Control interno coso

UNIVERSIDAD DE EL SALVADOR
FACULTAD DE CIENCIAS ECONOMICAS
ESCUELA DE CONTADURIA PÚBLICA
ENFOQUE DEL CONTROL INTERNO DEL COMITÉ DE LA ORGANIZACIÓN
DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).
ASIGNATURA: AUDITORIA I
CATEDRÁTICO: LIC. YOVANY ELISEO SANCHEZ
GRUPO TEORICO: 01
GRUPO DE TRABAJO: 14
INTEGRANTES: CARNET No. :
MENDEZ AGUILAR, MARIO ENRIQUE MA03052
MARIA ERNESTINA,
NERIO GUEVARA, MARIA ELENA NG94005
TOBAR SARAVIA, BERTA PATRICIA TS03003
CICLO II-2006
CIUDAD UNIVERSITARIA, 20 DE SEPTIEMBRE DE 2006

Auditoria I Enfoque del Control Interno (COSO)
2
INDICE
CONTENIDO PAG.
Introducción . . . . . . . . . i
Objetivos . . . . . . . . . . ii
ENFOQUE DEL CONTROL INTERNO (COSO) . . . . . 6
ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA
ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO) 7
1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO
DE LA COMISIÓN DE MARCAS (COSO) . . . . . . 7
1.1. Antecedente del Informe del Comité de la Organización de patrocinio de la
Comisión de Marcas (COSO) . . . . . . . . 7
1.2. Definiciones. . . . . . . . . . 8
1.2.1. Control Interno. . . . . . . . . 8
1.2.2. Definición del Control Interno según el Informe del Cómite de la Organización
de Patrocinio de la Comisión de Marcas (COSO). . . . . 9
1.3. Objetivos del Informe COSO . . . . . . . 9
1.4. Importancia del COSO . . . . . . . 10
1.5. Beneficios del control interno . . . . . . . 11
1.6. Naturaleza del Control Interno . . . . . . . 11
1.7. Clasificación del Control Interno . . . . . . 11
1.8. Características del Control Interno . . . . . . 11
1.9. Participantes y Responsables de la Implementación del Control Interno . 13
1.10. Tipos de Control . . . . . . . . 14
1.11. Auditoria y Control Interno . . . . . . . 14
1.11.1. Tipos de Riesgos del Auditor. . . . . . . 15
1.11.2. Objetivos de la Auditoria Interna . . . . . . 16
1.12. Normativa Técnica del Control Interno (COSO) . . . . 16
2. COMPONENTES DEL CONTROL INTERNO . . . . . 17
2.1. Ambiente de Control . . . . . . . . 18
2.1.1. Integridad y Valores Éticos . . . . . . . 19
2.1.2. Competencia Profesional . . . . . . . 19
2.1.3. Atmósfera de Confianza Mutua . . . . . . 20
2.1.4. Filosofía y Estilo de la Dirección . . . . . . 20
2.1.5. Misión, Objetivos y Políticas . . . . . . . 21
2.1.6. Organigrama . . . . . . . . . 21
2.1.7. Asignación de Autoridad y Responsabilidad . . . . . 22

3
2.1.8. Políticas y Practicas En Personal . . . . . . 23
2.1.9. Comité de Control . . . . . . . . 23
2.2. Evaluación del Riesgo . . . . . . . . 24
2.2.1. TIPOS DE RIESGOS . . . . . . . . 26
2.2.2. Factores de Riesgo . . . . . . . . 26
2.2.3. Estimación del Riesgo . . . . . . . . 28
2.2.4. Determinación de los Objetivos de Control . . . . . 29
2.2.5. Detección del Cambio . . . . . . . . 29
2.3. Actividades de Control . . . . . . . . 30
2.3.1. Tipos de actividades de control . . . . . . 30
2.3.2. Políticas y procedimientos. . . . . . . . 32
2.3.3. Evaluación de riesgos por medio de las actividades de control. . . 33
2.3.4. Controles sobre los sistemas de información. . . . . 33
2.4. Información y Comunicación . . . . . . . 35
2.4.1. Comunicación interna. . . . . . . . 37
2.4.2. Comunicación externa. . . . . . . . 37
2.5. Monitoreo (Supervisión o Vigilancia) . . . . . . 37
2.5.1. Actividades de supervisión continuada . . . . . 38
2.5.2. Evaluaciones puntuales . . . . . . . 38
2.5.3. Alcance y frecuencia . . . . . . . . 38
2.5.4. Implementación del Control Interno . . . . . . 38
3. EL INFORME . . . . . . . . . 40
3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso . 41
3.1.1. Revisión Del Sistema . . . . . . . . 43
3.1.2. Evaluación . . . . . . . . . 44
3.1.3. Obtención de Información para la Evaluación de Control Interno . . 44
3.1.4. Evaluación Definitiva del Control Interno . . . . . 45
4. EVOLUCIÓN DEL COSO . . . . . . . 46
4.1. Concepto COSO según la Administración de Riesgos Corporativos de
acuerdo al Marco Gestión Integral de Riesgo (ERM). . . . . 47
4.2. Componentes del Informe COSO según el Marco Integrado de Administración
de Riesgos Corporativos (ERM) . . . . . . 48
4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno . 55
Conclusiones . . . . . . . . . iii
Bibliografía . . . . . . . . . iv
Anexos . . . . . . . . . . v
• Anexo 1 . . . . . . . . vi

4
INTRODUCCION
El control interno es parte integral de una empresa para que esta pueda desarrollarse en el medio
ambiente que la rodea y a la vez pueda tener cierto grado de control sobre una diversidad de
factores que podrían influir en su desempeño.
En el mundo existen diversos enfoques sobre el control interno, pero uno de los que actualmente
esta tomando un mayor auge es el diseñado por el COMMITTEE OF SPONSORING
ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), integrado por cinco
organizaciones.
El control interno COSO se fundamenta en un proceso efectuados por personas en todos los
niveles de la organización.
La implementación de este control interno busca que los objetivos de la empresa se cumplan de la
mejor manera posible, ayudando a aumentar la eficiencia, la confiabilidad de los estados
financieros y al cumplimiento de las leyes.
El presente trabajo esta basado en El control interno COSO versión 1992, el cual está integrado
por cinco elementos que interactúan entre sí, los cuales son ambiente de control, evaluación de
riesgos, actividades de control, información y comunicación y monitoreo. Al final se tocarán
algunos aspectos importantes de la nueva versión del COSO de 2004 para un mayor
conocimiento para la profesión de Auditoria.

5
OBJETIVOS.
GENERAL
• Dar a conocer los aspectos más importantes del control diseñado por el Comité de la
Organización de Patrocinio de la Comisión de Marcas (COSO).
ESPECIFICOS
• Definir el control interno COSO, así como la importancia que este tiene en las empresas.
• Explicar los objetivos básicos que tiene el control interno COSO.
• Desarrollar los cinco elementos que conforman la estructura del control interno COSO.
• Identificar las partes que componen la estructura básica del informe COSO.
• Mostrar la evolución del control interno COSO de 1992 a su última versión de 2004.

6

7
ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA
ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).
1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO DE LA
COMISIÓN DE MARCAS (COSO).
1.1.Antecedente del Informe del Comité de la Organización de patrocinio de la Comisión de
Marcas (COSO).
Durante mucho tiempo se ha considerado la importancia del Control Interno para la
administración y auditores independientes. En octubre de 1987 la National Comission on
Fraudulent Financial (Treadway Comisión) Publico un informe en el que enfatiza la importancia
del control Interno para producir la incidencia de información financiera fraudalenta.
Posteriormente el ASB emitió el SAS 55 “Evaluación de la Estructura del Control Interno en una
auditoria de Estados financieros. Este SAS amplia el concepto de Control interno mas allá del
comprendido en anteriores SAS y explica las responsabilidades del auditor en un trabajo de
auditoria.
El SAS 55 fue corregido por el SAS 78 que entro en vigencia el 1 de enero de 1997, debido a que
el ASB pensó que es apropiado conocer la definición y descripción del control interna contenida
en el informe de COSO, para proporcionar adecuadamente y en tiempo, una guía útil a los
auditores.
El informe de COSO sobre control interno, surgió como una respuesta a las inquietudes que
planteaban la diversidad de conceptos, definiciones e interpretaciones existente en toro a la
temática referida.
Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que
la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE
OF SPONSORING ORGANIZATIONS).

8
El grupo estaba constituido por representantes de las siguientes organizaciones:
Asociación Americana de Contabilidad (American Accounting Association) (AAA)
Instituto Americano de Contadores Publico (American Institute of Certified Public
Accountants) (AICPA)
Instituto de ejecutivos Financieros (Financial Executive Institute) (FEI)
Instituto de Auditores Internos (Institute of Internal Auditors) (IIA)
Instituto de Administración y Contabilidad (Institute of Management Accountants) (IMA)
La redacción del informe fue encomendada a Coopers & Lybrand.
Fue Publicado en 1992, hace recomendaciones a los contables de gestión de cómo evaluar,
informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y
eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones
que explica en los componentes del ambiente de control, valoración de riesgos, actividades de
control, información y comunicación, y el monitoreo.
Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del
2004. La Versión 2004, no es otra cosa que una ampliación del Informe original, para dotar al
Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestión del riesgo.
Para este trabajo se tomara como base a la versión 1992, pero se tocaran algunos puntos de la
versión 2004, para ver cuales han sido los cambios o ampliaciones que se han dado del informe
COSO.
1.2. Definiciones
1.2.1. Control Interno
Es un proceso efectuado por el consejo de administración, la dirección y el resto de personal
de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable sobre
el logro de los objetivos de la organización.
El control interno constituye una serie de acciones que se extienden por todas las actividades
de las dependencias y entidades, el cual permite un funcionamiento adecuado de los procesos.

9
Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos
y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.
1.2.2. Definición del Control Interno según el Informe del Comité de la Organización de
Patrocinio de la Comisión de Marcas (COSO).
Se define como un proceso efectuado por el Consejo de la Administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos.
Este es un Modelo internacional de Control Integral, diseñado para apoyar a la dirección en un
mejor control de su organización. Provee un estándar, como fundamento para la evaluación del
control interno e identificar las “mejores prácticas” aplicables.
La definición proporciona una base para evaluar la efectividad del control interno. Esta
definición refleja ciertos conceptos fundamentales.
El control interno es un proceso. Constituye un medio para un fin, no un fin en si mismo.
El control interno es ejecutado por personas. No son solamente manuales de políticas y
formas, sino personas en cada nivel de una organización.
Del control interno pueden esperarse que proporcione solamente seguridad razonable, no
seguridad absoluta, a la administración y al concejo de una entidad.
El control interno esta engranado para la consecución de objetivos en una o mas categorías
separadas pero interrelacionadas.
1.3. Objetivos del Informe COSO
El Informe COSO alcanzan los 3 objetivos principales siguientes:
1. Eficacia y eficiencia de las operaciones
2. Fiabilidad de la información financiera
3. Cumplimiento de las leyes y normas que sean aplicables.
Al realizar una auditoria es conveniente descomponer los 3 objetivos anteriores en los
siguientes:
Eficacia de las operaciones
Eficiencia de las operaciones

10
Fiabilidad de la información financiera
Fiabilidad de la información operativa y de gestión
Salvaguardia de los activos
Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.
El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en
términos de rentabilidad y rendimiento de las operaciones de la empresa u organización.
El segundo objetivo pretende garantizar que la empresa disponga de información financiera
cierta, fiable y, muy importante, que esta información se obtenga tempestivamente, eso es,
cuando sea necesaria y útil. En este sentido, la fiabilidad de la información no es solo una
garantía frente a tercero, sino una exigencia de la dirección, ya que sin esta información, no seria
posible tomar decisiones empresariales acertadas.
El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se
encuentre sujeta la empresa.
El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad,
rendimiento y minimice las perdidas de recursos; favorece que la empresa disponga de
información fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras
normas que le son de aplicación.
Para lograr estos 3 objetivos, el sistema de Control Interno se basa (según la propuesta del
Informe COSO) en 5 elementos o componentes, que representan lo que se necesita para
garantizar el éxito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los
componentes deben estar funcionando correctamente.
1.4. Importancia del COSO
Incorporo en una sola estructura conceptual los distintos enfoques existentes en el ámbito
mundial y genero un consenso entre los empresarios, los legisladores, los reguladores y otros.
Actualiza la practica del control interno, lo mismo que los procesos de diseño, implantación y
evaluación.
Ayuda a evitar peligros y sorpresas (riesgos) en el camino.

11
1.5. Beneficios del control interno
Es necesario que exista una cultura de control interno en toda la organización, que permita el
cumplimiento de los objetivos generales de control.
Sus beneficios incluyen:
Ayudar a los directivos al logro razonable de las metas y objetivos institucionales
Integrar e involucrar al personal con los objetivos de control
Ayudar al personal a medir su desempeño y por ende, a mejorarlo
Contribuir a evitar el fraude
Facilitar a los directivos la información de cómo se han aplicado los recursos y cómo se han
alcanzado los objetivos
1.6. Naturaleza del Control Interno
El Control Interno abarca el plan de Organización y los métodos coordinados y medidas
adoptadas dentro de la empresa para salvaguardar sus activos, verificar la adecuación y fiabilidad
de la información de la contabilidad, promover la eficacia operacional y fomentar la adherencia a
las políticas establecidas de dirección.
1.7. Clasificación del Control Interno
a. Control Interno Administrativo
Esta constituido por el plan de organización, los procedimientos y registros que conciernen a los
procesos de decisión, que conducen a la autorización de las transacciones por parte de los niveles
jerárquicos superiores, de tal manera que fomenten la eficiencia en las operaciones, la
observancia de políticas y normas prescritas y el logro de las metas y objetivos programados.
b. Control Interno Contable
Comprende el plan de organización, procedimientos y registros concernientes a la custodia de
recursos financieros, la verificación de la exactitud, confiabilidad y oportunidad de los registros e
informes financieros.
1.8. Características del Control Interno
El Control Interno cuenta con cinco características:

12
1. Plan de Organización
La estructura de una Organización variara dependiendo de la naturaleza de la naturaleza de la
empresa, su método de funcionamiento, tamaño, número de componentes de la Organización y su
distribución geográfica, pero lo que tiene en común éstas es que aspiran a contar con unos planes
de organización satisfactorios.
Para que esto se cumpla debe contar con dos requisitos básicos los cuales se describen de la
siguiente manera:
Independencia de la Organización
Un plan de organización satisfactorio permitirá una separación adecuada de las funciones
operacionales, de custodia, contabilidad y auditoria interna. Debería existir una distribución de
responsabilidades de forma que los registros que se mantienen fuera de cada departamento sirvan
de control sobre las actividades de los mismos. Además, contempla la custodia de los activos, y
la contabilización o el registro de las transacciones relacionadas con ellos.
Líneas de Responsabilidad
Dentro de los departamentos deben de existir definiciones inequívocas de las responsabilidades,
de acuerdo con las normas y procedimientos globales establecidos por la dirección. Además debe
existir una correcta delegación de autoridad a individuos específicos con el fin de que éstos
cumplan con sus responsabilidades de una forma eficiente y eficaz.
2. Sistema de Procedimientos de Autorización y Registro
Esta característica consiste en que al diseñar el sistema, es importante que los formatos y
procedimientos establecidos permitan la revisión y autorización de todas las transacciones antes
de que éstas queden registradas en los libros de contabilidad de la empresa. Los formatos
utilizados por ésta deben estar prenumerados y contabilizados para asegurarse de que queden
incluidas todas las transacciones ejecutadas en el sistema contable.
El catálogo de cuentas y el manual de contabilidad constituyen también unos componentes
esenciales del sistema. Las cuentas incluidas en el catálogo constituyen el marco básico de todo
el sistema de contabilidad y facilitan la recopilación y clasificación de las diversas transacciones.
El manual de contabilidad describe los conceptos de autoridad, responsabilidad y obligaciones,

13
así como perfila el método con que realizarse el trabajo de contabilidad para alcanzar los
objetivos de la empresa de la forma más eficaz y económica.
3. Prácticas de Sondeo
Consiste en incluir la división de obligaciones y el sistema de procedimientos de autorización y
registro, se incluye también los diversos procedimientos, de comprobación de errores que deben
realizarse en relación con el mantenimiento de los registros de la empresa.
4. Calidad del Personal
Esta consiste en que las anteriores características para que sean eficaces, los empleados claves y
la gerencia de una empresa deben ser competentes para cumplir con sus obligaciones de manera
eficaz. Por lo tanto, la calidad debe incluir la ética, inteligencia, dedicación y responsabilidad de
un individuo.
5. Sistema Fiable
Consiste en diseñar sin ningún problema cualquier sistema mediante organigramas complejos,
manuales voluminosos y declaraciones detalladas de los procedimientos operacionales, pero si la
gerencia no hace que funcione como se había proyectado, entonces este sistema tan laborioso
existe únicamente sobre el papel.
1.9. Participantes y Responsables de la Implementación del Control Interno
Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente:
Consejo de Administración. Establece no sólo la misión y los objetivos de la organización, sino
también las expectativas relativas a la integridad y los valores éticos. Son responsables de
diseñar, instalar e implementar los controles, así como de mantenerlos y modificarlos, cuando sea
necesario.
Gerencia: Debe asegurar que existe un ambiente propicio para el control.
Área financieros. entre otras cosas, apoyan la prevención y detección de reportes financieros
fraudulentos.
Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en
relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las
medidas correctivas necesarias.

14
Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia
de los presupuestos con los planes operativos. auditoria Interna:
A través del examen de la efectividad y adecuación del sistema de control interno y mediante
recomendaciones relativas a su mejoramiento.
Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin
de salvaguardar los bienes de la Empresa.
Personal de la Organización: Mediante la ejecución de las actividades que tiene cotidianamente
asignadas y tomando las acciones necesarias para su control. También siendo responsable de
comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o
posibles faltas al código de conducta y otras violaciones.
Extremadamente la participación de las entidades externas consiste en lo siguiente:
Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto
de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de
los reportes financieros, entre otros.
Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de
requerimientos de control interno, así como en el examen directo de las operaciones de la
Organización, haciendo recomendaciones que lo fortalezcan.
1.10. Tipos de control
Se diseñan para cumplir varias funciones:
Preventivos
Anticipan eventos no deseados antes de que sucedan
Detectivos
Identifican los eventos en el momento en que se presentan
Correctivos
Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado
1.11. Auditoria y Control Interno
La Auditoria Interna se centra en los siguientes aspectos de control interno:
Confiabilidad, integridad y oportunidad de la información,
Cumplimiento de las disposiciones legales vigentes,

15
Protección de Activos
Uso eficiente y económico de los recursos
Logro de Objetivos y Metas de operaciones o programas
De aplicarse el Enfoque COSO la Auditoria Interna dejaría de ser una función de informe sobre
hechos pasados, pasando a ser una función proactiva.
1.11.1. Tipos de Riesgos del Auditor
El riesgo que el auditor dé una opinión de auditoria inapropiada cuando los estados financieros
estén elaborados en forma errónea de una manera importante.
Los Componentes del riesgo del auditor están: riesgo inherente, riesgo de control y riesgo de
detección.
Riesgo inherente
Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación
errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con
representaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos
relacionados.
Riesgo de Control
Es el riesgo de que una representación errónea que pudiera ocurrir en el saldo de cuenta o clase
de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega
con representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido
con oportunidad por los sistemas de contabilidad y de control interno.
Riesgo de detección
Es el riesgo de que los procedimientos sustantivos de un auditor no detecten una representación
errónea que existe en un saldo de una cuenta o clase de transacciones que podría ser de
importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otros
saldos o clases.

16
1.11.2. Objetivos de la Auditoria Interna
Creación de valor en forma constante.
Identificación de riesgos, evaluación de los mismos y buscar mecanismos que los reduzcan a
su mínima expresión.
Promover dentro de la empresa el entendimiento y aprendizaje de estos mecanismos.
Los Auditores Internos son quienes deben asesorar sobre “la mejor forma de hacer las
cosas” y controles a aplicar en cada caso.
1.12. Normativa Técnica del Control Interno (COSO):
La normativa técnica en el cual esta regulado el informe COSO Control Interno tenemos:
a. Planeación (NIA’s Sección 300)
Comprensión de los sistemas de contabilidad y de control interno
Políticas contables adoptadas por la entidad y los cambios en esas políticas
El efecto de pronunciamientos nuevos de contabilidad y auditoria
El conocimiento acumulable del auditor sobre los sistemas de contabilidad y de control interno y
el relativo énfasis que se espera se ponga en las pruebas de procedimientos de control y otros
procedimientos sustantivos
b. Evaluación del Riesgo y Control Interno (NIA’s Sección 400)
En esta NIA su finalidad es proporcionar lineamientos para obtener una comprensión de los
sistemas de contabilidad y de control interno y sobre el riesgo de auditoria y sus componentes:
riesgo inherente, riesgo de control y riesgo de detección, además de lo siguiente:
El sistema de control interno
El ambiente de control. Actitud global, conciencia y acciones de los directores y a su
administración respecto del sistema de control interno y su importancia en la entidad
Procedimientos de control. Aquellas políticas y procedimientos además del ambiente de
control que la administración ha establecido para lograr los objetivos específicos de la entidad
c. Las Normas Técnicas de Control Interno Emitidas Por la Corte de cuentas de La
Republica de El Salvador; Organismo Rector Del Sistema De Control Y Auditoria De La
Gestión Pública. Que Fue Publicado En 29 De Septiembre De 2004.

17
AAMMBBIIEENNTTEE DDEE CCOONNTTRROOLL
EVALUACION
DE RIESGOS
ACTIVIDADES
DE CONTROL
MMOONNIITTOORREEOO
INFORMACIÓN
Las normas técnicas de control interno constituyen el marco básico que establece la Corte de
Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones,
entidades, sociedades y empresas del sector público y sus servidores. (De ahora en adelante
“Instituciones del Sector Público” .(Para el resumen de esta norma ver Anexo 1)
2. COMPONENTES DEL CONTROL INTERNO
Los componentes del control interno según el enfoque COSO son los siguientes:
El sistema de control interno definido por el informe de COSO ésta basado en cinco
componentes:
Ambiente de Control
Valoración de Riesgos
Actividades de Control
Información y Comunicación
Monitoreo o Vigilancia
A continuación se presenta un esquema de cómo esta estructurado los componente del informe
COSO:
COMUNICACION

18
Breve explicación del esquema.
El control del medio ambiente. Establece el tono de la organización, influenciando la conciencia
del control de su gente. Es la base para el resto de los componentes del Control Interno,
proporcionando disciplina y estructura.
La valoración de riesgos. Es la identificación y el análisis de los riesgos relevantes que puedan
afectar el cumplimiento de los objetivos establecidos, con el fin de diseñar un plan que permita
decidir como se deben administrar dichos riesgos
Las actividades de control. Son las políticas y procedimientos que ayudan a asegurar que las
directrices de la gerencia son llevadas a cabo. Estas ayudan a asegurarse que son tomadas las
acciones necesarias para controlar los riesgos y que se logren los objetivos de la entidad.
Información y comunicación. La información pertinente se debe identificar, capturar y
comunicar en forma y tiempo que permita a los empleados llevar a cabo sus responsabilidades.
Los sistemas de información producen reportes, sobre la operación, situación financiera y el
cumplimiento con leyes y regulaciones, que hacen posible el operar y controlar el negocio
El monitoreo. Es el proceso de evaluación del diseño y operación de los controles por parte del
personal apropiado, siendo en tiempo y tomando acciones necesarias.
Esto aplica a todas las actividades dentro de la organización y algunas veces también a los
contratistas externos.
2.1. AMBIENTE DE CONTROL
El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y
cumple con sus responsabilidades. Además sirve de fundamento para los otros componentes.
Este componente tiene incidencia generalizada en la estructuración de las actividades
empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos, asimismo
influye en las actividades de control, los sistemas de información y comunicación y alas
actividades de supervisión.

19
El ambiente de control considera una serie de factores que se comenta a continuación:
2.1.1. Integridad y Valores Éticos
La autoridad superior del organismo debe procurar , difundir, internalizar y vigilar la practica de
valores éticos aceptados, que constituyan un sólido fundamento moral para su conducción y
operación.
Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad
y compromiso personal.
Los valores éticos son esenciales para el Ambiente de Control. El sistema de Control Interno se
sustenta en los valores éticos, que definen la conducta de quienes lo operan. Estos valores éticos
pertenecen a una dimensión moral y, por lo tanto, van más allá del mero cumplimiento de las
Leyes, Decretos, Reglamentos y otras disposiciones normativas.
El comportamiento y la integridad moral encuentran su red de sustentación y su caldo de cultivo
en la cultura del organismo. Esta determina, en gran medida, cómo se hacen las cosas, que
normas y reglas se observan. Si se tergiversan o se eluden. En la creación de una cultura
apropiada a estos fines juega un papel principal la Dirección Superior del organismo, la que con
su ejemplo contribuirá a construir o destruir diariamente este requisito de control interno.
2.1.2. Competencia Profesional
Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les
permita comprender la importancia del desarrollo, implantación y mantenimiento de controles
internos apropiados.
Tanto directivos como empleados deben:
Contar con un nivel de competencia profesional ajustado a sus responsabilidades
Comprender suficientemente la importancia, objetivos y procedimientos del control
interno.
Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de
preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el

20
personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y
metódica.
El Sistema de Control Interno operará más eficazmente en la medida que exista personal
competente que comprenda los principios del mismo.
2.1.3. Atmósfera de Confianza Mutua
Debe fomentarse una atmósfera de mutua confianza para respaldar el flujo de información entre
la gente y su desempeño eficaz hacia el logro de los objetivos de la organización.
La confianza mutua respalda el flujo de información que la gente necesita para tomar decisiones
y entrar en acción. Respalda, además, la cooperación y la delegación que se requieren para un
desempeño eficaz tendiente al logro de los objetivos de la organización. La confianza está basada
en la seguridad respecto de la integridad y competencia de la otra persona o grupo.
La comunicación abierta crea y depende de la confianza dentro de la organización. Un alto nivel
de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de
conocimiento de más de una persona. El compartir tal información fortalece el control reduciendo
la dependencia de la presencia, el juicio y la capacidad de una única persona.
2.1.4. Filosofía y Estilo de la Dirección
La Dirección Superior debe transmitir a todos los niveles de la organización, de manera explícita,
contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los
valores éticos.
La Dirección Superior y las Gerencias deben hacer comprender, a todo el personal, que las
responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un
rol importante dentro del Sistema de Control y que cada rol está relacionado con los demás.
La filosofía y el estilo de la Dirección influencian y traducen la manera en la que el organismo es
conducido. Son ejemplos: la transparencia de la gestión, la postura ante las innovaciones y el
aprendizaje, la forma de resolver los problemas y medir los desempeños y resultados.

21
La actitud de interés de la Dirección, por un control interno efectivo, debe penetrar la
organización. Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y
actitudes concretas.
De esta forma los empleados se desempeñarán en un ambiente que les facilite tanto la
comprensión y respeto por el control interno, como la motivación para la sugerencia de medidas
que fomenten su perfeccionamiento.
2.1.5. Misión, Objetivos y Políticas
La Misión, los Objetivos y las Políticas de cada organismo deben estar relacionados y ser
consistentes entre sí, debiendo estar especificados en documentos oficiales.
Dichos documentos deberán ser adecuadamente difundidos a la comunidad y a todos los niveles
organizacionales. En el primer caso, como antecedente para la posterior rendición de cuenta. En
el segundo, como medio de conseguir el cumplimiento de las acciones organizacionales en la
persecución de aquellos.
Una organización qué desconoce que es, hacia donde va, y que medios utilizará en el camino,
marcha a la deriva y con pocas posibilidades de éxito. En esta condición el control interno
carecería de sus más importantes fundamentos y tan sólo se limitaría a la verificación del
cumplimiento de ciertos aspectos formales.
La Misión indica: ¿Qué somos? ¿Para qué estamos? ¿Qué necesidades servimos? Generalmente
esta fijada en las Leyes, Decretos, Cartas Orgánicas o Estatutos.
Los objetivos indican: ¿Hacia dónde se va? ¿Cuál es nuestro propósito? Son definidos
periódicamente en los planes de acción y presupuestos.
Las Políticas delimitan la acción. Definen: ¿Cuáles son los medios preferidos? ¿Qué valoramos?
¿Qué restricciones les imponemos?
2.1.6. Organigrama
Todo organismo debe desarrollar una estructura organizativa qué atienda el cumplimiento de la
misión y objetivos, la que deberá ser formalizada en un Organigrama.

22
La estructura organizativa, formalizada en un organigrama, constituye el marco formal de
autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los
objetivos del organismo, son planeadas, efectuadas y controladas.
Lo importante es que su diseño se ajuste a sus necesidades, esto es que proporcione el marco
organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos
fijados. Lo apropiado de la estructura organizativa podrá depender, por ejemplo, del tamaño del
organismo
2.1.7. Asignación de Autoridad y Responsabilidad
Todo organismo debe complementar su Organigrama, con un Manual de Organización, en el cual
se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes
relaciones jerárquicas y funcionales para cada uno de estos.
El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen
claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y
solucionar los problemas, actuando siempre dentro de los límites de su autoridad.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las
decisiones queden en manos de quienes están más cerca de la operación. Un aspecto crítico de
esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario pero
solamente para mejorar la probabilidad de alcanzar los objetivos.
Toda delegación conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el
trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus
responsabilidades y tareas.
Para que sea eficaz un aumento en la delegación de autoridad se requiere un elevado nivel de
competencia en los delegatarios, así como un alto grado de responsabilidad personal. Además, se
deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la
Dirección.

23
2.1.8. Políticas y Practicas En Personal
La conducción y tratamiento del personal del organismo debe ser justa y equitativa, comunicando
claramente los niveles esperados en materia de integridad, comportamiento ético y competencia.
Los procedimientos de contratación, inducción, capacitación y adiestramiento, calificación,
promoción y disciplina, deben corresponderse con los propósitos enunciados en la política.
El personal es el activo más valioso que posee cualquier organismo. Por ende, debe ser tratado y
conducido de forma tal que se consigna su más elevado rendimiento. Debe procurarse su
satisfacción personal en el trabajo que realiza, propendiendo a que en este se consolide como
persona, y se enriquezca humana y técnicamente. La Dirección asume su responsabilidad en tal
sentido, en diferentes momentos:
Selección: al establecer requisitos adecuados de conocimiento, experiencia e integridad para
las incorporaciones.
Inducción: al preocuparse para que los nuevos empleados sean metódicamente
familiarizado con las costumbres y procedimientos del organismo.
Capacitación: al insistir en que sean capacitados convenientemente para el correcto
desempeño de sus responsabilidades.
Rotación y promoción: al procurar que funcione una movilidad organizacional que
signifique el reconocimiento y promoción de los más capaces e innovadores.
Sanción: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con
rigurosidad que no se tolerarán desvíos del camino trazado.
2.1.9. Comité de Control
En cada organismo deberá constituirse un Comité de Control integrado, al menos, por un
funcionario del máximo nivel y el auditor interno titular.
Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno
y el mejoramiento continuo del mismo.
La existencia de un Comité con tal objetivo refuerza el Sistema de Control Interno y contribuye
positivamente al Ambiente de Control.

24
Para su efectivo desempeño debe integrarse adecuadamente, esto es, con miembros que generen
respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y
experiencia que les permita apoyar a la dirección del organismo mediante su guía y supervisión.
2.2. Evaluación del Riesgo
Consiste en la identificación y análisis de los riesgos relevantes que enfrenta un organismo en la
persecución de sus objetivos, ya sean de origen interno como externo. Formando una base para la
determinación de cómo estos deben administrarse.
Antes que todo, deben definirse los objetivos a fin de que la administración pueda identificar los
riesgos ay tomar las acciones necesaria para administrarlos.
La identificación del riesgo es un proceso interativo, y generalmente integrado a la estrategia y
planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema
de riesgos identificados en estudios anteriores.
Su desarrollo debe comprender la realización de un "rastreo" del riesgo, que incluya la
especificación de los dominios o puntos claves del organismo, la identificación de los objetivos
generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar.
Un dominio o punto clave del organismo, puede ser:
Un proceso que es crítico para su sobrevivencia;
Una o varias actividades que sean responsables de la entrega de porciones importantes de
servicios a la ciudadanía;
Un área que esta sujeta a Leyes, Decretos o Reglamentos de estricto cumplimiento, con
amenazas de severas sanciones por incumplimiento;
Un área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones
tecnológicas de avanzada).

25
Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos del
organismo, debe tenerse en cuenta que pueden existir algunos de éstos que no están formalmente
expresados, lo cual no debe ser impedimento para su consideración.
Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se
pueden mencionar, entre las externas:
Desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia
organizacional;
Cambios en las necesidades y expectativas del cliente o usuario;
Modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos
en la estrategia y procedimientos;
Alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus
fuentes de financiamiento y su posibilidad de expansión.
Entre las internas, podemos citar:
La estructura organizacional adoptada, dado la existencia de riesgos inherentes típicos tanto
en un modelo centralizado como en uno descentralizado;
La calidad del personal incorporado, así como los métodos para su instrucción y
motivación;
La propia naturaleza de las actividades del organismo.
Una vez identificados los riegos a nivel del organismo, deberá practicarse similar proceso al nivel
de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a
los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo.
Los pasos siguientes al diagnóstico realizado son los de la estimación del riesgo y la
determinación de los objetivos de control

26
2.2.1. TIPOS DE RIESGOS
2.2.2. Factores de Riesgo
Medio Ambiente
Grado de comunicación, interacción y consulta que tiene el negocio
Estilo de administración.
Presión de la competencia.
Velocidad en que se abren nuevos mercados.
Presión que ejercen los superiores para el logro de objetivos.
Riesgos de mercado por tipos de cambio, tasas de interés,
Capacidad del Personal
Grado de especialidad requerida.
Grado de conocimiento que tiene el personal operativo, acerca de las funciones y necesidades
del puesto.
Riesgos de mercado
Exposición en términos de
intervalos de confianza
Simulación de
administración de
portafolios por cambios en
moneda y tasas de interés
Desarrollo de pruebas de
contingencia
Riesgo Operacional
Tamaño y estructura de la
organización de la oficina
de enfrente (donde se
realiza la transacción)
Tamaño y estructura de la
organización de la oficina
de atrás (donde se
procesan, controlan,
confirman y se evalúan las
transacciones)
Riesgos de Liquidez o
Financiación
Habilidad de la entidad
para obtener fondos
Estrategia para manejar
circunstancias
Elaboración de
presupuestos
Sistemas de información
Riesgos Legal
Se identifica tipos y
fuentes de riesgo legal
Capacidad legal
Revisión de contratos
Cumplimiento de leyes
Riesgos de Crédito
Valoración de garantías
Políticas de aprobación de
créditos (limites)
Recuperación efectiva
Revisión ongoin
Riesgos de Liquidez del
mercado
Amplitud oferta /
demanda
Oportunidades de
liquidación o liberación de
transacciones

27
Integridad del Personal
Calidad moral de los responsables del negocio / actividad.
Cultura, costumbres, idiosincrasia de la región, etc.
Proceso de selección y reclutamiento del personal.
Actitud y disponibilidad de acuerdo a las necesidades del trabajo.
Tamaño y liquidez de los activos
Cercanía y facilidades reales que tienen los activos del negocio / actividad de convertirse en
efectivo.
Importancia de los activos en cada área.
Volumen de transacciones
Grado de Sistematización.
Incremento de operaciones.
Complejidad o volatilidad de las operaciones.
Condiciones económicas
Nivel de resultados cuantitativos y cualitativos del negocio, unidad, región y actividad.
Oportunidades de disponer de recursos para adquirir las herramientas necesarias para
desarrollar sus trabajos.
Dispersión geográfica
Ubicación del negocio / actividad con respecto a la localización geográfica de la oficina
matriz.
Adecuación y efectividad de los sistemas de control interno
Cambios en la operación
Cambios recientes en personal clave.
Crecimiento acelerado.
Cambios de procedimientos.

28
Cambios en la tecnología
Nueva tecnología.
Presión por la dirección para ser punta de lanza.
2.2.3. Estimación del Riesgo
Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como también
se debe cuantificar la probable pérdida que ellos pueden ocasionar.
Una vez identificados los riegos al nivel de organismo y de programa de actividad, debe
procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los
riesgos pueden ser diversos, e incluirán como mínimo:
Una estimación de su frecuencia, o sea la probabilidad de ocurrencia.
Una valoración de la perdida que podría resultar.
En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican
preocupaciones mayores. Por el contrario, los que se estima de alta frecuencia deben merecer
preferente atención. Entre estos extremos se encuentran casos que deben ser analizados
cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.
Existen muchos riesgos dificultosos de cuantificar, que como máximo se prestan a calificaciones
de "grande", "moderado" o "pequeño". Pero no debe cederse a la difundida inclinación de
conceptuarlos rápidamente como "no medibles". En muchos casos, con un esfuerzo razonable,
puede conseguirse una medición satisfactoria.
Esto se puede expresar matemáticamente en la llamada Ecuación de la Exposición:
En donde:
PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual.
F = Frecuencia, veces probables en que el riesgo se concrete en el año.
V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.
PE = F x
V

29
2.2.4. Determinación de los Objetivos de Control
Luego de identificar, estimar y cuantificar los riesgos, la Dirección Superior y las Gerencias
deben determinar los objetivos específicos de control y, con relación a ellos, establecer los
procedimientos de control más convenientes.
Una vez que la Dirección Superior y las Gerencias han identificado y estimado el nivel de riesgo,
deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible.
Se deberán establecer los objetivos específicos de control del organismo, que estarán
adecuadamente articulados con sus propios objetivos globales y sectoriales.
En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas
que se estimen más efectivas al menor costo, para minimizar la exposición.
2.2.5. Detección del Cambio
Todo organismo debe disponer de procedimientos capaces de captar e informar oportunamente
los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar
contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.
Una etapa fundamental del proceso de Evaluación del Riesgo es la identificación de los cambios
en las condiciones del medio ambiente en que el organismo desarrolla su acción. Un sistema de
control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera.
A este proceso de identificar cambios efectivos o potenciales con vistas a adoptar las decisiones
oportunas, se lo denomina gestión de cambio. Requiere un sistema de información apto para
captar, procesar y transmitir información relativa a los hechos, eventos, actividades y condiciones
que originan cambios ante los cuales el organismo debe reaccionar.
Esto es identificar causas potenciales que faciliten o impidan alcanzar los objetivos, calcular la
probabilidad de su ocurrencia, evaluar sus probables efectos, y considerar el grado en que el
riesgo puede ser controlado o la oportunidad aprovechada.
A título de ejemplo se señalan algunas condiciones que deben merecer particular atención:

30
Cambios en el contexto externo: legislación, reglamentos, programas de ajuste, tecnología
cambios de autoridades, etc.
Crecimiento acelerado: un organismo que crece a un ritmo demasiado rápido está sujeto a
muchas tensiones internas y a presiones externas.
Nuevas líneas de productos o servicios: la inversión en la producción de nuevos bienes o
servicios generalmente ocasiona desajustes en el Sistema de Control Interno, el que debe ser
revisado.
Reorganizaciones: generalmente significan reducciones de personal que ocasionan, si no son
racionalmente practicadas, alteraciones en la separación de funciones y en el nivel de
supervisión.
Creación del sistema de información o su reorganización: puede llegar a generar un
período de exceso o defecto en la información producida, ocasionando en ambos casos la
probabilidad de decisiones incorrectas.
El proceso de gestión de cambio es crítico para el Sistema de Control Interno y no debe ser
obviado en ninguna circunstancia.
2.3. Actividades de Control
Las actividades de control consisten en las políticas y los procedimientos que aseguran que se
cumplen las directrices de la administración. También tienden a que se tomen las medidas
necesarias para hacerle frente a los riesgos que ponen en peligro la consecución de los objetivos
de la entidad.
Las actividades de control se llevan a cabo en cualquier parte de la organización, en todas las
funciones de cada uno de los niveles y comprende una serie de actividades tan diferentes como
pueden ser aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los
resultados de las operaciones, la salvaguarda de activos y la segregación de funciones.
2.3.1. Tipos de actividades de control
Existen muchas descripciones de tipos de actividad de control que incluye desde controles
preventivos, defectivos, manuales, informativos y de dirección.

31
Algunas de las actividades de control que son desarrolladas por el personal de todos los niveles
de organización son los siguientes:
a) Análisis efectuados por la dirección.
Este trata de realizar un análisis de los resultados obtenidos de las operaciones económicas de una
entidad, comprobándolos con los presupuestos, las previsiones, los resultados de ejercicios
anteriores y de los competidores, con el fin de evaluar en que medida se están alcanzando los
objetivos.
Para esto, la dirección realiza un seguimiento de las iniciativas principales como campaña
b) Gestión directa de funciones por actividades.
Los responsables de las diversas funciones o actividades revisan los informes sobre los
resultados alcanzados. En el caso de un banco por ejemplo, el responsable de los prestamos para
consumo analiza los informes obtenidos por: región, sucursal, y tipo de prestamos; Además
también verifica resúmenes, identifica las tendencias y relaciona los resultados con las
estadísticas económicas y los objetivos.
c) Proceso de información.
Se realiza una serie de controles para comprobar la exactitud, totalidad y autorización de las
transacciones. Por ejemplo, el pedido de un cliente no se acepta hasta después de su
comprobación a través del archivo de clientes y del límite de crédito aprobado. Las anomalías
que requieren un seguimiento son analizadas por el personal administrativo y son transmitidas a
los responsables cuando resulta necesario.
d) Controles físicos.
Los equipos de fabricación, las inversiones financieras, la tesorería y otros activos son objeto de
protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las
cifras que figuran en los registros de control.
e) Indicadores de rendimientos.
El análisis combinado de diferentes conjuntos de datos (operativos o financieros) junto con la
puesta en marcha de acciones correctivas, constituye actividad de control. Los indicadores de

32
rendimiento incluyen por ejemplo, las fluctuaciones de los precios de compra, el porcentaje de
pedidos urgente y la proporción de las devoluciones sobre el total de pedidos.
Mediante la investigación de los resultados inesperados o las tendencias anormales, la dirección
identifica las circunstancias en la que existe el peligro de que no se consigan los objetivos
establecidos.
f) Segregación de funciones.
Esta consiste en repartir las tareas entre los empleados con el fin de reducir el riesgo de que se
cometan errores o irregularidades. Por ejemplo, se separan las responsabilidades de autorizar
transacciones, de registrarlas y de gestionar los activos correspondientes.
La persona que autoriza la venta a crédito no será responsable de los registros contables de la
cuenta de clientes o de gestionar los ingresos en efectivo.
2.3.2. Políticas y procedimientos.
Las actividades de control generalmente se apoyan en dos elementos: las políticas que determinan
lo que debería de hacerse (constituyen la base del segundo elemento) y los procedimientos
necesarios para llevar a cabo las políticas.
A menudo las políticas se comunican verbalmente. Las políticas pueden ser eficaces aunque no
estén escritas en situaciones donde hacen referencias a prácticas muy asimiladas y conocidas y en
pequeñas empresas donde las vías de comunicación solo implican un número limitado de
responsabilidad, lo cual facilita la interacción y supervisión del personal. Con independencia de
que una política se establezca o no por escrito, hay que implantarla de forma seria, concienzuda y
coherente. Un procedimiento no será útil si se lleva a cabo de forma mecánica, sin concentrarse
en el objetivo por el que se ha establecido la política.
Asimismo, es importante que las condiciones identificadas como resultados de la aplicación de
los procedimientos se investiguen y que se lleven a cabo las acciones correctivas apropiadas.

33
2.3.3. Evaluación de riesgos por medio de las actividades de control.
La dirección debe de elaborar planes para afrontar los riesgos. Una vez que sean identificados,
estas acciones también serán útiles para definir las operaciones de control que se aplicaran para
garantizar su ejecución de forma correcta, y en el tiempo deseado.
Dichas acciones son parte esencial del proceso mediante el cual una empresa intenta lograr sus
objetivos de explotación. Estas actividades de control sirven como mecanismos para asegurar el
cumplimiento de los objetivos.
Por ejemplo, las actividades podrían incluir tanto el seguimiento del desarrollo de las ventas por
cliente comparándolo con el calendario previsto como las medidas adoptadas para garantizar la
exactitud de la información obtenida. En este sentido, el control es un elemento integrado en el
proceso de gestión.
2.3.4. Controles sobre los sistemas de información.
Los sistemas de información desempeñan un papel fundamental en la gestión de las empresas,
deben necesariamente estar controladas, independientemente de su tamaño o de la información
que generan, sean estas de naturaleza financiera o relativas a las actividades.
Las actividades de control pueden agruparse en dos relativas categorías. La primera abarca los
controles generales, que son aplicables a muchas o a todas las operaciones y que ayudan a
asegurar el correcto funcionamiento. La segunda incluye controles de aplicación que incluye los
procedimientos programados en el seno de las aplicaciones y los procedimientos manuales
asociados para asegurar el control del proceso de los diferentes tipos de transacciones.
Estos controles pueden ser:
a) Controles generales.
Estos controles habitualmente incluyen:
1. Controles sobre las operaciones del centro de proceso de datos.
Estos incluyen la organización y la planificación de trabajos, las intervenciones del operador, los
procesos de salvaguarda y de recuperación de datos, así como los planes de emergencia.

34
En un entorno sofisticado, estos controles también incluyen la planificación de la capacidad
productiva y la distribución y el uso de los recursos. En un ambiente de una tecnología de punta,
la planificación de trabajos se efectúa de forma automática, pero el operador puede intervenir en
todo momento.
b) Controles de aplicación.
Estos controles están diseñados para controlar el funcionamiento de las aplicaciones. Permiten
asegurar la totalidad y exactitud en el proceso de transacciones, su autorización y su validez. Hay
que prestar especial atención a las interfaces de las aplicaciones, ya que, a menudo, están
conectadas con otros sistemas que a su vez, requieren controles para asegurar que se procesan
todos los datos y que todas las salidas de datos se distribuyen adecuadamente.
Una de las contribuciones más importantes de los ordenadores a los sistemas de control es su
capacidad de evitar que se introduzcan errores en el sistema, además de detectarlos y corregirlos
una vez dentro.
Muchos controles de aplicación dependen de comprobaciones de edición informatizadas, que
consisten en comprobaciones de formato, existencia, razón habilidad de datos y otras
comprobaciones que se incorporan en cada aplicación durante su desarrollo. Si estas
comprobaciones están diseñadas correctamente, pueden ayudar a controlar los datos que se
introduzcan en el sistema.
c) Relación entre controles generales y controles de aplicación.
Los controles de sistemas generales y de aplicación están relacionados entre sí. Los controles
generales con necesarios para asegurar el funcionamiento adecuado de los controles de aplicación
que dependen de los procesos informáticos.
La relación entre los controles de aplicación y los generales consiste en que estos son
indispensables para el funcionamiento de los controles de aplicación, y que ambos son necesarios
para garantizar el proceso completo y correcto de la información.

35
d) Evaluación de las actividades de control.
Estas actividades tienen que evaluarse en el contexto de las directrices establecidas por la
dirección para afrontar los riesgos relacionados con los objetivos de cada actividad importante.
La evaluación por lo tanto, tendrá en cuenta si las actividades de control están relacionadas con el
proceso de evaluación de riesgo y si son apropiadas para asegurar que las directrices de la
administración se cumplen. Dicha evaluación se efectuara para cada actividad importante,
incluidos los controles generales de los sistemas informáticos. Las personas encargadas de
efectuar la evaluación tendrán en cuenta no solamente si las actividades de control empleadas son
relevantes en base al proceso de evaluación de riesgos realizados, sino también si se aplican de
manera correcta.
2.4. Información y Comunicación
La información se requiere en todos los niveles de una organización, para llevar a cabo la gestión
de la empresa y el progreso hacia los objetivos en todas las categorías, operaciones, información
financiera y de cumplimiento.
Es imprescindible que la dirección disponga de datos fiables a la hora de efectuar la
planificación, preparar presupuestos, fijar precios, etc.
Los datos relativos a las operaciones son fundamentales para la formulación de los estados
financieros; ya sea que tengan origen interno como externo, o si es de carácter financiero o no es
relevante para todas las categorías de objetivos.
Los sistemas de información le permiten identificar, recoger, procesar y divulgar datos.
Generalmente se utiliza dicho término para denominar el procesamiento de datos generados
internamente relativos a las transacciones y a las actividades operarias internas. Sin embargo este
componente incorpora además la información sobre hechos, actividades y factores externos.
Los sistemas de información pueden ser formales e informales, pues las conversiones con
clientes, proveedores, organismos de control y empleados proporcionan parte de la información
más vital para poder identificar riesgos y oportunidades.

36
Para ser eficiente, no deben únicamente identificar y recoger la información necesaria (financiera
y no financiera), sino que también ha de procesarla y comunicarla en forma y plazo oportuno para
que sea útil en el control de las actividades de la entidad.
Estrategias y sistemas integrados.
Los sistemas de información generalmente constituyen una parte integral de las actividades
operativas, permitiendo recoger información necesaria para tomas las decisiones en cuanto a la
implementación de controles y además considera llevar a cabo iniciativas estratégicas, como algo
nuevo.
Las empresas utilizan la tecnología para comprender y satisfacer las necesidades del mercado
haciendo caso de sistemas para apoyar estrategias empresariales preactivas más que reactivas.
Se debe considerar al momento de seleccionar e implantar la tecnología varios elementos:
objetivos organizativos, las necesidades del mercado, las exigencias competitivas y el soporte que
proporcionara en los controles.
La calidad de la información que se genera por un sistema afecta la capacidad de tomar
decisiones adecuadas al gestionar y controlar las actividades de una entidad, los sistemas
modernos incorporan una opción para que se pueda obtener en todo momento datos actualizados.
Para que la información se considere con calidad debe comprender las siguientes características:
Utilidad. Se refiere a que la información puede ser efectivamente usada en la toma de
decisiones de los usuarios, dado que es importante y que ha sido presentada en forma
oportuna.
Confiabilidad. Consiste en que el usuario la acepte y la utiliza para tomas decisiones en ella,
la confianza que este le otorga requiere que las operaciones del sistema sean estables, objetiva
y confiable.
Provisionalidad. Significa que la información no reporta hechos totalmente terminados.

37
La comunicación es inherente a los sistemas de información, por lo que debe ser amplia para que
pueda abordar las expectativas y responsabilidades de las personas, grupos y otras situaciones
importantes.
2.4.1. Comunicación interna.
Se debe dar a conocer la información necesaria para llevar a cabo las actividades de todo el
personal, específicamente los empleados con responsabilidades importantes en la gestión, deben
de recibir el mensaje claro desde la alta dirección y tomar en serio las funciones afectas al control
interno, ya que la claridad del mensaje como la eficacia de la comunicación es muy importante
especificando cada función concretamente, porque cada persona tiene que entender los aspectos
relevantes del sistema de control interno, como funcionan los mismos y saber cual es su papel y
responsabilidad en el sistema.
2.4.2. Comunicación externa.
La comunicación recibida de terceros (accionistas, instituciones de control, analistas financieros,
etc.), proporciona información importante y acorde a las necesidades sobre el funcionamiento del
control interno; de modo que se pueda entender el entorno y los riesgos de la entidad,
presentando datos significativos que son pertinentes y oportunos, cumpliendo con los
correspondientes registros legales.
Medios de comunicación.
Existen diversos medios para transmitir la comunicación dentro de una entidad:
a. Manuales de políticas, memorias, avisos en pizarras o mensajes de video; materializándose en
estas formas.
b. Mensajes que se transmiten verbalmente; la entonación y el lenguaje corporal sirven para dar
énfasis.
c. La actuación de la dirección al tratar con sus subordinados.
2.5. Monitoreo (Supervisión o Vigilancia)
El proceso de supervisión garantiza que el control interno continua funcionando adecuadamente,
comprendiendo la evaluación, la manera en que se han diseñando, el funcionamiento y la forma

38
en que se adaptan las medidas necesarias, aplicándose a todas las actividades dentro de la entidad
y muchas veces también a externos contratados.
Las operaciones de supervisión se materializan en dos formas:
Actividades de supervisión continua
Evaluaciones puntuales
Normalmente los sistemas de control interno, aseguran en mayor o menor medida su propia
supervisión, por lo que cuando mayor sea el nivel y la eficacia de supervisión continua, menor
será la necesidad de evaluaciones puntuales.
2.5.1. Actividades de supervisión continuada
La variedad de actividades que permiten efectuar un seguimiento de la eficacia del control
interno en el desarrollo normal del negocio, comprende actividades corrientes de gestión,
supervisión comparaciones, conciliaciones y otras tareas rutinarias.
2.5.2. Evaluaciones puntuales
Al realizar un replanteamiento del sistema de control interno, muchas veces, resulta útil ya que se
verifica la continuidad de la eficacia de los procedimientos que se llevan a cabo en la supervisión
continuada.
2.5.3. Alcance y frecuencia
Dentro de las evaluaciones del control interno varían según la magnitud de los riesgos objeto de
control y la importancia para la reducción de aquellos, por lo que los controles que actúan sobre
los riesgos de mayor prioridad y los mas críticos para a redacción de un determinado riesgo serán
objeto de evaluación con mas frecuencia. El alcance de la evaluación dependerá de cual de las
categorías de objetivos van enfocados (operacionales, de información financiera o de
cumplimiento)
2.5.4. Implementación del Control Interno
Es el proceso que evalúa la calidad del funcionamiento del control interno en el tiempo y permite
al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran.

39
Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para promover
su reforzamiento. El monitoreo se lleva a cabo de tres formas:
Durante la realización de las actividades diarias en los distintos niveles de la entidad.
De manera separada, por personal que no es el responsable directo de la ejecución de las
actividades (incluidas las de control).
Mediante la combinación de ambas modalidades.
Los elementos que conforman el monitoreo de actividades son:
Monitoreo del rendimiento;
Revisión de los supuestos que soportan los objetivos del control interno;
Aplicación de procedimientos de seguimiento; y,
Evaluación de la calidad del control interno.
Monitoreo del rendimiento- El rendimiento debe ser monitoreado comparando las metas e
indicadores identificados con los objetivos y planes de la entidad. El monitoreo del rendimiento
de las operaciones ofrece una oportunidad para aprender de la experiencia. El logro de los
objetivos en forma rápida o lenta con relación a lo planeado, puede indicar la necesidad de revisar
los objetivos o modificarlos por la propia entidad.
Revisión de los supuestos que soportan los objetivos - Los objetivos de la entidad y los
elementos del control interno necesarios para obtener su logro apropiado, descansan en supuestos
fundamentales acerca de como se realiza el trabajo. Si los supuestos de la entidad son incorrectos,
el control puede ser inefectivo. Por ello, tales supuestos que sustentan los objetivos de una
entidad deben revisarse periódicamente.
Aplicación de procedimientos de seguimiento - Los procedimientos de seguimiento deben ser
establecidos y ejecutados para asegurar que cambios o acciones apropiadas ocurren.
Evaluación de la calidad del control interno - La gerencia debe monitorear periódicamente la
efectividad del control interno en su entidad para retroalimentar el proceso de gestión de la
entidad. Adicionalmente, utiliza los Informes de auditoria Interna como un insumo que le permite
disponer la corrección de las desviaciones afectan el logro de los objetivos del control interno.

40
3. El Informe del Control Interno COSO
Las estructura del informe COSO, esta formado por los siguiente elementos:
Resumen Ejecutivo
Objetivo de la Auditoria
Ambiente de Control
Valorización del Riesgo
Información / comunicación
Monitoreo
Los elementos del Informe esta compuesto por:
a. OBJETIVO
OPERACIONES, Uso del efectivo y eficiente uso de los recursos
INFORMACIÓN FINANCIERA, Preparación de Estados Financieros
CUMPLIMIENTO, La entidad en cuanto a las leyes y regulaciones aplicables
b. ANALISIS DE LOS COMPONENTES A CADA UNA DE LAS ÁREAS DE LA ENTIDAD
Ambiente de Control
Valoración del Riesgo
Información y Comunicación
Monitoreo o Vigilancia
c. RELACIONES ENTRE OBJETIVOS Y COMPONENTES
d. CUALIFICAR EN CUANTO A:
Eficiencia
Eficacia
e. OPINIONES

41
3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso
A continuación se presentan los puntos principales en los cuales el auditor debe de enfocarse
para evaluar el control interno según COSO.
Entorno Interno
El auditor debe de considerar cada factor del entorno interno para determinar cuando existe un
entorno interno de control positivo. Se presentan a continuación Varios aspectos a tener en
cuenta, la lista no es completa, no todos los ítem se aplica a todas las entidades, pero sirven como
punto de partida. Si bien algunos de los ítem son Altamente subjetivos y requieren un juicio
considerable, generalmente son relevantes para la efectiva del entorno interno del control.
Integridad y valores éticos
• Existen e implementan códigos de conducta y otras políticas mirando las prácticas de
negocios aceptables, los conflictos de interés o los estándares esperados de
comportamiento ético y moral.
• Relaciones con los empleados, proveedores, clientes, inversionistas, acreedores, auditores,
etc.(Insisten en que estos tengan un plano de alta ética)
• Presión por cumplir objetivos de desempeño irreales
Compromiso por la competencia
• Descripciones formales o informales de trabajo u otras maneras de definir tareas que
comprenden trabajos particulares.
• Análisis del conocimiento y de las habilidades necesarias para desempeñar
adecuadamente los trabajos.
Consejo de directores o comité de auditoria
• Independencia frente a la administración
• Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero
auditores internos y externos.
• Suficiencia y oportunidad para permitir monitoreo de los objetivos y estrategias de la
administración.

42
• Suficiencia y oportunidad de recibir información sensitiva, investigaciones y actos
impropios.
Filosofía y estilo de operación de la administración
• Naturaleza de los riegos de negocios aceptados
• Frecuencia de interacción de la administración principal y la administración operativa.
• Actitudes y acciones así la información financiera incluyen las disputas de aplicación de
acuerdos contables.
Estructura organizacional
• Conveniencia de la estructura organizacional de la entidad y su habilidad para
proporcionar el flujo de información necesaria para administrar sus actividades.
• Claridad en la definición de las responsabilidades calves de los administradores, y su
entendimiento de esas responsabilidades.
• Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus
responsabilidades.
Valoración de autoridad y responsabilidad
• Asignación de responsabilidad y delegación de responsabilidad para cumplir con metas y
objetivos organizacionales, la funciones de operación y los requerimientos reguladores.
• Conveniencia de estándares y procedimientos relacionados con el control, incluyendo
descripciones del trabajo de los empleados.
• Numero apropiado de gente, particularmente con respecto al procesamiento de datos y a
las funciones de contabilidad, con los niveles de habilidades requeridos, relativos al
tamaño de ella entidad y a la naturaleza y complejidad del las actividades y sistemas.
Políticas y prácticas de recursos humanos
• Forma de aplicación de las políticas y los procedimientos para vinculación,
entrenamiento, promoción, y compensación de empleados.
• Conveniencia de las acciones remédiales desarrolladas en respuesta a desviaciones de las
políticas y los procedimientos aprobados.

43
• Si el chequeo de la experiencia de los candidatos a empleo es adecuado, particularmente
en relación con las acciones o actividades principales consideradas como inaceptables
por la entidad.
Si son adecuados los criterios de retención y promoción de empleados y técnicas de recolección
de información. Y relación con el código de conducta u otras orientaciones de comportamiento.
La revisión del Control Interno por parte del auditor le ayuda a determinar otros procedimientos
de auditoria para formular su opinión sobre la razonabilidad de los saldos finales.
Un planteamiento conceptual lógico de la evaluación que hace el Contador Público del control
interno contable que se enfoca a prevenir o detectar errores o irregularidades importantes en los
saldos de las cuentas, consiste en aplicar a cada tipo importante de transacciones y a los
respectivos activos involucrados en la auditoria, los siguientes criterios:
a) Considerar entre otros los tipos de errores e irregularidades que puedan ocurrir.
b) Determinar los procedimientos de control interno contable que puedan prevenir o detectar
errores o irregularidades.
c) Determinar si los procedimientos necesarios están establecidos y si se han seguido
satisfactoriamente.
d) Evaluar cualquier deficiencia, es decir cualquier tipo de error o irregularidad potencial no
contemplada por los procedimientos de control interno existente para determinar su efecto
sobre: la naturaleza, momento de ejecución o extensión de los procedimientos de auditoria a
aplicar.
3.1.1. Revisión Del Sistema
La revisión del sistema es principalmente un proceso de obtención de información respecto a la
organización y de los procedimientos prescritos y pretende servir como base para las pruebas de
cumplimiento y para la evaluación del sistema.
La información requerida para este objeto normalmente se obtiene a través de entrevistas con el
personal apropiado del cliente y referencia a la documentación tal y como manuales de
procedimientos, descripción de puestos, diagramas de flujos y cuadros de decisión

44
3.1.2. Evaluación
Evaluación preliminar
Al terminar la revisión del sistema, el auditor debe ser capaz de hacer una evaluación preliminar
presumiendo un satisfactorio cumplimiento con el sistema prescrito y normalmente es
conveniente hacerlo de inmediato.
Evaluación de control interno
La evaluación de los controles internos contables hecha por el auditor externo o auditor para
cada tipo importante de transacciones, debe dar lugar a una conclusión respecto a sí los
procedimientos establecidos y su cumplimiento deben considerarse satisfactorios si la revisión
del contador público y sus pruebas no revelan ninguna situación que se considere importante
para su objetivo.
En este contexto una deficiencia importante significa una situación en la cual el auditor estima
que los procedimientos establecidos o el grado de cumplimiento de los mismos no proporciona
una seguridad razonable de que errores o irregularidades por importantes significativos con
respecto a las cuentas anuales que están siendo auditadas pudieran prevenirse o detectarse
fácilmente por los empleados del ente en el curso normal de la ejecución de las funciones que le
fueron asignadas.
La revisión y evaluación del control Interno incluye dos fases que son:
1. La revisión preliminar del sistema con objeto de conocer y comprender los procedimientos y
métodos establecidos por la entidad
2. La realización de pruebas de cumplimiento para obtener una seguridad razonable de que los
controles se encuentran en uso y que están operando tal como se diseñaron
3.1.3. Obtención de Información para la Evaluación de Control Interno
Obtener la información básica de las principales actividades de la empresa es muy importante,
debido a que constituye la base para plantear efectiva y eficientemente la
Evaluación del sistema de control interno.

45
El auditor debe determinar los sistemas y sub-sistemas, con la finalidad de diseñar los
flujogramas, que finalmente le permitirán determinar las áreas débiles del sistema de control
interno, no sólo para presentar las recomendaciones a la gerencia, sino para seleccionar los
procedimientos de auditoria que serán necesarios para completar su examen sobre los estados
financieros.
Técnicas de obtención de información
El análisis de técnicas de obtención de información se debe efectuar bajo:
Análisis por puesto de trabajo
Análisis por procedimiento o sistemas de información.
Las técnicas de obtención de información más frecuentemente utilizadas son las siguientes:
La entrevista
Observación personal y directa
Revisión, lectura y estudio de documentación o antecedentes Cuestionados
Estas técnicas pueden utilizarse en forma independiente o combinada. Dependerá del criterio del
auditor y de la naturaleza de las operaciones de la empresa auditada.
3.1.4. Evaluación Definitiva del Control Interno
Esta es la etapa final dela evaluación del control interno, la cual realiza el auditor luego de haber
revisado la información respectiva al control interno en base a sus transacciones y de haber
efectuado las respectivas pruebas de cumplimiento. El auditor en base a los componentes de la
estructura del control interno, considerara si cumplen con los criterios del enfoque coso.
El auditor, por ejemplo puede llegar a la conclusión siguiente:
El sistema de control interno de la empresa xxx, es efectivo al 31 de diciembre de 2002,
suministra información y asesoria especial a los reportes financieros de la compañía. Esta
compañía es efectiva en la aplicación de las leyes y regulaciones, y la dirección esta al tanto de la
extensión que la compañía a tenido en cuanto a los objetivos operacionales.
Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,
Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel
Alberto Mantilla B. (Traductor). Tercera Edición
Normas Internacionales de Auditoria

46
SAS 78
Guía Básica para Evaluar el Control Interno Bajo un Enfoque Integral, Fundamentada en
el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas
(COSO). Carlos Alberto Contreras Martínez y Otros.
4. Evolución Del COSO
Al principio de este trabajo se menciono que como base de este trabajo se tomaría la versión del
COSO 1992; pero bien es cierto como todo contador publico tiene que ir a la vanguardia a los
cambios que se produzca en relación al entorno de su desempeño profesional, por ello se ha
considerado tomar aquellos aspectos mas relevantes ya que la información es muy amplia.
Creación.
El nuevo informe COSO fue finalizado en septiembre de 2004, el cual fue nominado como el
Marco Integrado de Administración de Riesgos Corporativos (ERM)
Esta nueva versión de COSO contiene los siguientes aspectos:
Ha concluido sobre la necesidad de un marco reconocido sobre gerenciamiento del riesgo a
pesar de la abundancia de literatura sobre la materia.
Sostiene que existe consenso a nivel mundial de que todas las organizaciones pueden
beneficiarse de los mejores procedimientos de identificación y análisis de riesgos.
Reconoce que el riesgo y el gerenciamiento del riesgo son componentes que están presentes
en todas las actividades de una organización.
Considera que este marco contribuirá a la identificación y coordinación de todos los
aspectos que deben estar presentes para una efectiva administración del riesgo.
El marco en el cual esta compuesto es:
La definición de administración de riesgos corporativos.
Los principios críticos y componentes de un proceso de administración de riesgos
corporativos efectivo.
Pautas para las organizaciones sobre como mejorar su administración de riesgos
Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se
necesita para que lo sea.

47
Las técnicas de aplicación proveen:
Ejemplos sobre cómo principios críticos deben ser vistos dentro de la organización.
Una vista general de un proceso de implementación.
Ejemplos que consideran diferentes tipos de empresas:
Tamaño
Estrategia
Industria
Complejidad
4.1. Concepto COSO según la Administración de Riesgos Corporativos de acuerdo al
Marco Gestión Integral de Riesgo (ERM).
Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el
establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos
potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo
de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.
Es un proceso
Efectuado por el directorio, gerencia y otros miembros del personal
Aplicado en el establecimiento de la estrategia a lo largo de la organización
Diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de
acuerdo a su apetito de riesgo de modo de proveer seguridad razonable en cuanto al logro de
los objetivos de la organización
Administración del Riesgo en la Determinación de la Estrategia
Eventos y Riesgos
Apetito de Riesgo
Tolerancia al Riesgo
Visión de Portafolio de Riesgos

48
COSO I: Control Interno – Marco Conceptual COSO II: ERM: Marco de Gestión
Integrado (1992) Integral de Riesgo (Enterprise Risk
Management). (2004)
Con la versión del COSO 1992 el informe estaba constituido por 5 componentes que son:
Monitoreo, información y comunicación, actividades de Control, Evaluación de Riesgo y
Ambiente de Control. La nueva versión de COSO de 2004, esta compuesto por los mismo cinco
componentes anteriormente mencionado pero además se han agregado otro tres mas que son:
Respuesta de Riesgo, Identificación de Eventos y establecimiento de Objetivos.
Además se ha incorporado un nuevo objetivo que son las estrategias.
4.2. Componentes del Informe COSO según el Marco Integrado de Administración de
Riesgos Corporativos (ERM)
El control interno esta compuesto por ocho componentes interrelacionados. Se derivan de la
manera como la administración dirige un negocio y están integrados en el proceso de
administración. Tales componentes son:
Monitoreo
Información y
Comunicación
Respuesta de Riesgo
Evaluación de Riesgo
Identificación de Eventos
Establecimiento de
Objetivos
Ambiente de Control
Monitoreo
Información y
Comunicación
Evaluación de Riesgo
Ambiente de Control

49
a. Ambiente Interno
Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.
Medio La esencia de cualquier negocio es su fuente – sus atribuciones individuales, incluyendo la
filosofía de la administración de riesgos, cultura de riesgo, junta de directores, integridad y
valores éticos, compromiso con la competencia, estructura organizacional, asignación de
autoridades y responsabilidad, políticas y practicas de recursos humanos.
Incide en:
La concientización del personal respecto del riesgo y el control
El modo en que las estrategias y objetivos son establecidos, las actividades de negocio son
estructuradas y los riesgos son identificados, evaluados y gerenciados.
Los Factores que influyen son:
Filosofía de la administración de riesgos
Apetito al riesgo
Integridad y valores éticos
Visión del Directorio
Compromiso de competencia profesional
Estructura organizativa
Asignación de autoridad y responsabilidad
Políticas y prácticas de recursos humanos
FFiilloossooffííaa ddee llaa AAddmmiinniissttrraacciióónn ddee RRiieessggooss
Representa las creencias compartidas y las actitudes que caracterizan cómo la entidad
considera el riesgo en todas las actividades.
Refleja los valores de la entidad, influenciando su cultura y estilo de operar.
Afecta cómo los componentes del ERM son aplicados, incluyendo cómo son identificados los
eventos, los tipos de riesgos aceptados, y cómo son administrados.
La Dirección debe reforzar la filosofía no sólo con palabras sino con acciones de todos los
días.

50
AAppeettiittoo aall rriieessggoo
El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está
dispuesta a aceptar para generar valor.
Se considera en el establecimiento de la estrategia.
Permite el alineamiento de la organización, las personas, procesos e infraestructura.
Expresado en términos cualitativos o cuantitativos
Integridad y Valores Éticos
La estrategia y los objetivos de una organización y la forma en que se implementan se basan en
juicios, preferencias y estilos. La integridad y el compromiso con los valores éticos influencian
esas preferencias y los juicios.
Los valores éticos deben ser comunicados y acompañados de guías explícitas detallando lo que
está bien y lo que está mal. Código formal de conducta:
Carta del CEO
Objetivos y filosofía
Conflictos de interés
Regalos
Transparencia
Recursos corporativos
Responsabilidad social
Otros temas relacionado
b. Establecimiento de Objetivos
La entidad debe de señalar los objetivos integrados con ventas, producción, mercadeo como los
son los siguientes. Objetivos operacionales, objetivos estratégicos y objetivos seleccionados.
Objetivos Seleccionados
Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo
Objetivos estratégicos
Consiste en metas de alto nivel que se alinean con y sustentan la misión/visión
Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear
valor para sus grupos de interés

51
Objetivos relacionados
Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado
Se categorizan en forma amplia en: operativos, confiabilidad de la información y
cumplimiento
Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de
cascada
Tolerancia al Riesgo
La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los
objetivos
Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia)
Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los
objetivos relacionados
c. Identificación de Eventos
Los eventos son factores que influyen en la estrategia y objetivos planteadas por la entidad,
dentro de los cuales se identifican eventos relacionados con las metodologías y técnicas,
interdependencia entre los eventos, categoría de eventos, riesgos y oportunidades.
Eventos
Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro
de los objetivos, con impacto positivo, negativo o ambos
Distinguiendo Riesgos y Oportunidades
Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y
administrados Los eventos con un impacto positivo representan oportunidades, las cuales son
recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos
Factores a considerar.
Los eventos pueden provenir de factores internos y externos. La Gerencia debe reconocer la
importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los
mismos

52
Técnicas de Identificación de Eventos
Existen técnicas focalizadas en el pasado y otras en el futuro
Existen técnicas de diverso grado de sofisticación
Ejemplos:
Inventarios de eventos
Análisis de información histórica (de la empresa/sector)
Indicadores de excepción
Entrevistas y cesiones grupales guiadas por facilitadores
Análisis de flujos de procesos
Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en
el logro de los objetivos.
d. Valoración del riesgo.
Es la identificación y análisis de los riesgos relevantes para la consecución de los objetivos,
formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las
condiciones económicas, industriales, reguladoras y de operación continuaran cambiando, se
necesitaran mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
La valuación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e
impacto.
Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales.
La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y
cuantitativas
e. Repuesta de Riesgo
La entidad es la responsable de identificar los mecanismos necesarios para realizar la
identificación de las respuestas al riesgo, de la evaluación de las posibles respuestas al riesgo,
seleccionando la respuesta más idónea desde el punto de vista de portafolio.
Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en
relación al apetito de riesgo de la entidad.
Evaluando Posibles Respuestas

53
Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el
nivel de tolerancia definido
En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos
Categorías de respuesta al riesgo:
Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo
Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del
riesgo o ambos
Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia
al transferir o compartir una porción del riesgo
Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo
Visión de Portafolio de Riesgos
ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su
conjunto o de portafolio de riesgos
Permite desarrollar una visión de portafolio de riesgos tanto en el ámbito de unidades de
negocio como en el ámbito de la entidad
Es necesario considerar como los riesgos individuales se interrelacionan
Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de
riesgo global
ff.. AAccttiivviiddaaddeess ddee CCoonnttrrooll
Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están
aplicando efectivamente las acciones necesarias para manejar los riesgos en la consecución de los
objetivos de la entidad. Estas actividades se dan a lo largo y ancho de la organización, en todos
los niveles y en todas las funciones. Incluyendo un rango de actividades tan diversas como
aprobaciones, autorizaciones, verificaciones, revisión del desempeño de operaciones, así como la
integración con las respuestas al riesgo, generándose tres tipos de controles los cuales son.
Controles generales, de aplicación y específicos de la entidad.
Integración con Respuesta al Riesgo
Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se
llevan a cabo de manera adecuada y oportuna.

54
La selección o revisión de las actividades de control comprende la consideración de su
relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado
Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones
Tipos de Actividades de Control Preventivas, detectivas, manuales, computarizadas y
controles gerenciales
gg.. IInnffoorrmmaacciióónn yy CCoommuunniiccaacciióónn
Debe identificarse, capturarse y comunicarse información pertinente en una forma y oportunidad
que facilite a la gente cumplir sus responsabilidades. El sistema de información produce
documentos que contienen información operacional, financiera y relacionada con el
cumplimiento, la cual hace posible operar y controlar el negocio. También debe darse una
comunicación efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la
organización. Todo el personal deberá tener un mensaje claro por parte de la alta administración
respecto a sus responsabilidades de control, deben entender su propio papel en el sistema de
control interno, así como de sus actividades individuales se relacionan con el trabajo de los
|demás. Ellos también necesitan comunicación efectiva con las partes externas, tales como
clientes, proveedores, reguladores y accionistas.
La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar
una respuesta al riesgo.
Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que
permita a los miembros de la organización cumplir con sus responsabilidades.
La información relevante es obtenida de fuentes internas y externas
La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los
sentidos (ascendente, descendente, paralelo).
Asimismo, debe existir una comunicación adecuada con partes externas a la organización como
ser: clientes, proveedores, reguladores y accionistas.
hh.. MMoonniittoorreeoo
Los sistemas de control interno requieren que sean monitoreados, un proceso que valore la
calidad de desempeño del sistema en el tiempo. Ello es realizado mediante acciones de monitoreo
ongoing (termino técnico que significa estar actualmente en proceso, en continuo movimiento,

55
hacia a delante) evaluaciones separadas una combinación de las dos, el monitoreo incluye las
actividades regulares de administración y supervisión, así como otras acciones personales
tomadas en el desempeño de sus obligaciones. El alcance y las frecuencia de las evaluaciones
separadas dependerá primariamente de la valoración de riesgos y de la efectividad de los
procedimientos de monitoreo ongoing.
Implica monitorear que el proceso de Administración de riesgos mantiene su efectividad a lo
largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través
de:
Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las
operaciones
Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la
ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados
de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo
Una combinación de ambas formas
4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno
ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco
Integrado de Control Interno del COSO (MICI).
ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos.
En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de
“Información Financiera” del MICI.
ERM incluye ocho componentes.
ERM incluye el establecimiento de objetivos como un componente separado.
El MICI considera al establecimiento de objetivos como un prerrequisito para el control
interno.
El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes
del ERM.

56
CONCLUSIONES
El control interno es una herramienta indispensable en todas las empresas ya que permite
tener una seguridad razonable sobre factores que pueden influir en el desempeño de la
empresa.
Los controles internos pueden ser preventivos, detectivo o correctivos, el uso de cada uno de
ellos dependerá de la situación en que se encuentre la empresa.
El hecho de tener implementado un sistema de control interno no aseguran en su totalidad que
una empresa sobreviva o tenga éxito en los negocios.
El control interno COSO, tiene una amplia visión sobre los aspectos que es necesario evaluar
en una empresa, ya que este se enfoca en la mayoría de la estructura de la organización.
Es necesario que para un correcto funcionamiento del control interno COSO haya una
interacción entre cada uno de los cinco elementos que lo conforman.
El control interno COSO permite tener en cuenta la diversidad de riesgos que afectan a la
empresa, desde los más grandes hasta los más pequeños.
El Auditor Interno puede aportar valor a las organizaciones incorporando mejoras en el
proceso de evaluación del Sistema de Control Interno, esto requerirá de la puesta en práctica
de un control constructivo donde los auditores deberán actuar como agentes de cambio
protagonizando en forma conjunta con la dirección y el personal de la empresa, el proceso
que encamine a la organización al logro de una gestión de la más alta calidad.

57
BIBLIOGRAFIA
Guía básica para evaluar el Control Interno bajo un enfoque Integral Fundamentada en el
Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO);
Tesis; Contreras Martines, Carlos Alberto; San Salvador; El Salvador; 2003.
Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,
Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel Alberto
Mantilla B. (Traductor). Tercera Edición
Diseño de auditoria para evaluación de riesgo en las empresas comerciales; Tesis; Lozano
Rivera, Reina Esterlina; San Miguel; El Salvador; 2004.
Corte de Cuentas de la Republica de El Salvador. “Normas técnicas de Control Interno”; El
Salvador; 2004.
Instituto Mexicano de Contadores Públicos, Normas Internacionales de Auditoria, México,
2004.
Enciclopedia de la Auditoria; Tomo I; OCÉANO
http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml
http://www.monografias.com/trabajos14/auditoria/auditoria.shtml
http://www.definicion.org/buscar.php?termino=auditoria+forense

Control interno coso

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (6)

Similar to Control interno coso

Similar to Control interno coso (20)

More from Roxanilla

More from Roxanilla (6)

Recently uploaded

Recently uploaded (20)

Control interno coso