3-Trabajo Grupal Coso Iii - Grupo 3
3-Trabajo Grupal Coso Iii - Grupo 3
3-Trabajo Grupal Coso Iii - Grupo 3
CONTENIDO
Trabajo Grupal................................................................................................................................2
El Control Interno............................................................................................................................2
1
V. Evaluación del componente Actividades de Monitoreo..................................................12
Trabajo Grupal
Trabajo grupal de 07 integrantes como máximo, el cual deberán aplicar el control interno a una
empresa existente de nuestra localidad, de acuerdo a este modelo de evaluación de control
interno con COSO III.
Control Interno
Coso III, contempla que el control interno tiene que ser realizado con actividades constantes de
evaluaciones en sus procesos, dependiendo de cada organización y de la realidad que exista; es
por ello que, se deben considerar el entorno ya que la entidad debe reajustar siempre sus
esfuerzos para definir mejor sus estrategias. Esto conlleva a mejoras en los procesos y
normativas que servirán para explotar aún más sus oportunidades y aminorar o evitar las
amenazas.
2
Para ejercer el control interno, la institución debe realizar su autoevaluación por medio del
Comité de Auditoría y Riesgos que debe tener la autorización para realizar las coordinaciones
de las actividades, que luego de ello deberá informar lo evidenciado de manera clara y concisa,
por lo cual los directivos a través de unidades administrativas deberán tener en cuenta para las
mejoras correspondientes, que servirán de base para el Control Interno Institucional.
Es por ello que se considera el presente “Modelo De Evaluación Del Control Interno” para
apoyar a la empresa por medio de los directivos de cada oficina administrativa para:
- Documentar en forma sistemática y homogénea la evaluación del estado que guarda el
control interno en sus ámbitos de competencia, y para,
- Identificar áreas de oportunidad y,
- Establecer acciones de mejora a implementar.
Se contempla un cuestionario de 40 preguntas que tiene en total 100 puntos y se basa en los 05
componentes de Coso III, como son:
- Ambiente de control
- Evaluación de riesgos
- Actividades de control
- Información y comunicación
- Actividades de Monitoreo
Nota: COSO III considera cada componente igual de importante (no importando el número de
preguntas) es decir 20 puntos o 20% cada uno. Para nuestro caso son puntos (cuadro anterior).
Se tiene tres posibilidades de respuesta para cada pregunta que no se necesita documentación
de soporte ya que es responsabilidad de las unidades administrativas conservar y resguardar la
evidencia documental y/o electrónica que sustente sus respuestas.
3
Respuesta Puntuación Descripción
Cada respuesta afirmativa debe estar soportada con evidencia documental y las respuestas
negativas deben generar acciones de mejora; en ambos casos, tanto la evidencia documental
como la implementación de acciones de mejora, puede ser verificadas mediante auditorías que
practique la Contraloría Interna.
Los Directivos de cada departamento deben responder el cuestionario, durante el inicio del año,
sugerible en el mes de febrero de cada año, utilizando los medios electrónicos que para tal
efecto establezca el Comité de Auditoría y Riesgos.
1. Demostrar compromiso con los principios que rigen el servicio o bien brindado y los
valores del Código de Ética de la empresa.
4
5. Demostrar compromiso, participación y responsabilidad para el adecuado
funcionamiento del control interno institucional.
5
el desempeño de las funciones de la
unidad administrativa están
actualizadas?
9 ¿El Manual de organización y las
demás disposiciones normativas y de
carácter técnico para el desempeño
de las funciones de la unidad
administrativa se difunden entre el
personal?
10 ¿Difunde y promueve la
observancia de las Normas de Control
Interno para la empresa?
TOTAL
Se deben identificar los riesgos internos y externos, incluida la posibilidad de fraude, que
puedan afectar el logro de objetivos; determinar su posibilidad de ocurrencia e impacto; y
definir las estrategias y acciones necesarias para enfrentarlos de la mejor manera.
Las unidades administrativas deben establecer objetivos, con la suficiente claridad y detalle, en
los programas, procesos o proyectos, para permitir la identificación y evaluación de los riesgos
en todos los niveles y su impacto potencial.
Los principios asociados a este componente son:
6. Definir los objetivos institucionales con la suficiente claridad para permitir la
identificación y valoración de los riesgos potenciales relacionados a los objetivos.
6
8. Considerar la posibilidad de fraude en la evaluación de riesgos de los objetivos
institucionales.
Las acciones que pueden ser implementadas en la empresa con este componente son:
• Los objetivos estratégicos de la empresa de largo, mediano y corto plazo deben estar
claramente definidos y alineados.
• Con base principalmente en la gestión de riesgos (ISO 31000), se puede elaborar la
Metodología para la Administración de Riesgos en la empresa, que debe ser
difundida por la Contraloría Interna mediante talleres y que facilite la elaboración de
Matrices de Administración de Riesgos en las unidades administrativas.
• En la etapa de planeación de los principales eventos censales y encuestas, las
unidades administrativas responsables pueden realizar, en coordinación con la
Contraloría Interna, el ejercicio de análisis e identificación de riesgos y la
documentan en una matriz de administración de riesgos.
• Los directivos deben autorizar la integración del Comité de Auditoría y Riesgos de la
empresa.
7
19. ¿Los principales proyectos y
procesos cuentan con planes de
recuperación de desastres?
20. ¿Las Matrices de
Administración de Riesgos, los
planes de contingencia y los planes
de recuperación de desastres de los
principales proyectos y procesos de
la unidad administrativa están
actualizados?
21.¿La entidad ha establecido
criterios para analizar los riesgos
identificados?
Las actividades de control deben ser preferentemente de carácter preventivo y apoyarse en los
sistemas de información institucionales; y, en su caso, las de carácter correctivo buscan mitigar
el impacto de los riesgos que pudieran materializarse. Respecto al uso y aprovechamiento de
las TIC deben establecerse actividades de control, conforme a la normativa institucional. Las
actividades de control deben ser evaluadas en forma permanente por las unidades
administrativas con la finalidad de asegurar su adecuada documentación, efectivo
funcionamiento, vigencia y mejora continua.
10. Definir y desarrollar actividades de control que contribuyan a mitigar los riesgos para la
consecución de los objetivos institucionales.
11. Definir y desarrollar actividades de control relativas al uso y aprovechamiento de las TIC.
8
12. Establecer las actividades de control en el marco normativo institucional para asegurar
su adecuada implementación.
En la institución o empresa se debe tener implementadas una gran variedad de controles, que
van desde la identificación y acceso controlado a las instalaciones, los manuales de
procedimientos de las unidades administrativas, disposiciones normativas para clasificar,
organizar y resguardar la información institucional, los sistemas de información, la normativa
para la administración y custodia de los recursos institucionales (humanos, financieros,
materiales y tecnológicos) y el sistema de evaluación del desempeño institucional, por
mencionar los más representativos.
9
30. ¿Se documenta el control y
seguimiento del programa de trabajo y
los indicadores de gestión
(programático-presupuestal)?
10
13. Obtener, generar y utilizar información confiable, de calidad, pertinente, veraz y
oportuna para apoyar el funcionamiento del control interno institucional.
Se debe tener como objetivo prioritario lograr que la información de interés de la organización
o empresa aplicables a la información que se genera en las operaciones administrativas que se
sujete a los principios de accesibilidad, transparencia, objetividad e independencia, y que reúna
los requisitos de calidad, pertinencia, veracidad y oportunidad.
Las disposiciones normativas, metodológicas y técnicas con las que se debe contar deben estar
diseñadas para lograr los propósitos arriba mencionados y se refuerza con la política
institucional en materia de seguridad de la información. Asimismo, se debe tener formalmente
establecidos los canales y foros de comunicación internos y externos para compartir y difundir
la información institucional: en el sitio de internet e intranet, el portal de transparencia, el uso
del sistema de comunicación como foros y retroalimentación en los que participan los
directivos y los mandos medios y superiores.
11
líneas de comunicación e información
con su personal para difundir los
programas, metas y objetivos de la
unidad administrativa?
41. ¿Las líneas de comunicación e
información establecidas permiten
recibir retroalimentación del personal
respecto del avance del programa de
trabajo, las metas y los objetivos?
42. ¿Evalúa periódicamente la
efectividad de las líneas de
comunicación e información entre el
ámbito central, regional y estatal?
43. ¿Las líneas de comunicación e
información establecidas permiten la
atención de requerimientos de usuarios
externos?
44.¿La Dirección recibe información
analítica, financiera y operativa que le
permita tomar decisiones
oportunamente?
45.¿Existen mecanismos para obtener
información externa sobre las
necesidades y el nivel de satisfacción de
los usuarios?
La supervisión directa debe ser ejercida por los servidores de la organización o empresa a las
actividades en sus respectivos niveles y ámbitos de competencia; su alcance es total y su
retroalimentación es inmediata para tomar las medidas oportunas y pertinentes para mejorar y
fortalecer las actividades de control. Los titulares de las unidades administrativas harán del
conocimiento al Comité de Auditoría y Riesgos, las debilidades de control interno de carácter
relevante.
La supervisión indirecta debe ser ejercida por las instancias de fiscalización internas y externas,
mediante auditorías, visitas de inspección y acompañamientos preventivos; su alcance se
determina selectivamente y por muestreo; sus resultados se comunican mediante informes
derivados de sus intervenciones, constituyen una retroalimentación y las recomendaciones que
se emitan serán sujetas de seguimiento hasta su total atención.
12
Los principios asociados a este componente son:
17. Evaluar y comunicar las deficiencias de control interno de forma oportuna a los niveles
facultados para aplicar las medidas correctivas inmediatas; tratándose de deficiencias
relevantes de control interno, se deben comunicar oportunamente a los niveles
superiores para su tratamiento.
Esta autoevaluación del control interno forma parte de las acciones alineadas al componente
Actividades de Monitoreo.
13
49. ¿Existe una adecuada segregación
de funciones que permita el desarrollo
de controles por oposición?
14