ejecución de las instrucciones de la
Alta Dirección dentro de la entidad
y sus sub-unidades.
– Personal: entiende los estándares
de conducta de la entidad, los riesgos
evaluados para los objetivos, y las
actividades de control relacionadas
con sus respectivos niveles de la
entidad, la información esperada y
los flujos de comunicación, y las
actividades de monitoreo
18 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
relevantes para el cumplimiento de
los objetivos.
– Proveedores de servicios
externos: cumple con la definición
de la administración del alcance de
la autoridad y la responsabilidad
para todos los que no sean
empleados
comprometidos
Establece políticas y prácticas. Las
políticas y prácticas reflejan las
expectativas de competencia
necesarias para apoyar el
cumplimiento de los objetivos
Evalúa la competencia y direcciona
las deficiencias. La Junta Directiva
y la Administración evalúan la
competencia a través de la
organización y en los proveedores
de servicios externos de acuerdo
con las políticas y prácticas
4. La organización demuestra establecidas, y actúa cuando es
compromiso para atraer, necesario direccionando las
desarrollar y retener a deficiencias
profesionales competentes, en
concordancia con los objetivos
de la organización Atrae, desarrolla y retiene
profesionales. La organización
provee la orientación y la
capacitación necesaria para atraer,
desarrollar y retener personal
suficiente y competente y
proveedores de servicios externos
para apoyar el
Planea y se prepara para sucesiones.
La Alta Dirección y la Junta
Directiva desarrollan planes de
contingencia para la asignación de
la responsabilidad
importante para el control interno
Hace cumplir la responsabilidad a
través de estructuras, autoridades y
responsabilidades.
La Administración y la Junta
19 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Directiva establecen los
mecanismos para comunicar y
mantener profesionales
responsables para el desempeño de
las responsabilidades de control
interno a través de la organización,
e implementan acciones correctivas
cuando es
necesario
Establece medidas de desempeño,

incentivos y premios. La
establecen medidas de desempeño,
incentivos, y otros premios
apropiados para las responsabilidades
en todos los niveles de la entidad,
reflejando dimensiones de
5. La organización define las desempeño apropiadas y estándares
responsabilidades de las de conducta esperados, y
personas a nivel de control considerando el cumplimiento de
interno para la consecución de objetivos a corto y largo plazo
los objetivos
Evalúa medidas de desempeño,

incentivos y premios para la
relevancia en curso. La
alinean incentivos y premios con el
cumplimiento de las
responsabilidades de control interno
para la consecución de
los objetivos
Considera presiones excesivas. La
administración y la Junta Directiva
evalúan y ajustan las presiones
asociadas con el cumplimiento de
los objetivos así como asignan
responsabilidades, desarrollan
medidas de desempeño y
evalúan el desempeño
Evalúa desempeño y premios o

disciplina los individuos. La
Administración y la Junta
20 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Directiva evalúan el desempeño de
las responsabilidades de control
interno, incluyendo la adherencia a
los estándares de conducta y los
niveles de competencia esperados, y
proporciona premios o ejerce
acciones disciplinarias cuando
es apropiado
Objetivos Operativos:
 Refleja las elecciones de la
administración.
 Considera la tolerancia al
riesgo.
 Incluye las metas de
desempeño operativo y
financiero.
 Constituye una base para
administrar los recursos.
Objetivos de Reporte
Financiero Externo:
 Cumple con los estándares
contables aplicables.
 Considera la materialidad.
 Refleja las actividades de la
6. La organización define los
entidad.
objetivos con suficiente
Evaluación de Objetivos de Reporte no
claridad para permitir la
riesgos Financiero Externo:
identificación y evaluación de
 Cumple con los estándares y
los riesgos relacionados
marcos externos establecidos.
 Considera los niveles de
precisión requeridos.
entidad.
Objetivos de Reporte interno:
 Refleja las elecciones de la
administración.
 Considera el nivel requerido
de precisión.
entidad.
Objetivos de Cumplimiento:
 Refleja las leyes y
regulaciones externas.
 Considera la tolerancia al
21 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
riesgo.
Incluye la entidad, sucursales,
divisiones, unidad operativa y
niveles funcionales. La organización
identifica y evalúa los riesgos a
nivel de la entidad, sucursales,
divisiones, unidad operativa y
niveles funcionales relevantes para
la consecución
de los objetivos
Evalúa la consideración de
factores externos e internos en la
7. La organización identifica los
identificación de los riesgos que
riesgos para la consecución de
puedan afectar a los
sus objetivos en todos los
objetivos
niveles de la entidad y los
Envuelve niveles apropiados de
analiza como base sobre la
administración. La dirección evalúa
cual determina cómo se deben
si existen mecanismos adecuados
gestionar
para la identificación
y análisis de riesgos
Analiza la relevancia potencial de
los riesgos identificados y entiende
la tolerancia al riesgo
de la organización
Determina la respuesta a los
riesgos. La evaluación de riesgos
incluye la consideración de cómo
el riesgo debería ser gestionado y si
aceptar, evitar,
reducir o compartir el riesgo
Considera varios tipos de fraude: La
evaluación del fraude considera el
Reporting fraudulento, posible
pérdida de
activos y corrupción
8. La organización considera la La evaluación del riesgo de
probabilidad de fraude al fraude evalúa incentivos y
evaluar los riesgos para la presiones
consecución de los objetivos La evaluación del riesgo de fraude
tiene en consideración el riesgo de
fraude por adquisiciones no
autorizadas, uso o enajenación de
activos, alteración de los registros
de
información, u otros actos
22 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
inapropiados.
La evaluación del riesgo de
fraude considera cómo la
dirección u otros empleados
participan en, o justifican,
acciones inapropiadas.
Evalúa cambios en el ambiente
externo. El proceso de identificación
de riesgos considera cambios en los
ambientes regulatorio, económico, y
físico en los que la
entidad opera.
Evalúa cambios en el modelo de

negocios. La organización considera
impactos potenciales de las nuevas
líneas del negocio, composiciones
9. La organización idéntica y
alteradas dramáticamente de las
evalúa los cambios que podrían
líneas existentes de negocios,
afectar significativamente al
operaciones de negocios adquiridas
sistema de control interno
o de liquidación en el sistema de
control interno, rápido crecimiento,
el cambio de dependencia en
geografías extranjeras y nuevas
tecnologías.
Evalúa cambios en liderazgo. La

organización considera cambios en
administración y respectivas
actitudes y filosofías en el
sistema de control interno.
Se integra con la evaluación de
riesgos. Las actividades de control
ayudan a asegurar que las respuestas
a los riesgos que direccionan y
mitigan los riesgos
10. La organización define y
son llevadas a cabo
Actividades de desarrolla actividades de
Considera factores específicos de la
control control que contribuyen a la
entidad. La administración
mitigación de los riesgos hasta
considera cómo el ambiente,
niveles aceptables para la
complejidad, naturaleza y alcance
consecución de los objetivos
de sus operaciones, así como las
características
específicas de la organización,
23 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
afectan la selección y desarrollo
de las actividades de control
Determina la importancia de los
procesos del negocio. La
administración determina la
importancia de los procesos del
negocio en las actividades de
control
Evalúa una mezcla de tipos de
actividades de control. Las
actividades de control incluyen un
rango y una variedad de controles
que pueden incluir un equilibrio de
enfoques para mitigar los riesgos
teniendo en cuenta controles
manuales y automatizados, y
controles
preventivos y de detección
Considera en qué nivel las
actividades son aplicadas. La
administración considera las
actividades de control en varios
niveles de la entidad
Direcciona la segregación de
funciones. La administración
segrega funciones incompatibles, y
donde dicha segregación no es
práctica, la administración
selecciona y desarrolla actividades
de control
alternativas
Determina la relación entre el uso
de la tecnología en los procesos del
negocio y los controles generales de
tecnología: La dirección entiende y
11. La organización define y determina la dependencia y la
desarrolla actividades de control vinculación entre los procesos de
a nivel de entidad sobre la negocios, las actividades de control
tecnología para apoyar la automatizadas y los Controles
consecución de los objetivos Generales de
tecnología
Establece actividades de control

para la infraestructura
tecnológica relevante: la
24 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Dirección selecciona y desarrolla
actividades de control diseñadas e
implementadas para ayudar a
asegurar la completitud, precisión y
disponibilidad de la
tecnología.
Establece las actividades de control
para la administración de procesos
relevantes de seguridad: la
dirección selecciona y desarrolla
actividades de control diseñadas e
implementadas para restringir los
derechos de acceso, con el fin de
proteger los activos de la
organización de amenazas
externas.
Establece actividades de control

relevantes para los procesos de
adquisición, desarrollo y
mantenimiento de la tecnología: la
dirección selecciona y desarrolla
actividades de control sobre la
adquisición, desarrollo y
mantenimiento de la tecnología y
su infraestructura
Establece políticas y procedimientos
para apoyar el despliegue de las
directivas de la administración: la
administración establece actividades
de control que están construidas
dentro de los procesos del negocio y
12. La organización despliega las las actividades del día a día de los
actividades de control a través empleados a través de políticas
de políticas que establecen las estableciendo lo que se espera y los
líneas generales del control procedimientos relevantes
interno y procedimientos que especificando acciones
llevan dichas políticas
Establece responsabilidad y
rendición de cuentas para ejecutar
las políticas y procedimientos: la
administración establece la
responsabilidad y rendición de
cuentas para las actividades de
25 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
control con la administración (u
otro personal asignado) de la unidad
de negocios o función en el cual los
riesgos relevantes
residen
Funciona oportunamente: el
personal responsable desarrolla las
actividades de control
oportunamente, como es definido
en las políticas y
procedimientos.
Toma acciones correctivas: el
personal responsable investiga y
actúa sobre temas identificados como
resultado de la ejecución
de actividades de control
Trabaja con personal competente:
personal competente con la
suficiente autoridad desarrolla
actividades de control con
diligencia y
continúa atención
Reevalúa políticas y
procedimientos: la administración
revisa periódicamente las
actividades de control para
determinar su continua relevancia,
y las
actualiza cuando es necesario
Identifica los requerimientos de
información: un proceso está en
ejecución para identificar la
información requerida y esperada
para apoyar el funcionamiento de
13. La organización obtiene o
los otros componentes del control
genera y utiliza información
Información y interno y el cumplimiento de los
relevante y de calidad para
comunicación objetivos de la entidad
apoyar el funcionamiento del
control interno
Captura fuentes internas y
externas de información: los
sistemas de información
capturan fuentes internas y
externas de información
26 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Procesa datos relevantes dentro de
la información: los sistemas de
información procesan datos
relevantes y los transforman en
información
Mantiene la calidad a través de
procesamiento: los sistemas de
información producen información
que es oportuna, actual, precisa,
completa, accesible, protegida,
verificable y retenida. La
información es revisada para evaluar
su relevancia en el soporte de los
componentes de control interno
Considera costos y beneficios: la

naturaleza, cantidad y precisión de la
información comunicada están
acorde con, y apoyan, el
Comunica la información de
control interno: un proceso está en
ejecución para comunicar la
información requerida para permitir
que todo el personal entienda y
lleve a cabo sus responsabilidades
de control
interno
Se comunica con la Junta directiva:
14. La organización comunica la existe comunicación entre la
información internamente, administración y la Junta Directiva;
incluidos los objetivos y por lo tanto, ambas partes tienen la
responsabilidades que son información necesaria para cumplir
necesarios para apoyar el con sus roles con respecto a los
funcionamiento del sistema de objetivos de la entidad
control interno
Proporciona líneas de comunicación
separadas: separa canales de
comunicación, como líneas directas
de denuncia de irregularidades, las
cuales sirven como mecanismos a
prueba de fallos para permitir la
comunicación anónima o
confidencial cuando los canales
27 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
normales son inoperantes o
ineficientes
Selecciona métodos de
comunicación relevantes: los
métodos de comunicación
consideran tiempo, público y la
naturaleza de la información
Se comunica con grupos de interés
externos: los procesos están en
funcionamiento para comunicar
información relevante y oportuna a
grupos de interés externos,
incluyendo accionistas, socios,
propietarios, reguladores, clientes,
analistas financieros y
demás partes externas
Permite comunicaciones de entrada:
canales de comunicación abiertos
permiten los aportes de clientes,
consumidores, proveedores, auditores
externos, reguladores, analistas
financieros, entre otros, y
proporcionan a la administración y
15. La organización se comunica
Junta Directiva
con los grupos de interés información relevante.
externos sobre los aspectos
clave que afectan al
Se comunica con la Junta Directiva:
funcionamiento del control
la información relevante resultante
interno
de evaluaciones conducidas por
partes externas es comunicada a
la Junta Directiva.
Proporciona líneas de comunicación

separadas: separa canales de
comunicación, como líneas directas
de denuncia de irregularidades, las
cuales sirven como mecanismos a
prueba de fallos para permitir la
comunicación anónima o
confidencial cuando los canales
normales son inoperantes o
ineficientes
Selecciona métodos de
28 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
comunicación relevantes: los
métodos de comunicación
consideran el tiempo, público, y la
naturaleza de la comunicación y los
requerimientos y expectativas
legales,
regulatorias y fiduciarias
Considera una combinación de
evaluaciones continuas e
independientes: la administración
incluye un balance de evaluaciones
continuas e independientes
Considera tasa de cambio: la

administración considera la tasa de
cambio en el negocio y los procesos
del negocio cuando selecciona y
desarrolla evaluaciones continuas e
independientes
Establece un punto de referencia

para el entendimiento: el diseño y
16. La organización selecciona,
estado actual del sistema de control
desarrolla y realiza evaluaciones
interno son usados para establecer
continuas y/o independientes
un punto de referencia para las
Actividades de para determinar si los
supervisión – componentes del sistema de
independientes
monitoreo control interno están presentes y
en funcionamiento
Uso de personal capacitado: los
evaluadores que desarrollan
independientes tienen suficiente
conocimiento para entender lo
que está siendo evaluado
Se integra con los procesos del
negocio: las evaluaciones continuas
son construidas dentro de los
procesos del negocio y se ajustan a
las condiciones
cambiantes
Ajusta el alcance y la frecuencia: la
administración cambia el alcance y
la frecuencia de las evaluaciones
independientes
dependiendo el riesgo
29 www.auditool.org
PUNTOS DE ENFOQUE -
ATRIBUTOS
Evalúa objetivamente: las
evaluaciones independientes son
desarrolladas periódicamente para
proporcionar una
retroalimentación objetiva
Evalúa resultados: la Administración

o la Junta Directiva, según
corresponda, evalúa los resultados
de las evaluaciones continuas e
17. La organización evalúa y
independientes
comunica las deficiencias de
control interno de forma
Comunica deficiencias: las
oportuna a las partes
deficiencias son comunicadas a las
responsables de aplicar medidas
partes responsables para tomar las
correctivas, incluyendo la alta
acciones correctivas y a la Alta
dirección y el consejo, según
Dirección y la Junta
corresponda
Directiva, según corresponda
Supervisa acciones correctivas: la
administración monitorea si las
deficiencias son corregidas
oportunamente
Entorno de control
Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de la

administración. El entorno de control es influenciado por factores tanto internos como externos,
tales como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y
regulatorio. Comprende las normas, procesos y estructuras que constituyen la base para
desarrollar el control interno de la organización. Este componente crea la disciplina que apoya la
evaluación del riesgo para el cumplimiento de los objetivos de la entidad, el rendimiento de las
actividades de control, uso de la información y sistemas de comunicación, y conducción de
actividades de supervisión.
Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos como la
estructura organizacional, la división del trabajo y asignación de responsabilidades, el estilo de
gerencia y el compromiso.
Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida
financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente tiene
una influencia muy relevante en los demás componentes del sistema de control interno, y se
convierte en el cimiento de los demás proporcionando disciplina y estructura.
30 www.auditool.org
Una organización que establece y mantiene un adecuado entorno de control es más fuerte a la
hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:
 Actitudes congruentes con su integridad y valores éticos.

 Procesos y conductas adecuados para la evaluación de conductas.
 Asignación adecuada de responsabilidades.
 Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la
consecución de los objetivos.
Por esta razón, el Entorno de control está compuesto por el comportamiento que se mantiene
dentro de la organización, e incluye aspectos como la integridad y los valores éticos de los
recursos humanos, la competencia profesional, la delegación de responsabilidades, el
compromiso con la excelencia y la transparencia, la atmosfera de confianza mutua, filosofía y
estilo de dirección, la estructura y plan organizacional, los reglamentos y manuales de
procedimientos, las políticas en materia de recursos humanos y el Comité de Control.
Principio 1: demuestra compromiso con la integridad y los valores éticos
El control debe basarse en la integridad y el compromiso ético de las directivas y accionistas,

quienes determinan la importancia del control interno y los estándares de conducta esperados
dentro de la organización. La Junta Directiva y la Administración en todos los niveles de la
entidad deben demostrar a través de sus instrucciones, acciones, y comportamientos la
importancia de la integridad y los valores éticos para apoyar el funcionamiento del Sistema de
Control Interno.
 Integridad y valores éticos: la Comisión Treadway establece que un clima ético

vigoroso dentro de la empresa y en todos sus niveles es esencial para el bienestar de la
organización, de todos los componentes y del público en general. Esto contribuye en forma
significativa a la eficacia de las políticas y los sistemas de control de las empresas, y
permite influir sobre los comportamientos que no están sujetos ni a los sistemas de control
más elaborados.
La dificultad de establecer valores éticos radica en la necesidad de atender intereses de las

distintas partes que pueden ser contrapuestos. Por esto es una tarea fundamental lograr
equilibrio entre los intereses de la dirección, los de la empresa, sus empleados, los
proveedores, clientes, competidores y el público. Algunas veces una determinación
inconsistente de los objetivos y metas en la misma organización dificulta lograr conductas
éticas, e incita a los individuos que trabajan en ella a cometer actos fraudulentos, ilegales y
no éticos. Por ejemplo, al poner énfasis en mostrar resultados a corto plazo, fomentando una
condición que el personal debe cumplir y que de no hacerlo pagará un costo, por ello para
defender sus propios intereses se ve tentado a hacerlo.
31 www.auditool.org
Por esta razón, se hace necesario no solo comunicar los valores éticos sino que deben darse
directrices específicas con respecto a lo que es correcto e incorrecto. El Consejo de
Administración y la Dirección deben demostrar la importancia de la integridad y los valores
éticos para el funcionamiento del Sistema de Control Interno. El personal tiende a
desarrollar las mismas actitudes de la alta gerencia; dar un buen ejemplo es esencial pero no
suficiente, por eso es necesario que la alta dirección comunique los valores éticos y las
normas de comportamiento a los empleados y las defina en estándares de conducta. Esto
permitirá establecer procesos de evaluación de la actuación de los empleados e implementar
los correctivos necesarios.
La importancia del Tono desde lo alto (tone at the top) a través de la organización es
fundamental para el funcionamiento apropiado del sistema de control interno. Sin un tono
desde lo alto para apoyar una cultura fuerte de control interno, y la conciencia de que el
riesgo puede ser indeterminado, las respuestas a los riesgos pueden ser inapropiadas, las
actividades de control pueden ser mal definidas o no llevadas a cabo, la información y la
comunicación pueden fallar, y la retroalimentación y comentarios de las actividades de
supervisión pueden no ser escuchados o tenidos en cuenta.
 Estándares de conducta: los estándares de conducta guían a la organización en

comportamientos, actividades y decisiones para la consecución de los objetivos. La
organización demuestra su compromiso con la integridad y los valores éticos aplicando
estándares de conducta, y cuestionándose continuamente, sobre todo cuando enfrenta
situaciones complicadas. La integridad y los valores éticos deben ser el centro de los
mensajes en todas las comunicaciones y capacitaciones de la entidad.
Los estándares de conducta de la organización deben ser regularmente comunicados, no solo

a los niveles de la organización, sino también a los proveedores de servicios externos.
Conductas inapropiadas de estos proveedores pueden reflejarse negativamente en la Alta
Dirección e impactar a la entidad hasta causar daño en los clientes o accionistas, o la
reputación misma de la entidad.
Es importante que existan canales de comunicación, ya sean formales o informales, para que
el personal pueda reportar las irregularidades que se presenten.
La falta de adherencia a los estándares de conducta se ve reflejada en situaciones como:
 Un tono desde lo alto que no lleva a cabo efectivamente las expectativas de

adherencia a los estándares.
 Una Junta Directiva que no proporciona una supervisión imparcial de la
adherencia a los estándares de la Alta Dirección.
 Alta descentralización sin una supervisión adecuada, dejando a la Alta Dirección
inconsciente de las decisiones tomadas en los niveles inferiores.
 Coacción de superiores, personal, y partes externas para evadir las reglas o
comprometerse en fraudes o comportamientos ilícitos.
32 www.auditool.org
 Metas de desempeño que crean incentivos o presiones que comprometen el
comportamiento ético.
 Canales inadecuados, por medio de los cuales los empleados no pueden expresar
preguntas y hechos.
 Fallas al direccionar los controles que no existen o son inefectivos, que
ocasionan un desempeño pobre.
 Procesos inadecuados de investigación y resolución de presuntas malas conductas.
 Función de auditoria interna pobre que no tienen la habilidad para detectar y
reportar conductas inapropiadas.
 Penalidades para conductas impropias que son aplicadas
inconsistentemente, y pierden así su valor disuasivo.
Para evitar dichas situaciones la administración debe realizar evaluaciones de la adherencia

individual y grupal a los estándares de conducta, y cumplir con los siguientes requisitos:
 Definir un conjunto de indicadores para identificar situaciones y tendencias

relacionadas con los estándares de conducta de la organización, incluyendo a los
proveedores de servicios externos. Estos indicadores deben ser revisados
periódicamente y ser redefinidos cuando sea necesario para determinar problemas a
tiempo.
 Establecer procedimientos de cumplimiento continuo y periódico para confirmar
que las expectativas y requerimientos están siendo cumplidos tanto interna
como externamente.
 Identificar, analizar y reportar problemas de conducta en el negocio y
tendencias a la Alta Dirección y Junta Directiva.
 Considerar la fuerza del liderazgo en la demostración de la integridad y los valores
éticos como un comportamiento evaluado en las revisiones del desempeño,
compensación y las decisiones de promoción.
 Completar la implementación de acciones correctivas para remediar los asuntos
de manera oportuna y consistente.
Principio 2: ejerce responsabilidad de supervisión
La Junta Directiva demuestra independencia de la administración y ejerce la supervisión del

desarrollo y desempeño del Control Interno. Además, entiende el negocio y expectativas de los
accionistas, clientes, empleados, inversionistas y demás partes, así como los requerimientos
legales y de regulación, y los riesgos relacionados. Estas expectativas y requerimientos
ayudan a determinar los objetivos de la organización, supervisar las responsabilidades de la
Junta Directiva, y administrar los recursos necesarios.
33 www.auditool.org
La Junta Directiva es responsable de supervisar y cuestionar objetivamente el trabajo de la
administración. Esta supervisión es apoyada por las estructuras y procesos establecidos en los
niveles de ejecución del negocio. De la misma manera, el Director Ejecutivo y la Alta Dirección
tienen la responsabilidad del desarrollo e implementación del sistema de control interno.
Dependiendo de las características de la organización estas responsabilidades son llevadas a cabo.
Para llevar a cabo sus funciones adecuadamente, la Junta Directiva debe cumplir con dos
requisitos indispensables, independencia y competencia profesional.
 Independencia y competencia profesional: es importante contar con personal

competente, que tenga una formación adecuada, de acuerdo con el cargo que ocupa y las
responsabilidades que tenga. El Área de Recursos Humanos debe especificar el nivel de
competencia requerido para las distintas tareas, así como la aptitud (conocimientos y
habilidades de cada persona), la cual interfiere en el criterio profesional al momento de
diseñar, implementar y desarrollar el control interno y evaluar su efectividad.
Una vez se realiza la contratación el profesional debe iniciar un proceso de capacitación y

enseñanza en forma práctica, teórica y metodológica, sobre su cargo, los valores
corporativos de la entidad y el plan estratégico. Esto permite un trabajo eficaz del sistema
de control interno debido a que se cuenta con profesionales competentes que comprenden
las metas y objetivos de la entidad.
La Junta Directiva es independiente de la Administración y debe demostrar habilidades y

experiencia relevante para llevar a cabo sus responsabilidades de supervisión. La
composición de la Junta Directiva se determina de acuerdo con la misión, valores y
objetivos de la entidad, así como las habilidades y experiencia para supervisar, indagar y
evaluar la alta Dirección apropiadamente. El número de miembros de la Junta Directiva se
determina de acuerdo con las características de la organización, facilitando así la crítica
constructiva, las discusiones y la toma de decisiones.
Los miembros de la Junta Directiva deben contar con las siguientes capacidades y
habilidades:
 Integridad y valores éticos.

 Liderazgo.
 Pensamiento crítico.
 Resolución de problemas.
 Disponibilidad para permitir la discusión y deliberación.
 Mentalidad de control interno: escepticismo profesional, enfoques para la
identificación y respuesta a riesgos, evaluación de la efectividad de control
interno.
 Conocimiento de la entidad y del mercado.
 Experiencia financiera y reporte financiero.
 Entendimiento de las leyes y regulaciones relevantes.
 Experiencia social y ambiental.
34 www.auditool.org
 Conocimiento de las compensaciones e incentivos del mercado.
 Entendimiento de los sistemas y cambios tecnológicos y oportunidades.
El siguiente cuadro presenta las responsabilidades de supervisión de la Junta Directiva en

relación con cada componente del Sistema de Control Interno:
Componente Actividades de supervisión de la Junta Directiva
 Supervisar la definición de los estándares de conducta y

evaluar su nivel de aplicación.
 Establecer las expectativas y evaluar la actuación, integridad
y valores éticos del Director Ejecutivo (CEO).
 Establecer una estructura y unos procesos de supervisión
alineados con los objetivos de la entidad.
Entorno de Control  Evaluar la revisión de la efectividad e identificar
oportunidades de mejoramiento.
 Ejercer responsabilidades fiduciarias para los
accionistas y demás propietarios.
 Realizar seguimiento de las mejoras identificadas y
solicitar información a la Alta Dirección sobre la
implementación de las mismas.
 Considerar factores externos e internos que puedan

suponer riesgos relevantes para la consecución de los
objetivos.
 Incentivar la evaluación de riesgos de la Administración para
el cumplimiento de los objetivos, incluyendo el impacto
Evaluación de
potencial de cambios significativos y fraude o corrupción.
Riesgos
 Valorar la proactividad de la organización para evaluar los
riesgos en relación con la innovación y los cambios relevantes
resultado de las nuevas tecnologías o
movimientos económicos y geopolíticos.
 Solicitar información a la Administración con respecto a la

selección, desarrollo y uso de las actividades de control en las
Actividades de áreas con mayor riesgo, y su corrección cuando sea necesario.
Control  Evaluar el desempeño de la Alta Dirección en relación con
las actividades de control.
 Comunicar la dirección y el tono desde lo alto.

 Obtener, revisar y discutir la información relacionada con
el cumplimiento de los objetivos de la entidad.
 Examinar la información recibida y presentar diferentes puntos
Información y
de vista.
Comunicación
 Revisar las revelaciones de las partes interesadas
externas para que cumplan con la exactitud e importancia.
 Promover la comunicación hacia la Dirección y
35 www.auditool.org
Componente Actividades de supervisión de la Junta Directiva
viceversa.
 Evaluar y supervisar la naturaleza y alcance de las
actividades de control, cualquier control manual de la
Administración, y la evaluación y remediación de
deficiencias.
Actividades de
 Interactuar con la Administración, auditores internos y
Supervisión y
externos, y demás, para evaluar el nivel de conciencia de las
Monitoreo
estrategias de la entidad, objetivos específicos, riesgos, e
implicaciones de control asociadas con el desarrollo del
negocio, la infraestructura, las regulaciones y demás factores.
Principio 3: establece estructura, autoridad, y responsabilidad
La Administración establece, con la supervisión de la Dirección, estructuras, líneas de reporte,

y niveles apropiados de autoridad y responsabilidad para la consecución de los objetivos.
Las entidades se estructuran a través de varias dimensiones: modelo operativo de la

administración, estructuras legales, subdivisiones, y proveedores de servicios externos. Cada
una de estas dimensiones proporciona una evaluación diferente del sistema de control interno,
lo que permite, a través de la propiedad y responsabilidad de cada nivel, que se desarrolle una
revisión y análisis multidimensional que puede identificar cualquier riesgo y tener un
conocimiento completo e integral del sistema de control interno.
Las estructuras de la organización evolucionan así como la naturaleza del negocio. Por esta
razón, la Administración debe revisar y evaluar continuamente la relevancia, efectividad y
eficacia de las estructuras como apoyo al sistema de control interno. Para cada estructura la
Administración debe diseñar y evaluar las líneas de reporte para que las responsabilidades sean
llevadas a cabo y la información fluya como es necesario. Además, es necesario verificar que no
existan conflictos de intereses inherentes a la ejecución de las responsabilidades, a través de la
organización y los proveedores de servicios externos.
Cuando se evalúan las estructuras se debe tener en cuenta:
 Naturaleza, tamaño y distribución geográfica del negocio de la entidad.

 Riesgos relacionados con los objetivos y procesos de negocio de la entidad.
 Naturaleza de la asignación de autoridad y responsabilidades a la cabeza, unidad operativa,
funcional y administración geográfica.
 Definición de líneas de reporte y canales de comunicación.
 Requerimientos de reporte financiero, de impuestos, regulatorios y demás, de
jurisdicciones pertinentes.
36 www.auditool.org
 Delegación de responsabilidades: todos los miembros de la entidad son responsables
del control interno. El director general o presidente ejecutivo es el primer responsable, debido
a que es quien fija las pautas a seguir, e influye en la integridad, la ética y los demás factores
para la consecución de un entorno de control favorable. El director designa al responsable de
cada función y establece las políticas y procedimientos de control interno específicos.
El personal debe conocer los objetivos de la entidad y cómo su función contribuye al logro
de los mismos; esto permite lograr un mayor compromiso.
 Filosofía y estilo de la dirección: los estilos gerenciales marcan el nivel de riesgo

empresarial y pueden afectar al sistema de control interno. Un planteo empresarial orientado
excesivamente al riesgo o no tomar en cuenta los aspectos de control son indicativos de
riesgo en el control interno. Una gerencia que sin dejar de afrontar riesgos toma en cuenta
todos los elementos necesarios para su seguimiento evitando riesgos inadecuados crea un
ambiente propicio para control interno en la organización.
Factores que hacen parte de la filosofía y estilo de la dirección son la actitud adoptada en la
presentación de la información financiera, la selección de las alternativas disponibles respecto
a los principios de contabilidad aplicables, la prudencia con que se obtienen las estimaciones
contables, y las actitudes hacia las funciones informáticas y contables.
 Estructura y plan organizacional: todo organismo debe desarrollar una estructura

organizacional que atienda al cumplimiento de su misión y sus objetivos, y esta debe estar
plasmada en algún tipo de herramienta gráfica. La estructura organizacional representada en
un organigrama constituye el marco formal de autoridad y responsabilidades, y define los
puestos de trabajo y las actividades a desempeñar con el fin de alcanzar los objetivos
definidos por la Alta Gerencia de la organización. Dichas actividades se presentan
clasificadas como de gestión, planificación o control.
Entre los aspectos más importantes a tener en cuenta al momento de establecer la estructura
organizativa está la definición de las áreas clave de autoridad y responsabilidad y el
establecimiento de vías adecuadas de comunicación. Además, esta estructura debe adecuarse
a sus necesidades.
37 www.auditool.org
El nivel de formalidad que alcanza la estructura organizativa definida es directamente
proporcional al tamaño de la organización. Conforme al crecimiento de las organizaciones ,
estas demandan una mayor especialización en los cargos, lo que conlleva a los niveles de
formalidad definidos. Existe una nueva tendencia a derivar autoridad hacia los niveles
inferiores, de manera que las decisiones quedan en manos de quienes están más cerca de las
operaciones, a modo de autogestión. Esto es posible debido a que los sistemas de control
interno han mejorado sustancialmente, y al surgimiento de programas de aplicación cuya
finalidad es el registro de datos transaccionales que facilitan así el control. Toda delegación
de actividades conlleva a la necesidad de que los jefes examinen y aprueben cuando
corresponda el trabajo de sus subordinados, y que ambos cumplan con la debida rendición de
cuentas de sus responsabilidades y tareas tanto en tiempo como en forma. También requiere
que todo el personal conozca, responda y entienda cómo su accionar repercute en el logro de
los objetivos generales.
 Comité de control: estos comités se encuentran con mayor frecuencia en organizaciones

con mayor tamaño. Su objetivo general es la vigilancia del adecuado funcionamiento del
sistema de control interno, y el mejoramiento continuo del mismo. Para su efectivo
desempeño debe integrarse adecuadamente, es decir, funcionar con miembros de capacidad y
trayectoria que tengan un elevado grado de conocimiento y experiencia que les permita
apoyar objetivamente a la Dirección mediante su guía y supervisión.
Principio 4: demuestra compromiso para la competencia
La organización demuestra compromiso para atraer, desarrollar y retener a profesionales

competentes en alineación con los objetivos. Las políticas y prácticas de la entidad representan
una guía de comportamiento que refleja las expectativas y requerimientos de los inversionistas,
reguladores, y demás accionistas. Estas permiten definir la competencia necesaria en la
organización, y proporcionan las bases para ejecutar y evaluar el desempeño así como la
determinación de acciones correctivas, cuando sea necesario.
La competencia hace referencia a la capacidad para llevar a cabo las responsabilidades

asignadas, y requiere de habilidades relevantes y pericia, las cuales se obtienen a lo largo de
una experiencia profesional, capacitación y certificaciones. Esta es expresada en las actitudes,
conocimiento y comportamiento de los individuos cuando llevan a cabo sus responsabilidades.
El Área de Recursos Humanos de la organización puede ayudar en la definición de la

competencia y niveles de personal para los puestos de trabajo, facilitando la capacitación y
evaluación de la relevancia e idoneidad del desarrollo profesional individual en relación con las
necesidades de la organización.
38 www.auditool.org
 Políticas y prácticas de los recursos humanos: el personal es el recurso más valioso
que posee cualquier organismo; por ende debe ser tratado y conducido de forma tal que se
consiga su mayor rendimiento. Debe procurarse su satisfacción y realización personal en el
trabajo que realiza, tendiendo a que este se enriquezca. Para lograr este objetivo la dirección
debe realizar diferentes actividades al momento de selección, capacitación, rotación y
promoción del personal. Así mismo, cuando se aplican sanciones disciplinarias.
Es importante que el personal este bien preparado para hacer frente a nuevos retos a medida
que las empresas se enfrentan a cambios y se hacen más complejas, debido a los rápidos
cambios que se producen en el mundo de la tecnología y al aumento de la competencia. La
instrucción y formación deben preparar al personal para desarrollar su trabajo eficazmente, lo
que al mismo tiempo permitirá que la entidad ponga en marcha iniciativas de calidad. Este
proceso debe ser continuo.
La Dirección asume su responsabilidad en los siguientes momentos:
 Selección: establece requisitos adecuados de conocimiento, experiencia e

integridad para las incorporaciones.
 Inducción: los nuevos empleados deben ser metódicamente familiarizados con las
costumbres y procedimientos de la organización.
 Capacitación: entrenamiento y capacitación adecuada para el correcto desempeño
de los empleados y el cumplimiento de sus responsabilidades.
 Rotación y promoción: promover una movilidad organizacional que represente el
reconocimiento y promoción de los empleados excelentes e innovadores.
 Sanción: adopción de medidas disciplinarias que transmitan con rigurosidad las normas
y políticas de la empresa y la no tolerancia a desvíos en el camino trazado.
La administración debe establecer las estructuras y procesos en todos los niveles de la organización, tales
como:
 Búsqueda de candidatos apropiados para la cultura de la entidad, el estilo operativo, y las

necesidades organizacionales, y quienes tengan la competencia para los cargos
propuestos.
 Permitir que los individuos desarrollen competencias apropiadas para los roles y
responsabilidades asignadas, refuerzo de estándares de conducta, niveles de competencia
esperados para una tarea específica, formación a medida basada en los roles y
necesidades, considerando diferentes técnicas como instrucción en salón de clases,
estudio autónomo y capacitación para el trabajo.
 Proporcionar dirección al desempeño individual hacia las expectativas de los estándares
de conducta y competencia, alinear las habilidades y experiencia individual a los
objetivos de la entidad, y ayudar al personal a adaptarse a un entorno en evolución.
 Medir el desempeño de los individuos en relación con el cumplimiento de los objetivos y
demostración de conductas esperadas, y en contraste con acuerdos de nivel de servicio u
otras normas acordadas para compensar a proveedores de servicios externos.
39 www.auditool.org
 Proporcionar incentivos para motivar y reforzar los niveles esperados de desempeño y
conducta deseada, incluyendo capacitación y acreditación según sea apropiado.
A través de estos procesos, cualquier comportamiento inconsistente con los estándares de

conducta, políticas y prácticas, y responsabilidades de control interno, es identificado,
evaluado y corregido de manera oportuna, o dirigido a los niveles correspondientes en la
organización.
Principio 5: hace cumplir con las responsabilidades
La organización mantiene individuos relevantes en las responsabilidades de su control interno

para la consecución de los objetivos. El Director Ejecutivo y la Alta Dirección son responsables
del diseño, implementación, aplicación y evaluación continua de las estructuras, autoridades y
responsabilidades necesarias para establecer la responsabilidad de las acciones para control
interno en todos los niveles de la organización. Dicha responsabilidad (accountability) hace
referencia a la propiedad delegada del desempeño de control interno en la consecución de los
objetivos considerando los riesgos que enfrenta la entidad, y es demostrada en cada forma de
estructura organizacional usada por la entidad.
Además, la responsabilidad envuelve el liderazgo, el cual contribuye a que las

responsabilidades de control interno sean entendidas, llevadas a cabo y continuamente
fortalecidas a través de la entidad; y soportadas por el compromiso con la integridad y los
valores éticos, la competencia, la estructura, los procesos y la tecnología, factores que
influyen en la cultura de control de la organización.
La Administración y la Junta Directiva deben establecer medidas de desempeño, incentivos y

otras compensaciones apropiadas para las responsabilidades en todos los niveles de la
entidad, considerando el cumplimiento de los objetivos tanto a corto como a largo plazo. Para
lograr esto, se deben establecer medidas de desempeño cualitativas y cuantitativas para
recompensar el éxito y la disciplina en los comportamientos cuando sea necesario en línea con
el rango de los objetivos.
Las medidas de desempeño, incentivos y compensaciones apoyan un sistema efectivo de

control interno siempre y cuando estén adaptados a los objetivos de la entidad y a la evolución
dinámica, cuando sea necesario. La siguiente tabla presenta medidas clave de éxito y
consideraciones para motivar, mediar y compensar un alto rendimiento.
40 www.auditool.org
Medidas de Consideraciones
éxito
 Considerar todos los niveles del personal para apoyar el
cumplimiento de los objetivos de la entidad.
 Considerar las múltiples dimensiones de las conductas y los
Objetivos claros
rendimientos esperados de la organización, proveedores de servicios
externos, y socios; y definir los objetivos e
incentivos y presiones relacionados.
 Comunicar y reafirmar los objetivos de la entidad y cómo se
espera que cada área y nivel de la organización apoye el
cumplimiento de los objetivos.
Implicaciones
 Identificar y discutir eventos que el mercado ha premiado o
definidas
penalizado en el pasado.
 Comunicar las consecuencias del incumplimiento de los
objetivos específicos de la entidad.
 Definir métricas para transformar los datos desiguales en
información significativa en el rendimiento.
Métricas  Medir la conducta esperada frente a la real y el impacto de las
significativas desviaciones, tanto positivo como negativo.
 Evaluar el impacto esperado sobre los objetivos de la
entidad.
 Ajustar regularmente las medidas de desempeño basadas en una
Ajuste a los evaluación sistemática y continua del impacto potencial de los
cambios riesgos, de cómo estos evolucionan, así como la cuantificación
de las compensaciones asociadas.
Los incentivos motivan a la administración y demás personal a tener un buen rendimiento en sus
funciones. Regularmente, se usan el aumento de salario o la entrega de bonos, pero las
compensaciones no monetarias también son incentivos efectivos. Es importante que la
administración supervise constantemente estas compensaciones para que no se generen
conductas inapropiadas, sino que por el contrario promuevan una cultura de responsabilidad,
cumplimiento y competencia.
Evaluación de riesgos
Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la
organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno
como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes
sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte
y una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que
no se cumplan los objetivos de la organización. De esta manera, la organización debe prever,
conocer y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los
identifiquen, analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la
base para determinar cómo se gestionaran los riesgos.
41 www.auditool.org
Principio 6: especifica objetivos relevantes
La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados con los objetivos. Antes de llevar a cabo la evaluación
de riesgos, se deben establecer los objetivos asociados con los diferentes niveles de la
entidad, los objetivos operativos, de información/Reporting y de cumplimiento, los cuales
deben ser consistentes con la misión de la entidad.
Para determinar si los objetivos son pertinentes, la administración debe considerar los
siguientes aspectos:
 Alineación de los objetivos establecidos con las prioridades estratégicas.

 Articulación de la tolerancia al riesgo para los objetivos.
 Alineación entre los objetivos establecidos y las leyes, reglas, regulaciones y
estándares aplicables a la entidad.
 Articulación de los objetivos en términos que sean específicos, medibles u
observables, asequibles, relevantes y temporales.
 Objetivos en cascada a través de la organización y sus subdivisiones.
 Alineación de los objetivos con otras circunstancias que requieran especial atención de la
entidad.
 Confirmación de la pertinencia de los objetivos dentro del proceso de establecimiento de los
objetivos antes de que estos sean usados como base para la evaluación de los riesgos.
Algunos factores que influyen en la evaluación de los riesgos son:
 Políticas y procedimientos.
 Aprobaciones y autorizaciones.
 Conciliaciones y verificaciones.
 Seguridad de activos.
 Segregación de funciones.
 Identificación de eventos.
 Valoración de riesgos.
 Respuesta al riesgo.
Principio 7: identifica y analiza los riesgos
La organización identifica los riesgos para la consecución de sus objetivos a través de la entidad
y analiza los riesgos como base para determinar cómo se deben gestionar. La administración
debe considerar los riesgos en todos los niveles de la organización y tomar las acciones
necesarias para responder a estos. En este proceso se consideran los factores que influyen como
la severidad, velocidad y persistencia del riesgo, la probabilidad de perdida de activos y el
impacto relacionado sobre las actividades de operativas, de reporte y cumplimiento. Así mismo la
entidad necesita entender su tolerancia al riesgo y su habilidad para funcionar y operar dentro de
estos niveles de riesgo.
42 www.auditool.org
El proceso de identificación de riesgos debe ser integral y completo y considerar todas las
interacciones significativas de bienes, servicios e información, internamente y entre la entidad y
sus principales socios y proveedores de servicios externos.
Velocidad del Riesgo
Identificació n de RiesgosAná lisis de Riesgos Respuestas a los Riesgos
Persistencia del Riesgo
Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto internos
como externos. Una vez identificados estos factores se puede considerar su relevancia e
importancia, y si es posible relacionarlos con riesgos y actividades específicas.
 Riesgos externos: desarrollos tecnológicos que en caso de no adoptarse provocarían

obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda,
condiciones macroeconómicas tanto a nivel internacional como nacional, condiciones
microeconómicas, competencia elevada con otras organizaciones, dificultad para obtener
crédito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la
organización, y reglamentos y legislación que afecten negativamente a la organización.
 Riesgos económicos: cambios que pueden impactar las finanzas, la

disponibilidad de capital, y barreras al acceso competitivo.
 Ambiente natural: catástrofes naturales o causadas por el ser humano, o cambios
climáticos que puedan generar cambios en las operaciones, reducción en la
disponibilidad de materia prima, perdida de sistemas de información, resaltando
la necesidad de planes de contingencia.
 Factores regulatorios: nuevos estándares, regulaciones y leyes que impliquen
cambios en las políticas y estrategias operativas y de reporte de la entidad.
 Operaciones extranjeras: cambios en el gobierno o leyes de países
extranjeros que afecten a la entidad.
 Factores sociales: cambios en las necesidades y expectativas de los clientes que
puedan afectar el desarrollo de los productos, procesos de producción, servicio
al cliente, precios o garantías.
 Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y uso de la
información, costos de infraestructura y la demanda de los servicios basados en la
tecnología.
43 www.auditool.org
 Riesgos internos: riesgos referentes a la información financiera, a sistemas de
información defectuosos, a pocos o cuestionables valores éticos del personal, a problemas
con las aptitudes, actitudes y comportamiento del personal.
 Infraestructura: decisiones sobre el uso de recursos de capital que pueden afectar las
operaciones y la disponibilidad de la infraestructura.
 Estructura de la administración: cambios en las responsabilidades de la
administración que puedan afectar los controles que se llevan a cabo en la
organización.
 Personal: calidad del personal contratado y los métodos de capacitación y
motivación que puedan influir en el nivel de control de conciencia dentro de la
entidad, y vencimiento de contratos que puedan afectar la disponibilidad de
personal.
 Acceso a los activos: naturaleza de las actividades de la entidad y acceso de
empleados a los activos, que puedan contribuir a la malversación de activos.
 Tecnología: alteraciones en los sistemas de información que puedan afectar los
procesos de la entidad.
Los riesgos deben ser claramente identificados y esto se realiza mediante un mapeo de riesgos
que incluye la especificación de los procesos claves de la organización, la identificación de los
objetivos generales y particulares, y las amenazas y riesgos que pueden impedir que estos se
cumplan. También es necesario llevar a cabo una evaluación de riesgos a nivel de transacciones,
lo que permite tener un nivel aceptable de riesgo en la entidad.
Después de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a cabo
el análisis de riesgos. Este proceso debe incluir la evaluación de la probabilidad de que ocurra un
riesgo, el impacto que causaría y la importancia del riesgo. Es importante estimar la probabilidad
de ocurrencia de los riesgos identificados con el fin de calcular posibles pérdidas. Esta
estimación comprende tres variables; probabilidad, impacto y velocidad; con estas
consideraciones se puede construir una matriz de riesgos para determinar los riesgos prioritarios.
La importancia de cada riesgo en su control interno se basa en la probabilidad de manifestación y

en el impacto que puede causar en la organización. La velocidad del riesgo se refiere a la
rapidez con la que el impacto se evidenciará en la entidad. El impacto se refiere a la pérdida de
activos y de tiempo, la disminución de la eficiencia y eficacia de las actividades, los efectos
negativos en los recursos humanos, y la alteración de la exactitud de la información de la
organización, entre otras. El impacto debe estar expresado en una única unidad que puede ser
monetaria.
El riesgo comprende barreras que se imponen a la organización en su crecimiento o inclusive

para su supervivencia. Eliminar completamente el riesgo es una situación hipotética, porque los
factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin
embargo, existen muchas acciones para reducir el riesgo de que la organización sea afectada.
Una de estas es la implementación de un adecuado sistema de control interno.
44 www.auditool.org
Debido a que las condiciones económicas, industriales, legislativas y operativas cambian
constantemente, es necesario disponer de mecanismos para identificar y afrontar los riesgos
asociados. En una organización no existe forma de reducir los riesgos a cero. Debido a esto se
pueden distinguir dos tipos de riesgos: riesgos inherentes y el riesgo residual. El riesgo inherente
es el riesgo para el cumplimiento de los objetivos de la entidad en la ausencia de las acciones de
la administración para modificar su probabilidad o impacto; y el riesgo residual es el que
permanece después de que la administración lleva a cabo sus respuestas a los riesgos.
Finalmente, luego de evaluar los riesgos significativos, la administración debe considerar cómo
van a ser manejados. Esto implica el uso del juicio y un análisis razonable de costos asociados
con la reducción de los niveles de riesgo. Las respuestas a los riesgos se organizan en las
siguientes categorías:
Categoría Descripción
Ninguna acción es tomada para modificar la probabilidad o impacto del
Aceptación
riesgo
Anulación Salida de actividades que dan lugar a riesgos
Acciones tomadas para reducir la probabilidad o impacto del
Reducción
riesgo
Reducir la probabilidad o impacto del riesgo, transfiriéndolo o
Compartir
compartiendo una parte del riesgo
Tolerancia al riesgo
La tolerancia al riesgo se refiere al nivel aceptable de variación en el desempeño relativo al

cumplimiento de los objetivos. Es decir, la cantidad máxima de un riesgo que una
organización puede aceptar para lograr los objetivos. Funcionar y operar dentro de la
tolerancia al riesgo le proporciona a la administración la seguridad del cumplimiento de los
objetivos de la entidad.
Principio 8: Evalúa el riesgo de fraude
La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de

los objetivos. La administración debe considerar los posibles actos de corrupción, ya sean del
personal de la entidad o de los proveedores de servicios externos, que afectan directamente el
cumplimiento de los objetivos.
El Marco Integrado de Control Interno establece la necesidad de considerar el riesgo de fraude

potencial que pueda afectar la consecución de los objetivos de la organización. Por lo tanto, se
definen varios tipos de fraude, enfatizando así el análisis y gestión del fraude.
 Reporting fraudulento.
 Custodia de activos.
 Corrupción.
45 www.auditool.org
El reporte fraudulento se presenta cuando los estados financieros son preparados
inadecuadamente con omisiones y declaraciones erróneas y falsas. Esto sucede por diferentes
irregularidades que pueden presentarse en la entidad. El Sistema de Control Interno debe
prevenir o detectar oportunamente cualquier omisión o información errónea en los estados
financieros por fraude o error.
La evaluación de riesgos debe considerar el riesgo potencial de fraude en las siguientes áreas:
 Reporte financiero fraudulento.

 Reporte no financiero fraudulento.
 Malversación de activos.
 Actos ilegales.
Como parte del proceso de valoración de riesgos, la organización debe identificar las diversas
maneras como puede ocurrir la presentación fraudulenta de reportes, considerando:
 El sesgo de la Administración.
 Grado de estimados y juicios en la presentación de reportes externos.
 Esquemas de fraude y escenarios comunes para los sectores de industria y los mercados
en los cuales la entidad opera.
 Regiones geográficas donde la entidad hace negocios.
 Incentivos que pueden motivar el comportamiento fraudulento.
 Naturaleza de la tecnología y capacidad de la administración para manipular la
información.
 Transacciones inusuales o complejas sujetas a influencia importante de la
administración.
 Vulnerabilidad ante la incapacidad de la Administración para evitar controles y
esquemas potenciales para eludir las actividades de control existentes.
La custodia de activos se refiere a la protección de la entidad contra la adquisición, uso y

disposición sin autorización o engañosa de los activos para el beneficio de un individuo o
grupo, y que puede estar relacionado con mercados ilegales, robo de activos y propiedad
intelectual, transacciones tardías y lavado de dinero.
Los riesgos de corrupción pueden afectar los objetivos de cumplimiento y el entorno de control.
El análisis de estos riesgos debe considerar los incentivos y presiones para alcanzar los objetivos
de la entidad. La Administración debe estipular los niveles esperados de desempeño y estándares
de conducta a través contratos y desarrollo de actividades de control que supervisen las acciones
de las terceras partes.
Factores que intervienen en el Riesgo de fraude:
 Incentivos y presiones.
 Oportunidad.
 Actitudes y justificaciones.
46 www.auditool.org
Principio 9: identifica y analiza cambios importantes
La organización identifica y evalúa cambios que podrían impactar significativamente el Sistema

de Control Interno. Este proceso se desarrolla paralelamente a la evaluación de riesgos y
requiere que se establezcan controles para identificar y comunicar los cambios que puedan
afectar los objetivos de la entidad:
 Cambios en el ambiente externo.

 Cambios físicos del ambiente.
 Cambios en el modelo del negocio.
 Adquisiciones y ventas de activos significativas.
 Operaciones extranjeras.
 Crecimiento rápido.
 Nuevas tecnologías.
 Cambios significativos de personal.
Actividades de control
En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a que
las normas de la organización se ejecuten con una seguridad razonable para enfrentar de forma
eficaz los riesgos. Las actividades de control se definen como las acciones establecidas a través
de las políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las
instrucciones de la dirección para mitigar los riesgos con impacto potencial en los objetivos.
Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas
de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para
asegurar el cumplimiento de los objetivos. Según su naturaleza pueden ser preventivas o de
detección y pueden abarcar una amplia gama de actividades manuales y automatizadas. Las
actividades de control conforman una parte fundamental de los elementos de control interno.
Estas actividades están orientadas a minimizar los riesgos que dificultan la realización de los
objetivos generales de la organización. Cada control que se realice debe estar de acuerdo con el
riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos como lo es
tomar riesgos excesivos. Estos controles permiten:
 Prevenir la ocurrencia de riesgos innecesarios.

 Minimizar el impacto de las consecuencias de los mismos.
 Restablecer el sistema en el menor tiempo posible.
En todos los niveles de la organización existen responsabilidades en las actividades de control,

debido a esto es necesario que todo el personal dentro de la organización conozca cuáles son
las tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las funciones de
control que le corresponden a cada individuo.
47 www.auditool.org
Principio 10: selecciona y desarrolla actividades de control
La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación

de riesgos hasta niveles aceptables para la consecución de los objetivos. Las actividades de
control apoyan todos los componentes del Sistema de Control Interno, particularmente el
componente de Evaluación de Riesgos. Durante la evaluación de los riesgos la administración
identifica e implementa acciones necesarias para llevar a cabo las respuestas a los riesgos, y
asegurar que dichas respuestas son apropiadas y oportunas.
Los factores específicos de cada entidad influyen en las actividades de control necesarias para
apoyar el Sistema de Control Interno. Algunos son:
 El ambiente y la complejidad de la entidad, y la naturaleza y alcance de sus

operaciones.
 El alcance y la naturaleza de las respuestas a los riesgos y las actividades de control
de entidades multinacionales.
 Sistemas de información más sofisticados.
 Estructuras de las entidades.
Tipos de actividades de control
Los controles se pueden agrupar en tres categorías dependiendo del objetivo de la entidad con
las que se relacione: las operaciones, la confiabilidad de la información financiera, y el
cumplimiento de las leyes y reglamentos. Algunos controles se relacionan solamente con un área
específica dentro de la organización, pero frecuentemente las tareas de control definidas para un
objetivo específico pueden utilizarse para lograr el cumplimiento de otros objetivos. Dentro de
estas categorías se pueden distinguir otros tipos de control: preventivos, de detección y
correctivos; manuales, automatizados o informatizados; gerenciales y operativos.
Los controles preventivos son diseñados para evitar eventos no deseados, mientras que los
controles de detección son diseñados para identificar y descubrir eventos no deseados después
de que han ocurrido.
La dirección debe realizar un seguimiento de todos los procesos de la entidad para determinar en
qué medida se están alcanzando los objetivos. Una correcta toma de decisiones viene dada por la
obtención de la correcta información en el momento en que se necesita. Para esto se debe
verificar la confiabilidad de la información. Algunas herramientas útiles en esta actividad son:
comparación de los datos con los históricos referidos a los mismos periodos, análisis de la
información real contra la información pronosticada, cruzamiento de fuentes de información,
seguimiento de campañas comerciales, programas de mejoramiento de productos, entre otras.
48 www.auditool.org
Algunos tipos de actividades de control son:
 Autorizaciones y aprobaciones: las autorizaciones confirman que una transacción es

válida, y se convierten en aprobaciones a nivel de la administración. Las transacciones y tareas
más relevantes para la organización solo deben ser autorizadas y ejecutadas por personal al
que se le asignó la responsabilidad dentro de sus competencias. Esta es la forma más
conocida para asegurar que solo se llevan a cabo tareas y transacciones que tienen el apoyo de
la dirección de la organización. Las autorizaciones deben documentarse y comunicarse
debidamente a las personas o áreas autorizadas, quienes deberán ejecutar las tareas asignadas
que se les explícito dentro del ámbito de las competencias establecidas dentro de la
organización.
 Verificaciones: las verificaciones comprenden comparaciones de dos o más ítems, para

constatar que se cumplan las políticas y regulaciones pertinentes.
 Gestión directa de funciones por actividades: los responsables de las diversas

funciones o actividades en la entidad deben revisar los informes sobre resultados
alcanzados.
 Proceso de información: se debe realizar una serie de controles para comprobar la

exactitud, totalidad y autorización de las transacciones. Así mismo, se debe controlar el
desarrollo de nuevos sistemas y la modificación de los existentes, al igual que el acceso a
los datos, archivos, y programas.
 Controles físicos: los equipos, inversiones financieras, tesorería, y demás activos, son
objeto de protección y supervisión constante para comparar los recuentos físicos con las
cifras que aparezcan en los registros de control.
 Controles sobre la información de inicio: la información de inicio es usada para

apoyar el proceso de transacciones dentro de los procesos del negocio. La organización lleva
a cabo actividades de control sobre los procesos de ingreso de datos, actualización y
mantenimiento de la precisión, totalidad y validez de los datos.
 Indicadores de rendimiento: el análisis de diferentes datos operativos o financieros

junto con la puesta en marcha de acciones correctivas, constituyen actividades de control.
Los métodos de medición de desempeño deben estar presentes en toda organización. El
resultado de la evaluación de estos indicadores se utiliza para tomar medidas correctivas en
las actividades y, de esta manera, mejorar el rendimiento. Este mecanismo contribuye al
sustento de las decisiones, así que los indicadores de rendimiento no deben ser muy
numerosos ni tampoco tan escasos. Esto se logra analizando el sistema de indicadores que se
ajuste a las características de la entidad, tales como el tamaño, producción, nivel de
competencia de los empleados, y demás elementos que diferencien a la organización. El
sistema debe tener indicadores cuantitativos para montos presupuestarios, y cualitativos para
el nivel de satisfacción de los usuarios.
49 www.auditool.org
 Segregación de funciones: es uno de los controles internos más importantes y
efectivos. Todas las actividades de autorizar, ejecutar, registrar y comprobar una transacción
deben ser claramente segregadas y diferenciadas. La segregación de responsabilidades es
fundamental para mitigar el riesgo de fraude, debido a que lo reduce a niveles aceptables.
 Documentación: todas las transacciones, hechos significativos y la estructura de control

interno deben estar correctamente documentados y disponibles para su revisión. La
información referente a control interno debe estar consignada en las políticas de la
organización y en los manuales de procedimientos, incluyendo objetivos, estructura y
procedimientos de control interno.
 Registro oportuno y adecuado de las transacciones y hechos: se deben

registrar y clasificar debidamente los hechos y transacciones que afectan a la organización.
Este registro se debe realizar al momento de ocurrencia de los hechos para garantizar su
relevancia y utilidad para la toma de decisiones. Asimismo, se deben clasificar
debidamente para ser presentados en informes y/o estados financieros contables a los
directivos y gerentes.
 Acceso restringido a los recursos, activos y registros: los accesos deben estar
protegidos por mecanismos de seguridad y limitados a las personas autorizadas. Estas
personas tienen la responsabilidad sobre los mismos accesos. Todo activo de valor para la
organización debe asignarse a un responsable para su custodia y, además, debe contar con las
protecciones adecuadas, como seguros, almacenaje, sistemas de alarma, etc. Deben estar
debidamente registrados y periódicamente se deben verificar las existencias físicas y registros
contables para controlar su coincidencia. Estos mecanismos de protección cuestan tiempo y
dinero, por lo que se deben analizar cuidadosamente los riesgos que puedan afectar los activos
de la organización, como robo, mal uso, destrucción, y realizar una comparación con los costos
del control que se quiera implementar.
 Rotación del personal en las tareas claves: la idea es que ningún empleado tenga
la posibilidad de cometer algún tipo de irregularidad por un tiempo prolongado al realizar
su tarea. Para esto, los empleados deben rotar periódicamente con otros empleados dentro
de la organización, mecanismo que muchas veces no se utiliza.
 Función de auditoría interna independiente: esta función de auditoría interna depende

de sus autoridades, y las funciones y actividades que se realizan en dichas auditorías deben
ser independientes de las operaciones que se analizan. Es una forma certera y efectiva para la
gerencia de estar informada sobre el funcionamiento y confiabilidad de los sistemas de
control interno que posee la organización. De esta manera, al ser la auditoría interna
independiente, puede realizar su cometido con total libertad realizando inspecciones,
verificaciones y pruebas que considere necesarias, debido a que las actividades que realiza
están desligadas de las operaciones que analiza.
50 www.auditool.org
La auditoría interna hace las veces de un representante de la autoridad superior en cuanto a
vigilar el adecuado funcionamiento del sistema, informando de forma oportuna de las
ocurrencias de cualquier situación indeseada.
 Autoevaluación de controles basada en los modelos: metodología desarrollada por

la auditoria interna del Banco de Canadá, también conocida como autoevaluación de control
o evaluación dinámica de control (Dynamic control assesment). Se basa y está implícita en
las teorías modernas de control interno. En la estructura de los modelos COSO y Criteria of
Control Board (COCO), se definen los componentes que estructuran el marco integrado de
control y están involucrados en sus tareas el personal jerárquico de toda la organización, y
todas las actividades del negocio, para evaluar los controles que apoyan el logro de los
objetivos predefinidos. Si esta metodología se aplica correctamente produce una mejora
sustancial en el rendimiento y eficiencia de la organización, proporcionando mayores
resultados con menos recursos. Además, permite establecer los mecanismos para el análisis de
los controles formales e informales.
 Evaluación de los controles informales: en primera medida es necesario identificar los

controles informales dentro del ambiente de control y los controles formales en los cuatro
componentes restantes del marco de control interno: evaluación de riesgo, actividades de
control, información y comunicación, y supervisión. Para esto el personal de auditoría
interna debe desarrollar talleres con el personal de actividades operativas, sin la participación
del nivel gerencial de la organización y tratar temas sobre unidades de trabajo o funciones
específicas. La gerencia debe definir los objetivos de trabajo más importantes, así como los
controles necesarios para apoyar a su realización. A partir del análisis desarrollado se
determinan las fortalezas y debilidades de los procesos de trabajo y se comenta cómo
afectan a la consecución de los objetivos propuestos por la empresa. En este proceso se
utilizan plantillas para evaluación de riesgos de auditoria y fijación de prioridades, previstas
en el modelo COSO. En los talleres se evalúan los controles formales e informales,
utilizando el mismo criterio en cada taller para facilitar la acumulación y comparaciones en el
ámbito de toda la organización. Los participantes votan para definir la importancia de cada
aspecto, y para evaluar la eficacia Este procedimiento se automatiza para proporcionar los
resultados de los talleres, los cuales son posteriormente analizados.
 Evaluación de controles formales: este método analiza las actividades de control que
se relacionan con los objetivos específicos de los trabajos que se realizan en cada área de la
organización. En una reunión se definen los controles específicos, y a la vez se identifican y
agrupan en cuatro componentes de control: evaluación de riesgos, actividades de control,
información y comunicación, monitoreo o supervisión. Además, se discute sobre la
importancia de los controles propuestos a fin de que ayuden a concretar los objetivos. En los
talleres la discusión se realiza en relación con las actividades de control dentro de los
componentes, y la votación se realiza para definir la importancia y eficacia de dichas
actividades.
51 www.auditool.org
 Informe de resultados: los reportes sobre las calificaciones y evaluaciones realizadas, con
base en los resultados de los talleres, constituyen la base para el análisis que realiza la
Gerencia junto con el Departamento de Auditoría Interna, cuyo resultado incluye las áreas o
acciones a tomar que consideren necesarias para mejorar la gestión. Las gerencias de cada
departamento reciben un informe detallado de la autoevaluación de control, el cual brinda
una visión general de los controles formales e informales, y también reciben un reporte del
perfil de confianza, el cual contrasta la evaluación de los controles de cada componente con
el nivel general de la totalidad de toda la organización. Este proceso permite obtener
información valiosa sobre los controles potenciales a implementar. La auditoría adquiere un
conocimiento integral de las operaciones de la organización y para efectos de revisiones
posteriores ayuda a identificar las prioridades en el proceso de planeación de las actividades
que se requieran.
 Controles de aplicación: estos controles están diseñados para controlar el funcionamiento

de las aplicaciones. Permiten asegurar la totalidad y exactitud en el proceso de transacciones,
su autorización y su validez. Son diseñados principalmente para evitar que se ingresen en el
sistema datos erróneos, es decir, son controles preventivos. También pueden ser eficaces para
detectar y corregir errores que fueron ingresados al sistema con anterioridad Están dirigidos
al registro de transacciones, la actualización de datos aceptados y el seguimiento de los
rechazados, la actualización de archivos, los controles de acceso a los registros, la
documentación técnica y del usuario actualizado, el resguardo de los archivos, la
administración del sistema, y las interfaces con otros sistemas. Estos controles de aplicación
tienen en cuenta:
 Totalidad: todas las transacciones son registradas.

 Exactitud y precisión: las transacciones son registradas con las cantidades
correctas y en las cuentas adecuadas en cada fase del proceso.
 Validez: implementación de actividades de control que incluyan la autorización de
transacciones de acuerdo con las políticas y procedimientos de la organización.
Principio 11: selecciona y desarrolla controles generales sobre tecnología
La organización selecciona y desarrolla actividades de control general sobre la tecnología para

apoyar el cumplimiento de los objetivos. Las actividades de control y la tecnología se relacionan
de dos formas:
 La tecnología apoya los procesos del negocio: cuando la tecnología está integrada
en los procesos del negocio, se necesitan actividades de control para mitigar el
riesgo de un funcionamiento inadecuado.
 La tecnología se utiliza para automatizar las actividades de control: muchas
actividades de control de una organización están parcial o completamente
automatizadas.
52 www.auditool.org
 Control del sistema de información: para asegurar el correcto funcionamiento y la
confiabilidad del procesamiento de transacciones el sistema de información debe ser
controlado debidamente. Los sistemas de información deben contar con mecanismos de
seguridad que alcancen a las entradas, los procesos, el almacenamiento y las salidas, con una
flexibilidad que permita cambios o modificaciones cuando sea necesario. El sistema debe dar
apoyo y controlar todas las actividades de la organización, así como registrar y supervisar las
actividades y eventos que ocurran, además de mantener registros financieros.
Las actividades de control en los sistemas de información pueden agruparse en dos

categorías:
 Controles generales: incluyen las actividades de control sobre la infraestructura

tecnológica, la seguridad de la administración y la adquisición, el desarrollo y
mantenimiento de los sistemas de información y de herramientas tecnológicas. Estas
actividades se aplican en todos los aspectos relacionados con la tecnología: sobre las
operaciones del centro de procesamiento de datos, la adquisición y mantenimiento de
software, el control de acceso y el desarrollo y mantenimiento de aplicaciones. Incluyen
las medidas y procedimientos manuales que permiten garantizar el funcionamiento
continuo y correcto del sistema de información.
La tecnología requiere de una infraestructura para operar, establecer redes de

comunicación, desarrollo de aplicaciones, y demás elementos que puede ser complejos
dependiendo de las características de la organización. Esta puede ser compartida por las
unidades de la entidad, o contratada a proveedores de servicios externos. Dichas
características pueden generar riesgos que deben ser entendidos y manejados por la
entidad.
Los procesos de seguridad de la administración incluyen las actividades de control para

vigilar el acceso a la infraestructura tecnológica de la organización, previniendo así
accesos y usos no autorizados o inapropiados. Además, tienen en cuenta las amenazas
tanto internas como externas que pueden afectar a la infraestructura tecnológica.
La adquisición, desarrollo y mantenimiento de tecnologías son soportados por los

controles generales de tecnología. Estos supervisan los cambios, autorizaciones, uso de
licencias, y aprobaciones, con el fin de asegurar un adecuado uso de las tecnologías y
sistemas de información. Algunos controles generales son:
 Controles sobre las operaciones del centro de procesamiento de datos: este control está
relacionado con la estructura del centro de procesamiento de datos, determinando
responsable del sector, separación de funciones, niveles de autorización. Las normas
COBIT, complementarias de las COSO, aconsejan la existencia de un comité de
sistemas y controles gerenciales sobre el área de procesamiento de datos.
53 www.auditool.org
El área de sistemas debe estar definida como un sector autónomo que no supervisa ni
es supervisado por ninguna de las áreas usuarias.
 Normativas y procedimientos: pautas o instrucciones básicas expresen las buenas

prácticas que son deseables dentro del ambiente de sistemas. Estas normas y
procedimientos se refieren al desarrollo y mantenimiento de programas, pruebas de
programas, pasajes de programas a producción y documentación de sistemas.
 Normas sobre continuidad del procesamiento: estas normas preservan a la
organización ante un posible colapso de los sistemas de información. Controles que
están dirigidos al análisis de criticidad de los procesos, biblioteca de operaciones,
back up de archivos, plan de contingencias, creación y mantenimiento, capacitación,
entrenamiento y pruebas.
 Proveedores externos: se deben implementar en la organización los mecanismos
necesarios para el control de las aplicaciones que puedan llegar a adquirirse a
proveedores externos. Para esto se debe tener en cuenta: contrataciones formales,
disposición de programas fuentes, documentación de desarrollo del sistema, acceso
irrestricto a sistemas, datos y documentación.
 Controles sobre la seguridad física: se deben establecer restricciones a la utilización
del sistema por personas no autorizadas, así como la creación y mantenimiento de
condiciones ambientales adecuadas que ayuden al funcionamiento de los medios en
que se procesa la información. Para esto se debe tener en cuenta: acceso restringido al
área de procesamiento de datos central, instalaciones adecuadas, energía
interrumpible, medios de detección y extinción de incendios, y aire acondicionado.
 Controles sobre la seguridad lógica: controles relacionados con las redes de
telecomunicaciones para proteger al sistema contra el acceso y uso no autorizados;
incluso para prevenir la piratería informática. Actividades de control aplicables son:
identificación o login, autenticación, autorización, registro. La autenticación o
identificación se sustenta en algo conocido (contraseña), algo poseído (tarjeta, clave),
o algo personal (reconocimiento, firma, huellas dactilares).
Principio 12: se implementa a través de políticas y procedimientos
La organización despliega actividades de control a través de políticas que establecen lo que se

espera y los procedimientos que ponen las políticas en acción. Las políticas reflejan las
afirmaciones de la administración sobre lo que debe hacerse para llevar a cabo los controles.
Estas afirmaciones deben estar documentadas, y expresadas tanto explícitamente como
implícitamente, a través de comunicaciones, acciones y decisiones. Los procedimientos son las
acciones para implementar las políticas establecidas.
Las políticas y procedimientos deben cumplir con:
 Oportunidad: los procedimientos deben incluir el tiempo en el que se llevará a cabo

una actividad de control, o acciones correctivas o de supervisión.
54 www.auditool.org
 Acciones correctivas: se deben tomar acciones correctivas cuando sea
apropiado.
 Competencia: las actividades de control deben ser implementadas por personal
competente con la suficiente autoridad para desarrollarla. Esta competencia dependerá de
la actividad de control y su complejidad.
 Evaluación periódica: las políticas y procedimientos deben ser evaluados
constantemente para determinar su relevancia y efectividad, debido a los
cambios en las personas, procesos y tecnología que pueden reducir la efectividad
o hacer algunas actividades redundantes.
Sistema de información y comunicación
El personal debe no solo captar una información sino también intercambiarla para desarrollar,
gestionar y controlar sus operaciones. Por lo tanto, este componente hace referencia a la forma
en que las áreas operativas, administrativas y financieras de la organización identifican, capturan
e intercambian información.
La información es necesaria para que la entidad lleve a cabo las responsabilidades de control
interno que apoyan el cumplimiento de los objetivos. La gestión de la empresa y el progreso
hacia los objetivos establecidos implican que la información es necesaria en todos los niveles de
la empresa. En este sentido, la información financiera no se utiliza solo para los estados
financieros, sino también en la toma de decisiones. Por ejemplo, toda la información presentada
a la Dirección con relación a medidas monetarias facilita el seguimiento de la rentabilidad de los
productos, la evolución de deudores, las cuotas en el mercado, las tendencias en reclamaciones,
etc.
La información está compuesta por los datos que se combinan y sintetizan con base en la
relevancia para los requerimientos de información. Es importante que la dirección disponga de
datos fiables a la hora de efectuar la planificación, preparar presupuestos, y demás actividades.
Es por esto que la información debe ser de calidad y tener en cuenta los siguientes aspectos:
 Contenido: ¿presenta toda la información necesaria?

 Oportunidad: ¿se facilita en el tiempo adecuado?
 Actualidad: ¿está disponible la información más reciente?
 Exactitud: ¿los datos son correctos y fiables?
 Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas
adecuadas?
55 www.auditool.org
La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener la
información necesaria, relevante y de calidad, tanto interna como externamente. La
comunicación interna es el medio por el cual la información se difunde a través de toda la
organización, que fluye en sentido ascendente, descendente y a todos los niveles de la entidad.
Esto hace posible que el personal pueda recibir de la Alta Dirección un mensaje claro de las
responsabilidades de control. La comunicación externa tiene dos finalidades: comunicar de
afuera hacia el interior de la organización información externa relevante, y proporcionar
información interna relevante de adentro hacia afuera, en respuesta a las necesidades y
expectativas de grupos de interés externos.
Para esto se tiene en cuenta:
 Integración de la información con las operaciones y calidad de la información,

analizando si ésta es apropiada, oportuna, fiable y accesible.
 Comunicación de la información institucional eficaz y multidireccional.
 Disposición de la información útil para la toma de decisiones.
 Los canales de información deben presentar un grado de apertura y eficacia acorde
con las necesidades de información internas y externas.
La comunicación puede ser materializada en manuales de políticas, memorias, avisos o

mensajes de video. Cuando se hace verbalmente la entonación y el lenguaje corporal le dan un
énfasis al mensaje. La actuación de la Dirección debe ser ejemplo para el personal de la entidad.
Un sistema de información comprende un conjunto de actividades, y envuelve personal,

procesos, datos y/o tecnología, que permite que la organización obtenga, genere, use y
comunique transacciones de información para mantener la responsabilidad y medir y revisar el
desempeño o progreso de la entidad hacia el cumplimiento de los objetivos.
Principio 13: usa información relevante
La organización obtiene, o genera y usa, información relevante y de calidad para apoyar el

funcionamiento del control interno. La información con respecto a los objetivos de la entidad es
recolectada a partir de las actividades de la Junta Directiva y la Alta Dirección, y sintetizada de
tal manera que la Administración y demás personal puedan entender los objetivos y cuál es su
rol para la consecución de los mismos.
La administración debe desarrollar e implementar controles para la identificación de la

información relevante que soporte el correcto funcionamiento de los componentes. La
información proviene de diferentes fuentes y en diferentes formas. El siguiente cuadro presenta
algunos ejemplos de datos internos y externos y fuentes de las cuales la administración puede
obtener información útil y relevante para el control interno.
56 www.auditool.org
Fuentes de Datos Internos Datos Internos
 Cambios organizacionales.
 Comunicaciones por correo – e-mail
 Experiencias de producción de
 Inspecciones del procesamiento de la
calidad y a tiempo.
planta de producción.
 Acciones en respuesta a las métricas
 Minutas o notas de los encuentros del
de consumo de energía.
comité operativo.
 Horas incurridas en proyectos
 Sistema de reporte en tiempo del
basados en tiempo.
personal.
 Número de unidades enviadas en un
 Reportes de los sistemas de
mes.
fabricación.
 Factores que impactan en las tasas de
 Respuestas a las encuestas de
deserción de clientes.
clientes.
 Quejas del comportamiento del
 Líneas directas para informantes.
administrador.
Fuentes de Datos Externos Datos Externos
 Productos enviados por
 Datos recibidos de los proveedores de manufactura contratada.
servicios externos.  Información de productos
 Reportes de investigación de la competitivos.
industria.  Métricas del mercado y la industria.
 Publicación de ganancias de  Requerimientos nuevos o
compañías del mismo sector. ampliados.
 Entes regulatorios.  Opiniones acerca de la entidad.
 Medios sociales y blogs.  Evolución de las preferencias de
 Ferias. clientes.
 Líneas directas para informantes.  Declaraciones de uso incorrecto de
fondos o sobornos.
Sistemas de información
Las organizaciones desarrollan sistemas de información para obtener, capturar y procesar grandes
cantidades de datos de fuentes tanto internas como externas, y convertirlos en información
significativa y procesable, y cumplir con los requerimientos definidos de información. Los
sistemas de información implican una combinación de personal, datos, y tecnología que apoyan
los procesos del negocio.
La información se puede obtener a través de varias formas como entradas manuales,

recopilación, o tecnologías de información. El volumen de la información de la organización
puede presentar tanto oportunidad como riesgos. Por esta razón, se deben implementar
controles que garanticen el uso y manejo adecuado de la información, sistemas de información
desarrollados con integridad y procesos tecnológicos proporcionan oportunidades para mejorar la
efectividad, velocidad y acceso de la información a los usuarios.
57 www.auditool.org
Otro factor importante es la calidad de la información, la cual debe cumplir con las siguientes
características:
 Accesible
 Apropiada
 Actual
 Protegida
 Conservada
 Suficiente
 Oportuna
 Válida
 Verificable
Principio 14: comunica internamente
La organización comunica internamente la información, incluyendo objetivos y responsabilidades

para control interno, necesarias para apoyar el funcionamiento del Sistema de Control Interno. De
esta manera, la Administración debe establecer e implementar políticas y procedimientos que
faciliten una comunicación interna efectiva.
La Alta Dirección comunica claramente los objetivos de la entidad a través de la organización

para que la administración, personal, y contratistas, entiendan sus roles y responsabilidades en la
organización. Estas comunicaciones incluyen:
 Políticas y procedimientos que apoyan al personal en el desarrollo de sus

responsabilidades de control interno.
 Objetivos específicos.
 Importancia, relevancia y beneficios de un control interno efectivo.
 Roles y responsabilidades de la administración y demás personal en el desarrollo de
controles.
 Expectativas de la organización a través de toda la organización.
Comunicaciones con la Junta Directiva
La comunicación entre la Administración y la Junta Directiva, le proporcionan a la Junta la

información necesaria para ejercer la supervisión de las responsabilidades de control interno. Las
comunicaciones usualmente se refieren a la adherencia, cambios o problemas que se presentan en
el Sistema de Control Interno.
Las comunicaciones deben ser regulares y frecuentes para que la Junta Directiva entienda los
resultados de las evaluaciones continuas e independientes de la Administración y el impacto de
sus resultados sobre la consecución de los objetivos, y que les permita responder adecuada y
oportunamente en caso de un control interno inefectivo.
También es importante una comunicación directa de la Junta Directiva con el personal, sin la
interferencia de la Administración cuando sea inapropiado.
58 www.auditool.org
Canales de comunicación
Para que la información fluya a través de la organización, deben existir canales adecuados de
comunicación. Además, es necesario contar con canales para comunicaciones anónimas o
confidenciales que permiten que los empleados puedan reportar situaciones sospechosas.
Métodos de comunicación
Tanto la claridad como la efectividad de la comunicación aseguran que el mensaje sea recibido.
Existen formas de comunicación más efectivas que otras, por esta razón es necesario una
evaluación continua para determinar si las comunicaciones son efectivas o no.
La administración selecciona el método adecuado de comunicación teniendo en cuenta la

audiencia, la naturaleza de la comunicación, el costo, las implicaciones regulatorias, y demás
factores. Algunos métodos son:
 Paneles de control  Presentaciones

 Correo electrónico – e-mail  Anuncios de medios sociales
 Formación presencial o en línea  Mensajes de texto
 Memorandos  Transmisiones vía internet y
 Discusiones uno a uno otras formas de video
 Evaluaciones de desempeño  Sitios web o publicaciones
 Políticas y procedimientos
Principio 15: comunica externamente
La organización se comunica con los grupos de interés externos en relación con los aspectos
que afectan el funcionamiento del control interno. La organización debe desarrollar e
implementar controles que faciliten la comunicación externa. Este proceso debe incluir las
políticas y procedimientos para obtener y recibir información de partes externas, y compartir
dicha información internamente.
La comunicación con terceras partes permite que estas entiendan eventos, actividades y
circunstancias que puedan afectar su interacción con la entidad. Al mismo tiempo, la
información que la entidad pueda recibir de terceras partes puede proporcionar información
importante sobre el sistema de control interno.
Algunos ejemplos pueden ser:

 Evaluación independiente de los controles internos en los proveedores de
servicios externos.
 Evaluaciones independientes de auditores de control interno sobre el reporte
financiero y no financiero de la entidad.
 Comentarios de los clientes relacionados con la calidad de los productos, los cambios
inapropiados o la pérdida de recibos.
 Nuevas o cambiantes leyes, reglas, regulaciones, o estándares.
 Resultados del cumplimiento de las regulaciones pertinentes.
59 www.auditool.org
 Preguntas de los vendedores relacionadas con la oportunidad o falta de pagos para la
venta de bienes.
 Publicaciones en organizaciones patrocinadoras o sitios web de medios sociales
o herramientas de comunicación.
Se deben adecuar canales apropiados de comunicación para clientes, proveedores,

y proveedores de servicios externos, para obtener una comunicación directa con la
administración y personal.
Supervisión del sistema de control – Monitoreo
Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de mejoramiento

continuo; así mismo, el Sistema de Control Interno debe ser flexible para reaccionar ágilmente y
adaptarse a las circunstancias. Las actividades de monitoreo y supervisión deben evaluar si los
componentes y principios están presentes y funcionando en la entidad.
Es importante determinar, supervisar y medir la calidad del desempeño de la estructura de

control interno, teniendo en cuenta:
 Las actividades de monitoreo durante el curso ordinario de las operaciones de la

entidad.
 Evaluaciones separadas.
 Condiciones reportables.
 Papel asumido por cada miembro de la organización en los niveles de control.
Es importante establecer procedimientos que aseguren que cualquier deficiencia detectada que
pueda afectar al Sistema de Control Interno sea informada oportunamente para tomar las
decisiones pertinentes. Los sistemas de control interno cambian constantemente, debido a que
los procedimientos que eran eficaces en un momento dado, pueden perder su eficacia por
diferentes motivos, como la incorporación de nuevos empleados, restricciones de recursos, entre
otros.
Principio 16: conduce evaluaciones continuas y/o independientes
La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o independientes

para determinar si los componentes del sistema de control interno están presentes y
funcionando.
Las actividades de monitoreo y supervisión son llevadas a cabo a través de evaluaciones

continuas e independientes. Las evaluaciones continuas están integradas en los procesos de
negocio en los diferentes niveles de la entidad y suministran información oportuna, debido a
que permiten una supervisión en tiempo real y gran rapidez de adaptación. El uso de la
tecnología apoya las evaluaciones continuas, tienen un alto estándar de objetividad y permiten
una revisión eficiente de grandes cantidades de datos a un bajo costo.
60 www.auditool.org
Las evaluaciones independientes se ejecutan periódicamente y pueden variar en alcance y
frecuencia dependiendo de la evaluación de riesgos, la efectividad de las evaluaciones continuas,
y otras consideraciones de la Dirección. Estas evaluaciones no están incluidas en los procesos
del negocio, pero permiten determinar si cada uno de los componentes está presente y
funcionando. Las evaluaciones incluyen observaciones, investigaciones, revisiones y exámenes,
apropiados para determinar si los controles para llevar a cabo los principios a través de la
entidad son diseñados, implementados y conducidos.
Existen diferentes enfoques para llevar a cabo las evaluaciones independientes, algunos de los
cuales son:
 Evaluaciones de auditoria interna.

 Otras evaluaciones objetivas.
 Evaluaciones a través de las unidades operativas o funcionales.
 Comparativa del mercado/evaluaciones de pares.
 Autoevaluaciones.
La Administración selecciona, desarrolla y lleva a cabo una combinación de las evaluaciones

continuas e independientes de acuerdo con el alcance y naturaleza de las operaciones de la
entidad, cambios en factores internos y externos, y los riesgos asociados a las evaluaciones.
Para llevar a cabo las evaluaciones, la administración debe considerar el índice de cambios, lo
cual determina qué tipo de evaluación es apropiado realizar.
Principio 17: evalúa y comunica deficiencia
La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las
partes responsables de aplicar medidas correctivas, incluyendo la alta Dirección y el Consejo,
según corresponda. Las deficiencias en lo componentes y principios de control interno pueden
surgir de diferentes maneras:
 Actividades de monitoreo.
 Otros componentes del sistema de control interno.
 Partes externas.
Las deficiencias o debilidades encontradas en el Sistema de Control Interno deben ser

comunicadas a las partes indicadas en la organización y oportunamente para que se adopten las
medidas necesarias. Este proceso se denomina Informe de deficiencias, y le permite a la
Dirección estar enterada de lo que no está funcionando en forma adecuada. Una deficiencia es
definida como un defecto en uno o más componentes y principios relevantes que reduce la
probabilidad de que la entidad logre sus objetivos.
Cuando se determina que existe una deficiencia grave respecto a la presencia y funcionamiento
de un componente o principio del Sistema de Control Interno, la organización no puede concluir
que ha cumplido con los requisitos de un sistema de control interno efectivo.
61 www.auditool.org
 Deficiencia de control interno: defecto en un componente y en los principios
relevantes, que reduce la probabilidad de que la entidad logre sus objetivos.
 Deficiencia importante/mayor: deficiencia del control interno o combinación de
deficiencias que de manera severa reducen la probabilidad de que la entidad pueda
lograr sus objetivos. También se presenta cuando uno o más componentes no están
presentes o funcionando.
Actividades de supervisión del Consejo de Administración
 Actuar con independencia y objetividad en representación de los accionistas y otros

inversionistas clave.
 Definir una estructura de supervisión adecuada a las necesidades de la
organización.
 Supervisar la definición de los estándares de conducta de la organización y evaluar
su nivel de aplicación.
 Evaluar la actuación del CEO y la alta dirección en materia de control interno en
función de las expectativas y objetivos predefinidos.
 Evaluar la efectividad de los controles generales de la organización e
identificar oportunidades de mejora.
 Realizar seguimiento de las mejoras identificadas y solicitar información a la Alta
Dirección sobre la implantación de las mismas.
 Considerar factores internos y externos que pueden suponer riesgos
relevantes para la consecución de los objetivos.
 Supervisar y aprobar las evaluaciones de riesgos realizadas por la Dirección.
 Evaluar la proactividad de la organización en relación con el control frente a
cambios relevantes.
 Solicitar información sobre el diseño, desarrollo, implementación y funcionamiento de
las actividades de control en las áreas con mayor nivel de riesgo.
 Evaluar el desempeño de la Alta Dirección en relación con las actividades de control
clave.
 Comunicar adecuadamente la misión, visión y valores a la organización.
 Solicitar la información necesaria para supervisar el nivel de consecución de los
objetivos de Control Interno.
 Examinar la información recibida de la organización y presentar diferentes puntos
de vista.
 Revisar el Reporting externo para que cumpla con los objetivos de Control
Interno.
 Promover la comunicación hacia la Dirección y viceversa.
 Supervisar el Reporting interno que sea relevante para la toma de decisiones.
 Presentar la información financiera completa y oportuna y resolver toda
excepción identificada.
 Las comunicaciones recibidas de terceros confirman la información generada
internamente y pueden señalar la existencia de algún problema.
 Supervisar las tareas administrativas que ejercen control sobre la exactitud y
totalidad del proceso de las transacciones.
62 www.auditool.org
 Establecer una segregación de funciones de manera que se ejerza una
verificación recíproca.
 Comparar los datos registrados por los sistemas de información con los activos físicos.
 Hacer seguimiento de las recomendaciones propuestas por los auditores internos y
externos para mejorar los controles internos. Las evaluaciones realizadas pueden
identificar posibles deficiencias que pueden ser corregidas mediante las vías de
actuación propuestas.
Partes interesadas
Las partes interesadas desempeñan un papel muy importante en el diseño e implementación del
Marco Integrado de Control Interno. El Control Interno es desarrollado por la Dirección, el
Consejo de Administración y demás personal de la entidad.
El Consejo de Administración
Los miembros del Consejo junto con la Alta dirección deben analizar el Sistema de Control
Interno de la entidad y efectuar su supervisión. La Alta Dirección rinde cuentas por el control
interno al Consejo de Administración, y este debe establecer las políticas y expectativas sobre
cómo deben supervisar los miembros del Consejo el control interno. El Consejo debe conocer los
riesgos para la consecución de los objetivos de la entidad, las evaluaciones de las deficiencias
del control interno, las medidas adoptadas por la Dirección para mitigar dichos riesgos y
deficiencias, y cómo la Dirección evalúa el sistema de Control Interno.
Así mismo, el Consejo de Administración asume un rol fundamental en la definición de las

expectativas en cuanto a la integridad y los valores éticos, la transparencia y las
responsabilidades, en el marco del funcionamiento del Sistema de Control Interno.
63 www.auditool.org
Usualmente, el Consejo de Administración actúa a través de comités o comisiones delegadas.
Esto depende de la jurisdicción y naturaleza de la organización. El siguiente diagrama presenta
un ejemplo de la estructura del Consejo de Administración:
Consejo de
Administración
Comité de
Auditoría Comité de Comité de Otros Comités y
Retribuciones Nombramientos Comisiones
Evalú a las Son establecidos en

Supervisa a la competencias, grandes
Alta Direcció n en organziaciones.
conocimientos y
su funció n de experiencia Los comités de riesgos
Supervisa la gestion equilibrar las necesaria en el son creados para tratar
de la Alta Direccion funciones de los cambios de los
Consejo. niveles de riesgos, sus
del reporting y desempeñ o e
Controla la impactos y supervisar
verifica que se incentivos. las respuestas a los
esté n tomando las selecció n de
Propone la politica candidatos a riesgos.
medidas correctivas retributiva para los directores y la Alta Se puden crear comités
necesarias. consejeros y la para guiar
Direcció n.
Alta Direcció n asi determinadas
como sus Desarrolla procesos funciones: comité de
retribuciones de supervisió n cumplimiento, comité
individuales. relativos a de riesgos, entre otros.
conflictos de
interé s.
Alta Dirección
Debe evaluar el Sistema de Control Interno en relación con el Marco Integrado de Control
Interno, centrándose en la manera como la entidad aplica los diecisiete principios para respaldar
los componentes del control interno. Asimismo, debe dar consejo y dirección a la
Administración, realizar una gestión constructiva y exigente, aprobar políticas y transacciones y
supervisar las actividades de la Administración.
La Dirección tiene un papel fundamental en el control interno de la organización, pues establece

la importancia del Sistema de Control Interno y los estándares de conducta a través de la
organización.
Los miembros de la Alta Dirección son:

 Director administrativo  Director de información
 Director ejecutivo de auditoría  Director legal
 Director de cumplimiento  Director de operaciones
 Director financiero  Director de riesgos
64 www.auditool.org
Otros miembros de la dirección y del personal
Los directivos y demás personal de la entidad deben revisar los cambios de la nueva versión del
Marco Integrado de Control Interno 2013, y evaluar las implicaciones en el actual Sistema de
Control Interno de la entidad.
Auditores internos
Deben revisar los planes de auditoría y evaluar los cambios en el Marco para considerar las
posibles consecuencias en los planes de auditoría, en las evaluaciones y cualquier información
generada sobre el Sistema de Control Interno. Las actividades de auditoría deben ser llevadas a
cabo por profesionales competentes y en alineación con los riesgos relevantes para la entidad.
Auditores externos
Cuando un auditor externo es contratado para evaluar el Sistema de Control Interno de la

entidad, puede evaluar el sistema en relación con el Marco Integrado de Control Interno,
centrándose en la manera como la entidad ha seleccionado, desarrollado y desplegado los
controles que incidan en los principios asociados a los componentes del control interno.
Estructura de la Organización – Ámbito de aplicación del Sistema

de Control Interno
La estructura de la organización, representada en la tercera dimensión del cubo del Marco

Integrado de Control Interno está relacionada con los objetivos y los componentes y representa
el ámbito de aplicación del Sistema de Control Interno. Este ámbito de aplicación incluye
todos los niveles de la organización: entidad, divisiones, unidades operativas y funciones
(internas y externas).
Implementación del Marco Integrado de Control Interno
El siguiente modelo de negocios envuelve la mayoría de los procesos de administración y

gobierno en una empresa.
GOBIERNO Entorno de control
Marco Integrado- Gestión de Riesgo Empresarial, ERM

Establecimiento de Estrategias
Planificación del negocio
Información y comunicación
Adaptación Ejecución
Actividades de control
Evaluación de riesgos Monitoreo
Supervisión Marco Integrado de Control Interno
65 www.auditool.org
El modelo de negocios inicia con el gobierno, el cual incluye la visión y misión de la
organización, y la supervisión del Consejo de Administración de la planificación y las
operaciones de la empresa. También se incluyen las actividades de la Dirección para garantizar
la efectividad del establecimiento de la estrategia y demás procesos de gestión de la
organización. Un gobierno efectivo asegura la responsabilidad, la rendición de cuentas, la
equidad y transparencia en las relaciones de la organización con sus diferentes grupos de
interés (accionistas, prestamistas, clientes, proveedores, empleados, gobiernos, reguladores y
comunidades en la que opera la organización).
El establecimiento de la estrategia de la organización es el proceso en el que la administración

articula un plan de alto nivel para lograr uno o más objetivos en relación con la misión de la
organización. Usualmente, la estrategia es presentada en forma de objetivos generales, iniciativas
y tácticas.
Juntos, estos elementos del gobierno y el establecimiento de la estrategia, proporcionan

orientación a la empresa y claramente tienen un lugar para asegurar el éxito de la organización
en el cumplimiento de las demandas y expectativas de las partes interesadas.
Dentro del modelo de negocios hay cuatro elementos que se basan en el círculo Deming: planear,
hacer, verificar y actuar (plan, do, check, act cycle). En el modelo se presentan como
planificación del negocio, ejecución, monitoreo y adaptación.
 Planificación del negocio: articula las metas específicas o planes de trabajo sobre
el modo como la administración contribuye al logro de los objetivos de la estrategia
general. Explica por qué esos objetivos son alcanzables y proporciona un proceso
favorable para la implementación y ejecución de la estrategia corporativa a través de la
organización dentro del horizonte de planificación especifica.
 Ejecución: consiste en las operaciones centrales de la organización, relacionadas con

el diseño, construcción y operación de los procesos que hacen que el planeamiento
funciones cumpla con el rendimiento esperado de acuerdo con los valores y estrategia
de la organización.
 Monitoreo: envuelve las actividades establecidas por la administración para la

revisión y supervisión de la ejecución de las operaciones de la organización en relación
con el plan estratégico general, incluyendo un nivel aceptable de riesgo. Las actividades
de monitoreo consideran tanto las medidas de rendimiento que demuestran el progreso
hacia el logro de los objetivos del negocio como las metas estratégicas a largo plazo;
así como las métricas de riesgo para asegurar que el riesgo se mantiene en niveles
aceptables.
66 www.auditool.org
 Adaptación: describe los procesos organizativos, mediante los cuales los problemas
identificados a través de las actividades de monitoreo exigen acciones de seguimiento
y corrección de la administración, y son traducidos a cambios ejecutables en la
estrategia corporativa, plan de negocios, o tácticas de ejecución. La adaptación es
esencial cuando se considera la capacidad de recuperación y agilidad de la empresa,
elementos vitales para el éxito en un entorno de negocios que cambia rápidamente.
Herramientas ilustrativas para evaluar la eficacia del Sistema de Control

Interno
El Marco Integrado de Control Interno presenta un apartado titulado Herramientas ilustrativas

para evaluar la eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para
evaluar la efectividad del Sistema de control Interno de una organización sobre la base de los
requisitos establecidos en el Marco. Para esto, el Marco presenta una serie de plantillas o
formularios que dan una guía para la realización del trabajo a través de ejemplos de cómo
desarrollar las evaluaciones.
Estos formularios pueden ser personalizados acorde con las necesidades y características de la
organización y demás aspectos que la administración considere necesarios para la evaluación
del Sistema de Control Interno. Además, permiten presentar un resumen de los resultados de la
evaluación por principios, componentes y sistemas de control interno en general. La
administración puede utilizar estos formularios con diferentes finalidades:
 Apoyar la determinación de si los componentes y principios están presentes y

funcionando correctamente.
 Apoyar la evaluación de si los cinco componentes del Sistema de Control Interno
están operando al mismo tiempo de una manera integrada.
 Apoyar la evaluación de la eficacia del Sistema de Control Interno en relación con
una o más categorías de objetivos.
 Documentar la evaluación general de la administración en relación con la efectividad
del Sistema de Control Interno, considerando los componentes y principios.
 Documentar las deficiencias encontradas durante el proceso de evaluación.
67 www.auditool.org
Formulario de evaluación de los principios
Resume la decisión de la Administración sobre si cada principio está presente y funcionando. Se

tienen en cuenta los puntos de enfoque para apoyar la decisión de la administración.
68 www.auditool.org
Formulario por cada componente
Resume la decisión de la Administración sobre si cada componente, incluyendo sus principios,

están presentes y funcionando.
Formulario de evaluación general
Resume la decisión de la administración sobre si los cinco componentes están presentes,

funcionando y operando de una manera integrada, incluyendo la gravedad de las deficiencias
del Control Interno o una combinación de deficiencias cuando se consideran colectivamente a lo
largo de los componentes.
69 www.auditool.org
Formulario de resumen de deficiencias de control interno
Aporta un registro de todas las deficiencias del Control Interno que se han encontrado, y que se
pueden aprovechar en la evaluación de los componentes y principios.
Control Interno sobre la información financiera externa: un compendio de

métodos y ejemplos
Este documento ayuda en la implementación del Marco Integrado de Control Interno sobre el
reporte financiero externo, debido a que proporciona distintos enfoques y ejemplos para ilustrar
cómo las entidades pueden aplicar los componentes y los principios a sus Sistemas de Control
Interno. Este compendio es una actualización del “Internal control over Financial Reporting” de
2006, y tiene en cuenta las expectativas de la supervisión del gobierno de la organización, la
globalización de los mercados y las operaciones, la mayor complejidad de las leyes,
regulaciones, reglas y estándares, el uso de nuevas tecnologías, y las crecientes expectativas
relativas a la prevención y la detección del fraude.
70 www.auditool.org
Anexos
A. Requisitos de cada componente
COMPONENTE CARACTERÍSTICA SÍ NO
Los funcionarios conocen la normatividad vigente
que regula su conducta
Se enfatiza en la importancia de la integridad y el
comportamiento ético, respetando los códigos de
conducta
Existe un código de conducta que recopila los
valores y principios éticos que promueve la entidad y se ha
dado a conocer a todo el personal
Los funcionarios se comportan de acuerdo con el
código de conducta establecido
Se ha efectuado un análisis de las competencias
requeridas por el personal para desempeñar
adecuadamente sus funciones
Existe un plan de capacitación continuo que
contribuye al mejoramiento de las competencias del
personal
La Dirección demuestra un compromiso permanente
Entorno de control con el Sistema de Control Interno y con los valores
éticos del mismo
Las decisiones de la entidad se toman luego de que
se realizado un cuidadoso análisis de los riesgos asociados
Existe un compromiso permanente hacia la elaboración

responsable de información financiera,
contable y de gestión
La organización cuenta con una estructura organizativa
que manifiesta claramente la relación
jerárquica funcional
Existe un diagrama de la estructura organizativa
El personal conoce los objetivos de la organización y
cómo su función contribuye al logro de los mismos
Existe una clara asignación de responsabilidades
Existen procedimientos definidos para la promoción,
selección, capacitación, evaluación, compensación, y
sanción del personal
La misión de la entidad es conocida y comprendida
por la Dirección y el personal
Evaluación de Los objetivos establecidos concuerdan con la misión
riesgos de la entidad
Los objetivos son conocidos y comprendidos por
todo el personal de la entidad
71 www.auditool.org
Los objetivos particulares de los procesos
sustantivos de la entidad se encuentran identificados
Las herramientas de medición del grado de
cumplimiento de los objetivos han sido definidas
Los riesgos tanto internos como externos que
interfieren en el cumplimiento de los objetivos han sido
identificados
Existen mecanismos de identificación de riesgos
adecuados y eficaces
Se tienen en cuenta las observaciones y
recomendaciones de auditoria anteriores
Existe una estimación de riesgos, considerando la
probabilidad de ocurrencia e impacto
Las tareas y responsabilidades vinculadas a la autorización,
aprobación, procesamiento y registro, pagos o recepción de
fondos, auditoría y custodia de fondos, valores o bienes de
la organización están
asignadas a diferentes personas
Las condiciones bancarias son realizadas por
personas ajenas al manejo de las cuentas bancarias
Existe un flujo de información adecuado entre las
distintas áreas de la entidad
Los funcionarios son conscientes de cómo sus
acciones influyen en toda la entidad
Existen documentos acerca de la estructura de control
interno, y están disponibles y al alcance de
todo el personal
Los procedimientos de control aseguran que las tareas
son realizadas exclusivamente por los
Actividades de funcionarios que tienen asignada esa función
control La delegación de funciones y tareas se encuentran dentro de
los lineamientos establecidos por la
dirección
Las transacciones de la organización son
registradas oportuna y adecuadamente
Solo las personas autorizadas tienen acceso a los
recursos y activos de la organización
Solo las personas autorizadas tienen acceso a los
registros y datos de la organización
Los funcionarios se rotan en las tareas que pueden
dar lugar a irregularidades
Existen procedimientos que aseguran el acceso
autorizado a los sistemas de información
Los recursos tecnológicos son regularmente
evaluados con el fin de corroborar que cumplen con los
requisitos de los sistemas de información
Existen indicadores y criterios para la medición de la
72 www.auditool.org
gestión
Si se encuentran desvíos con lo previsto, se toman
las medidas correctivas apropiadas
Existen manuales de procedimientos para los
procesos sustantivos de la organización
Están definidos los distintos reportes que deben remitirse a
los distintos niveles internos para la toma
de decisiones
La información es apropiada de acuerdo con los
niveles de autoridad y responsabilidad asignados
La información circula en todos los sentidos dentro
de la organización y está disponible
Los sistemas de información son revisados continuamente
con el fin de comprobar si es eficaz para la toma de
Sistemas de decisiones, y la información elaborada sigue siendo
información y relevante para los objetivos
comunicación de la organización
La dirección es consciente de la importancia del
sistema de información organizacional
Existen mecanismos que aseguran la comunicación
en todos los sentidos
El sistema de comunicación proporciona
oportunamente a todos los usuarios la información
necesaria para cumplir con sus responsabilidades
Existen canales de comunicación adecuados con
terceros y partes externas
El Sistema de Control Interno es evaluado
periódicamente por la Dirección con el fin de revisar su
eficacia y vigencia
Supervisión del
Existen herramientas definidas de autoevaluación
sistema de control
que permiten evaluar el Sistema de Control Interno
- Monitoreo
Se dispone de la información adecuada sobre si se están
logrando los objetivos operacionales de la
organización
Se cumplen las leyes y normatividad relevantes
73 www.auditool.org
B. Lista de chequeo – Actualizando el Sistema de Control Interno
Las empresas deben iniciar el proceso de actualización de sus sistemas de control interno e
implementar los conceptos, principios y puntos de enfoque establecidos en el Marco Integrado
de Control Interno 2013, presentado por el Comité COSO.
La siguiente lista de chequeo presenta los puntos importantes a tener en cuenta en este proceso
de actualización.
Acción Sí No
Crear un equipo y plan de trabajo: los directivos y la Administración deben
trabajar en equipo para lograr implementar y mantener un Sistema de Control
Interno efectivo y actualizado. Para esto deben establecer un plan de
trabajo que les permita estar atentos al logro de los objetivos y al progreso.
Utilizar el enfoque de bloque – Cubo: usar los cinco componentes del Marco
Integrado de Control Interno (entorno de control, evaluación de riesgos, actividades
de control, sistemas de información y comunicación, y supervisión). De esta
manera, se debe enfocar en los principios de cada
componente y los puntos de enfoque de cada principio.
Construir/trabajar a partir de lo que se está haciendo en la actualidad:
las empresas que tienen un Sistema de Control Interno efectivo y eficaz pueden
iniciar el proceso de actualización a partir de este, y redefinir los procesos de control
ayudándose de los principios y puntos de enfoque.
Esquematizar los componentes y principios ayuda a tener una visión más
clara del proceso.
Poner atención a los puntos de enfoque: cada principio está acompañado de
puntos de enfoque. Aunque no todos son aplicables en todas las circunstancias, estos
presentan una visión clara para la implementación y
evaluación del Sistema de Control Interno.
Uso de las herramientas ilustrativas y control interno del reporte
financiero externo: el Marco Integrado de Control Interno incluye herramientas
ilustrativas para evaluar la efectividad del Sistema de Control Interno y un
compendio de enfoques y ejemplos de control interno del reporte financiero externo,
los cuales brindan importantes ejemplos e ideas
para la aplicación del marco a una situación específica.
Enfocarse al rol de las tecnologías de información (TI): los cambios
constantes en la tecnología llevaron a la actualización del Marco Integrado de
Control Interno, lo que hace necesario que las empresas también estén al tanto de los
desarrollos en tecnología para implementarlos en los sistemas
de control interno.
Buscar el valor agregado: la implementación del Marco Integrado de Control
Interno no se debe hacer solo por cumplir con unos requerimientos sino que es una
oportunidad de mejorar la efectividad e incrementar la
eficiencia del Sistema de Control Interno.
Realizar el cambio: la versión del Marco Integrado de Control Interno de 1992
será sustituida por la nueva versión lanzada en 2013. Sin embargo, este marco no
es requerimiento para que las empresas inicien el cambio,
pero cada empresa debe indicar qué versión está implementando.
74 www.auditool.org
Referencias
1. Laski, Julián Pablo. El control interno como estrategia de aprendizaje organizacional: El

Modelo COSO y sus alcances en América Latina.
2. Coopers & Lybrand. (1997). Los nuevos conceptos del control interno. España.
3. www.coso.org
4. COSO. (2013). Control Interno – Marco Integrado. Resumen Ejecutivo.
5. COSO. (2013). Control Interno – Marco Integrado. Marco y anexos.
6. http://www.journalofaccountancy.com/News/20137970
7. http://www.journalofaccountancy.com/Issues/2013/Jul/20137707.htm
8. http://prezi.com/kodj0czuhtxl/copy-of-coso-2013/
9. Abella Ramon, Guerola Joaquin & Cendon Ana. (2012). Actualización COSO I: Análisis del
borrador del Marco de Control Interno actualizado.
75 www.auditool.org

Lectura COSO III

Cargado por

Copyright:

Formatos disponibles

Lectura COSO III

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Lectura COSO III

Cargado por

Copyright:

Formatos disponibles

0

MODELO COSO III − MARCO

Descripción del Curso

El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en

De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás

Comité de organizaciones patrocinadoras de la Comisión Treadway –

El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985

El Comité estaba conformado por cinco instituciones representativas en Estados Unidos en el

 American Accounting Association (AAA) – Asociación de Contadores Públicos

La complejidad en las operaciones de las empresas y organizaciones hizo necesario adoptar

Como respuesta a una serie de escándalos e irregularidades que provocaron pérdidas

 Variación de los modelos de negocio como consecuencia de la globalización.

Componentes Cambios Representativos

Se enfatiza la diferenciación entre controles

La implementación de un sistema de control interno eficiente debe proporcionar:

 Consecución de objetivos de rentabilidad y rendimiento para prevenir la

 Mayores expectativas del gobierno corporativo.

Las limitaciones pueden originarse por los siguiente factores:

 La falta de adecuación de los objetivos establecidos como condición previa para el

La administración hace uso del criterio profesional en diferentes momentos:

 Aplicación de los componentes de control interno en relación con las

Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del

Esta responsabilidad está establecida en los procesos de la administración, como se presenta a

 Determinar los objetivos estratégicos y seleccionar la estrategia dentro del

 Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la

Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico

Reporting Financiero Externo

Reporting No Financiero Interno

 Reporting financiero externo: estos objetivos se relacionan con el

 Clasifica y resume la información razonablemente en el nivel

 Reporting financiero y no financiero interno: los informes internos

 Usa el criterio establecido por terceras partes, estándares y

 Objetivos de cumplimiento: están relacionados con el cumplimiento de las

Componentes del sistema de control interno

Principios y puntos de enfoque

 Presente: la determinación de que los componentes y los principios relevantes existen

 Funcionando: determinación de que los componentes y los principios relevantes

Aborda y decide sobre desviaciones

Establece las responsabilidades de

Considera todas las estructuras de la

Establece líneas de reporte. La

Establece medidas de desempeño,

Evalúa medidas de desempeño,

Evalúa desempeño y premios o

Evalúa cambios en el modelo de

Evalúa cambios en liderazgo. La

Establece actividades de control

Establece actividades de control

Considera costos y beneficios: la

Proporciona líneas de comunicación

Considera tasa de cambio: la

Establece un punto de referencia

Evalúa resultados: la Administración

Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la gestión de la

 Actitudes congruentes con su integridad y valores éticos.

Principio 1: demuestra compromiso con la integridad y los valores éticos

El control debe basarse en la integridad y el compromiso ético de las directivas y accionistas,

 Integridad y valores éticos: la Comisión Treadway establece que un clima ético

La dificultad de establecer valores éticos radica en la necesidad de atender intereses de las

 Estándares de conducta: los estándares de conducta guían a la organización en