Reporte de Investigación-Modelo Coso

INSTITUTO TECNOLÓGICO SUPERIOR DE
TANTOYUCA
DIVISION DE CONTABILIDAD
MATERIA:
TÓPICOS SELECTOS DE AUDITORÍA
DOCENTE:
C.P. SANDRA ELBA DELGADO SOTO
TRABAJO:
REPORTE DE INVESTIGACIÓN
MODELO COSO
ALUMNA:
LAURA LIZZET DEL ANGEL TENORIO
OCTAVO SEMESTRE
GRUPO:
“A”
FECHA DE ENTREGA:
17/06/2022
TANTOYUCA, VER.
1
CONTENIDO
INTRODUCCIÓN ............................................................................................................................................................. 3
3.1. ANTECEDENTES .................................................................................................................................................... 4
EL ORIGEN DEL MARCO DE GESTIÓN COSO .................................................................................................. 4
Definición de control interno .................................................................................................................................. 5
La metodología COSO ERM 2017 .......................................................................................................................... 5
Evolución del Modelo COSO .................................................................................................................................. 6
INFORME COSO I ....................................................................................................................................................... 6
Importancia de COSO I: Marco Integrado de Control Interno........................................................................ 8
Componentes de COSO I ......................................................................................................................................... 8
INFORME COSO II...................................................................................................................................................... 8
Importancia de COSO II: Administración de los Riesgos de la Empresa (ERM) ...................................... 9
Componentes de COSO II...................................................................................................................................... 10
INFORMES COSO .................................................................................................................................................... 10
ANÁLISIS COMPARATIVO DE LAS VISIONES DE AMBOS MODELOS ..................................................... 10
ANÁLISIS COMPARATIVO DE LOS COMPONENTES DE AMBOS MODELOS ........................................ 11
COSO III ...................................................................................................................................................................... 14
3.1.1. AMBIENTE INTERNO ....................................................................................................................................... 17
PRINCIPIOS ............................................................................................................................................................... 17
3.1.2. ESTABLECIMIENTO DE OBJETIVOS .......................................................................................................... 20
3.1.3. IDENTIFICACIÓN DE EVENTOS .................................................................................................................... 25
3.1.4. EVALUACIÓN DE RIESGOS ........................................................................................................................... 28
3.1.5. RESPUESTA AL RIESGO................................................................................................................................ 35
3.1.6. ACTIVIDADES DE CONTROL......................................................................................................................... 37
3.1.7. INFORMACIÓN Y COMUNICACIÓN .............................................................................................................. 42
3.1.8. MONITOREO ...................................................................................................................................................... 47
CONCLUSIÓN ............................................................................................................................................................... 50
BIBLIOGRAFÍA ............................................................................................................................................................. 51
2
INTRODUCCIÓN
El denominado "INFORME COSO" sobre Control Interno, publicado en EE.UU. en 1992, surgió
como una respuesta a las inquietudes que planteaban la diversidad de conceptos, definiciones e
interpretaciones existentes en torno a la temática referida al Control Interno.
Este informe plasma los resultados de la tarea realizada durante más de cinco años por el grupo de
trabajo que la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE OF
SPONSORING ORGANIZATIONS). El grupo estaba constituido por representantes de las
siguientes organizaciones.
 American Accounting Association (AAA)
 American Institute of Certified Public Accountants (AICPA) Financial Executive Institute (FEI)
 Institute of Internal Auditors (IIA)
 Institute of Management Accountants (IMA)
El Informe del "Committee of Sponsoring Organization" (COSO), el cual se le conoce también como
"La Comisión de Organizaciones Patrocinadoras de la Comisión Treadway", mostró una nueva
definición sobre el Control Interno que consiste en un proceso integrado a los procesos y no un
conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuados por Consejo de
la Administración, la dirección y el resto del personal de una entidad, diseñado con el objeto de
proporcionar una garantía razonable para el logro de los objetivos incluidos en las categorías
siguientes:
 Eficiencia y eficacia en las operaciones.
 Confiabilidad en la información financiera.
 Cumplimiento de las leyes, reglamentos y políticas.
El Informe COSO internacionalmente se considera hoy en día como un punto de referencia obligado
cuando se tratan materias de Control Interno, tanto en la práctica de las empresas como en los
niveles y docentes.
El concepto anterior responde a los intereses de todas las partes, facilita la comunicación y
unificación de las expectativas, su aplicación es en todas las entidades por las autoridades
competentes con el fin de lograr los objetivos antes mencionados.
3
3.1. ANTECEDENTES
La rápida evolución del entorno económico y competitivo, así como las exigencias y prioridades
cambiantes de los mercados, hacen que el desenvolvimiento de las empresas se encuentre
sometido a un gran dinamismo. Dicha situación crea la necesidad de desarrollar mecanismos de
adaptación en forma permanente.
En la búsqueda del crecimiento y adaptación a los cambios, los controles internos fomentan la
eficiencia, reducen el riesgo de pérdida de valor de los activos y ayudan a garantizar la fiabilidad de
los estados financieros y el cumplimiento de las leyes y normas vigentes. Estos atributos son
considerados cada vez más como una solución a numerosos problemas potenciales.
Hasta mediados de los años setenta, las actividades de control predominaban en las áreas de
diseño de sistemas y en auditoría. Fue a partir de las investigaciones del caso Watergate, entre
1973 y 1976, que evidenciaron deficiencias importantes de control que permitieron la realización de
operaciones ilegales de financiación de partidos políticos y sobornos a representantes de gobiernos
extranjeros. Desde entonces el tema se convirtió en un foco de interés, se dictaron normas
(ForeignCorruptPracticesAct, pronunciamientos de AICPA y SEC), se crearon comisiones
especiales de investigación (Comisión Cohen, CommisiónTreadway, Comité Minahan) y se
realizaron estudios prácticos en múltiples empresas. Esta evolución implicó cambios en las
organizaciones como: nuevos diseños de sistemas de control interno, obligación de llevar registros,
obligación de emitir informes sobre la evaluación de las actividades de control, etc.
“CI” no tenía el mismo significado en todo el mundo. Existía una gran variedad de definiciones o
entendimientos acerca de CI. Por esto en el año 1992, el Committee of SponsoringOrganizations of
theTreadwayCommission, conocido como COSO, publicó el Internal Control - Integrated Framework
(COSO I). Así se integraron diversos conceptos en un “Marco”, el que establece una definición
común e identifica los componentes de control. Este marco fue el punto de partida para la evaluación
de los sistemas de CI en los distintos tipos de organizaciones.
Pese a la gran utilidad del control interno y a los esfuerzos realizados, aún no se contaba con
términos de referencia homogéneos a fin de diseñar, mantener y evaluar controles efectivos y
eficientes. Es por ello que, en 1992, el Committee of SponsoringOrganizations of
theTreadwayCommission, conocido como COSO, publicó el Internal Control - Integrated Framework
(COSO I).
EL ORIGEN DEL MARCO DE GESTIÓN COSO
El modelo o metodología COSO surge en el año 1985. Sus siglas responden a Committee of
Sponsoring Organizations of the Treadway, que es una organización de carácter voluntario
constituida por representantes de cinco organizaciones del sector privado en Estados Unidos. Nace
con la misión de crear y proporcionar conocimiento frente a tres grandes temas relacionados:
 La gestión del riesgo empresarial (ERM).
 Ética empresarial
4
 El control interno.
 Gestión del riesgo empresarial
 La lucha contra el fraude.
 Presentación de informes financieros
Si bien, este marco de control va evolucionando en el tiempo, de forma que podemos distinguir entre
COSO I, COSO II y COSO III. En 1992 la comisión publicó el primer informe “Internal Control
– Integrated Framework”. Dicho informe, denominado COSO I, tenía el objetivo de ayudar a las
entidades a evaluar y mejorar sus sistemas de control interno.
Definición de control interno

Según el marco COSO de gestión de riesgos, el control interno se define como un proceso llevado
a cabo por la dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar
un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes
categorías:
 Eficacia y eficiencia de las operaciones.
 Confiabilidad de la información financiera.
 Cumplimiento de las leyes, reglamentos y normas que sean aplicable
En 2004, surgió COSO II, que ampliaba el concepto de control interno a la gestión de riesgos. En
ella también debe implicarse todo el personal de las entidades bancarias, incluidos los directores y
administradores.
Por último, en 2013 se publicó la tercera versión, COSO III. Esta revisión del marco COSO de riesgos
se centró en mejorar aspectos como la agilidad de los sistemas de gestión de riesgos, una mayor
concreción en lo que se consideraba comunicación e información, un mayor énfasis en la eliminación
de riesgos, y la incorporación clara del concepto “consecución de los objetivos”.
La metodología COSO ERM 2017

El marco actual vigente para el control interno de los riesgos es el llamado COSO ERM 2017,
también conocido como “COSO Enterprise Risk Management – Integrating with Strategy and
Performance”.
Esta actualización mantiene el enfoque financiero de sus predecesores, pero, no obstante, su
flexibilidad y estructura permite que sea utilizado indistintamente por cualquier tipo de actividad.
En la siguiente imagen, podemos ver los 20 principios que componen este marco COSO de
gestión de riesgos:
5
(EALDE BUSINESS SCHOOL, 2020)
Evolución del Modelo COSO

1992: publicación del Internal Control – Integrated Framework (Informe COSO o COSO I), como un
marco integrado para ayudar a las empresas a evaluar y mejorar sus sistemas de control interno.
2004: se publica el Modelo COSO ERM (Enterprise Risk Management – Integrated Framework) o
COSO II, permitiendo a las compañías mejorar su gestión de control interno mediante un proceso
más completo de gestión del riesgo.
2013: publicación del modelo COSO III, actualizado en el modelo COSO ERM 2017, que mejora el
Marco Integrado para permitir una mayor cobertura de los riesgos a los que se enfrentan las
organizaciones.
(GlobalSuite solutions, 2020)
INFORME COSO I
Definición de “CI”
Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de
una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a
la consecución de objetivos dentro de las siguientes categorías:
 Eficacia y eficiencia de las operaciones
 Fiabilidad de la información financiera
 Cumplimiento de la leyes y normas que sean aplicables
Análisis de la definición
Es un proceso:
 No constituye un acontecimiento o tarea aislada.
 Se trata de un conjunto de acciones coordinadas para lograr un fin (no es un fin en sí mismo).
6
 Esta serie de acciones se extiende por todos los niveles y actividades de una organización.
 CI es parte de los procesos básicos de planificación, ejecución y supervisión
 No es un elemento añadido a las actividades del ente como algunos autores piensan. No se
debe ver como una carga impuesta e inevitable, sino como un proceso entrelazado con el
resto de las actividades de la entidad.
 Los CI son más efectivos cuando se incorporan a la infraestructura de una entidad:
 Los CI deben ser incorporados, no añadidos.
 La incorporación de controles influye directamente en la capacidad de conseguir los
objetivos que persigue la entidad, además de apoyar las iniciativas de calidad.
 Los controles permiten que las empresas sean más agiles y competitivas: repercuten
en la contención de costos y en los tiempos de repuesta.
Lo llevan a cabo personas

 La implementación y seguimiento del CI es llevado a cabo por el Consejo de Administración, la
Dirección y demás miembros de la entidad.
 No es suficiente poseer manuales de políticas y normas.
 La responsabilidad de realizarlo está en todos los niveles de la organización.
 Las personas son quiénes establecen los objetivos de la organización e implementan los
mecanismos de control.
 A su vez, el CI afecta la actuación de las personas.
 No todos los integrantes de una entidad tienen los mismos objetivos o funciones o realizan
sus cometidos de manera uniforme.
 El CI persigue un vínculo estrecho entre las funciones de cada individuo, la forma de
ejecución y los objetivos de la entidad. 
Busca seguridad razonable
 El CI, por muy bien diseñado e implementado que esté, solamente puede aportar un grado de
seguridad razonable a la dirección y al consejo de administración acerca de la consecución de
los objetivos de la entidad.
 Existen limitaciones inherentes a todos los sistemas de CI.
 Problemas en el funcionamiento del sistema como consecuencia de fallos humanos.
 Los controles pueden esquivarse si dos o más personas se lo proponen.
 La dirección puede creer oportuno eludir el sistema de CI.
 Las opiniones sobres las que se basan las decisiones en materia de CI pueden ser erróneas.
 Los empleados encargados de la implementación del CI tienen que analizar la relación
costo/beneficio.
Para alcanzar los objetivos
 Toda organización tiene una misión y visión, éstas determinan los objetivos y las estrategias
necesarias para alcanzarlos. Los objetivos se pueden establecer para el conjunto de la
organización o para determinadas actividades dentro de la misma.
 Los objetivos en este informe pueden clasificarse en 3 categorías:
 Operacionales: utilización eficaz y eficiente de los recursos de la entidad. Ej: rendimiento,
rentabilidad, salvaguarda de activos, etc.
7
 Información Financiera: preparación y publicación de estados financieros fiables.
 Cumplimiento: acatamiento por parte de la entidad de las leyes y normas que le sean
aplicables.
Esta clasificación permite centrarse en los diferentes aspectos del CI, identificar qué es lo que se
espera de cada categoría de CI.
Importancia de COSO I: Marco Integrado de Control Interno
A nivel organizacional, Informe Coso I destaca la necesidad de que la alta dirección y el resto de la
organización comprendan la trascendencia del control interno, la incidencia del mismo sobre los
resultados de la gestión, el papel estratégico a conceder a la auditoría y esencialmente la
consideración del control como un proceso integrado a los procesos operativos de la empresa y no
como un conjunto de actividades adicionales, que daría como resultado procesos burocráticos.
A nivel regulatorio o normativo, el Informe COSO pretende que cuando se plantee cualquier
discusión o problema de control interno, tanto a nivel práctico de las empresas, como a nivel de
auditoría interna o externa, o en los ámbitos académicos o legislativos, los interlocutores tengan una
referencia conceptual común, lo cual antes de la aplicación del informe era complejo, dada la
multiplicidad de definiciones y conceptos divergentes que han existido sobre control interno.
Desde su elaboración, esta metodología se incorporó en las políticas, reglas y regulaciones y ha
sido utilizada por muchas empresas para mejorar sus actividades de control hacia el logro de sus
objetivos planteados. Dicho Informe intenta brindar un grado razonable de seguridad frente al riesgo
que se presenta. Este último se define como la probabilidad que ocurra un determinado evento que
puede tener efectos negativos para la organización.
Componentes de COSO I
El Informe Coso I se vale de diversos componentes para explicar el desarrollo del control interno en
una organización, y estos son:
 Entorno de control.
 Evaluación de riesgos.
 Actividades de control.
 Información y comunicación.
 Supervisión.
Estos componentes serán analizados a la luz del Informe Coso II, ya que éste último se toma como
base en esta investigación para la integración de los temas comprendidos en cada Informe Coso.
INFORME COSO II
En enero de 2001, debido al aumento de preocupación por evaluar y mejorar el proceso de

administración de riesgo, el Committee of Sponsoring Organizations of the Treadway Commission,
8
inició un proyecto con el objeto de desarrollar un marco reconocido de administración integral de
riesgos: identificación, evaluación y gestión integral de riesgo. Hacia fines de septiembre de 2004,
como respuesta a una serie de escándalos e irregularidades (como el caso Enron y Parmalat) que
provocaron pérdidas importantes a inversionistas, empleados y otros grupos de interés, el proyecto
culminó con la publicación, por parte del Committee, del Enterprise Risk Management - Integrated
Framework (COSO II) y sus Aplicaciones Técnicas asociadas.
PRICEWATERHOUSECOOPERS Consultores, Auditores y Compañía Limitada, puntualiza que
actualmente, con el aceleramiento del ritmo de cambio, la mayoría de las organizaciones adoptan
este nuevo enfoque que les permite mejorar sus prácticas de control interno o decidir encaminarse
hacia un proceso más completo de gestión de riesgo. De esta forma mejoran su capacidad de
aprovechar oportunidades, evitar riesgos y manejar la incertidumbre, creando valor a sus distintos
“grupos de interés”.
Definición de “Gestión del Riesgo”

Según lo expuesto en Gestión de Riesgos Corporativos-Marco Integrado (Informe COSO II), la
Gestión de Riesgos en las organizaciones es un proceso efectuado por el Consejo de Administración
de una entidad, su Dirección y restante personal, aplicable a la definición de estrategias en toda la
empresa y diseñado para identificar eventos potenciales que puedan afectar a la organización,
gestionar sus riesgos dentro de lo aceptado y proporcionar una seguridad razonable sobre el logro
de los objetivos.
Análisis de la definición
 Es un proceso.
 Efectuado por el directorio, gerencia y otros miembros del personal.
 Aplicado en el establecimiento de la estrategia.
 A lo largo de la organización.
 Diseñado para identificar eventos potenciales que pueden afectar a la organización y
administrar riesgos de acuerdo a su apetito de riesgo.
 De modo de proveer seguridad razonable.
 En cuanto al logro de los objetivos de la organización.
Importancia de COSO II: Administración de los Riesgos de la Empresa (ERM)

Proporciona un foco más profundo y extenso sobre la identificación, evaluación y gestión integral de
riesgo. Prioriza la visión del evento por sobre la del riesgo.
Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora como parte de
él, permitiendo a las compañías mejorar sus prácticas de control interno o decidir encaminarse hacia
un proceso más completo de gestión de riesgo.
9
Además, amplía la visión del riesgo a eventos negativos o positivos, o sea, a amenazas u
oportunidades; a la localización de un nivel de tolerancia al riesgo; así como al manejo de estos
eventos y a la gestión de riesgos. Aspectos claves a tener en cuenta en el análisis de Coso II:
 Administración del riesgo en la determinación de la estrategia
 Eventos y riesgo
 Apetito de riesgo
 Tolerancia al riesgo
 Visión de portafolio de riesgo
Componentes de COSO II
Teniendo presente los componentes expuestos anteriormente en Coso I, en este caso los
contemplados por Coso II son:
 Ambiente interno
 Establecimiento de objetivos
 Identificación de eventos
 Evaluación de riesgos
 Respuesta a los riesgos
 Actividades de control
 Información comunicación
 Supervisión
El desarrollo de estos componentes será abordado en los siguientes capítulos.
INFORMES COSO
ANÁLISIS COMPARATIVO DE LAS VISIONES DE AMBOS MODELOS
Evolución e Impacto de los Modelos ERM
10
ANÁLISIS COMPARATIVO DE LOS COMPONENTES DE AMBOS MODELOS
El control interno consta de componentes relacionados entre sí que derivan del estilo gerencial y
están integrados en el proceso de dirección. Éstos se presentan con independencia del tamaño o
naturaleza de la organización. Analizamos a continuación la relación entre los componentes de
COSO I y COSO II:
Comparación de los componentes de cada Informe
11
RELACIÓN ENTRE OBJETIVOS Y COMPONENTES
El marco del control interno está conformado por el contenido descrito como definición según las
normas; la clasificación de los objetivos y los componentes y criterios para lograr la eficacia.
Estos elementos, generan una sinergia y forman un sistema integrado que responde de una manera
dinámica a las circunstancias cambiantes del entorno.
Existe una relación directa entre los objetivos (columnas verticales), que la empresa se esfuerza por
conseguir, y los componentes (filas) que representan lo que se necesita para cumplirlos. Todos los
componentes son relevantes para cada categoría de objetivo. La tercera dimensión de la matriz
indica la relevancia que tiene el control interno para la totalidad de la entidad o para cualquiera de
sus unidades o actividades.
Evolución de los Componentes
12
A MODO DE SÍNTESIS
COSO I COSO II
Título Marco Integrado de Control Marco Integrado de
Interno Administración de Riesgo
Empresarial
Antecedentes E.E.U.U. en 1992 por E.E.U.U. en 2004 por
Committee of Sponsoring Committee of Sponsoring
Organizations of the Organizations of the
TreadwayCommision (COSO) TreadwayCommision (COSO)
Definición Es un proceso efectuado por el La Gestión de Riesgos
consejo de administración, la Corporativos es un proceso
dirección y el resto del personal efectuado por el Consejo de
de una entidad, diseñado con Administración de una entidad,
el objeto de proporcionar un su Dirección y restante
grado de seguridad razonable personal, aplicable a la
en cuanto a la consecución de definición de estrategias en
objetivos dentro de las toda la empresa y diseñado
siguientes categorías: para identificar eventos
 Eficacia y eficiencia de las potenciales que puedan
operaciones; afectar a la organización,
 Fiabilidad de la información gestionar sus riesgos dentro
financiera del riesgo aceptado y
 Cumplimiento de la leyes y proporcionar una seguridad
normas que sean aplicables razonable sobre el logro de los
objetivos.
Fiabilidad Facilitar un modelo en base al Ampliar el concepto de control
cual las entidades evalúen sus interno a través de la
13
sistemas de control y decidan identificación, evaluación y
cómo mejorarlos. gestión integral de riesgo.
Integrar diversos conceptos de Extender la visión del riesgo a
control interno dentro de un eventos negativos o positivos,
marco en el que se pueda o sea, a amenazas u
establecer una definición oportunidades.
común e identificar los
componentes de control.
Visión del riesgo a eventos
negativos.
Objetivos  Eficacia y eficiencia de las 
Objetivos estratégicos
operaciones. 
Eficacia y eficiencia de las
 Fiabilidad de la información operaciones.
financiera.  Fiabilidad de la información
 Cumplimiento de las leyes y financiera.
normas que sean aplicables Cumplimiento de las leyes y
normas que sean aplicables
Componentes 1. Entorno de control. 1. Ambiente interno
2. Evaluación de riesgos. 2. Establecimiento de objetivos
3. Actividades de control. 3. Identificación de eventos
4. Información y comunicación. 4. Evaluación de riesgos
5. Supervisión. 5. Respuesta a los riesgos
6. Actividades de control
7. Información comunicación
8. Supervisión
COSO III
PRINCIPALES CAMBIOS
El Marco de COSO 2013 mantiene la definición de Control Interno y los cinco componentes de
control interno, pero al mismo tiempo incluye mejoras y aclaraciones con el objetivo de facilitar el
uso y su aplicación en las Entidades. A través de esta actualización, COSO propone desarrollar el
marco original, empleando "principios" y "puntos de interés" con el objetivo de ampliar y actualizar
los conceptos de control interno previamente planteado sin dejar de reconocer los cambios en el
entorno empresarial y operativo.
A través de esta actualización, COSO propone desarrollar el marco original mediante:
 Inclusión de diecisiete principios de control que representan el elemento fundamental asociados
a cada componente del control y que estos deben de estar operando en forma conjunta.
 Proporciona "puntos de enfoque", o características importantes de los principios; al tiempo que
reconoce que el diseño y la implementación de controles relevantes para cada principio y
componente, requiere de juicio y serán diferentes de acuerdo a la organización.
 Responsabiliza a la administración quien deberá asegurar que cada uno de los componentes y
principios relevantes del control interno deben estar presente y en funcionamiento con el fin de
contar con un sistema eficaz de control interno.
14
 Concluyendo que una deficiencia importante en un componente o principio de control no se
puede mitigar con eficacia por la función de otros componentes y principios de control.
CONCEPTOS
Adaptabilidad del Marco de COSO
 Inclusión de buenas prácticas de Gobierno
 Fortalece la rendición de cuentas
 Relevancia del fraude
 Mayor nivel de competencia de los funcionarios
 Integración de conceptos como riesgo inherente, nivel de tolerancia
 Consideraciones sobre los servicios de out-sourcing y como la Administración los monitorea
 Relevancia de los Sistemas de Información, se relaciona con 14 de los 17 principios el tema de
TI
RELACIÓN ENTRE COMPONENTES Y PRINCIPIOS
15
Soportando los esfuerzos de las organizaciones sobre el cumplimiento de objetivos existen cinco
Componentes del Control Interno: Es importante considerar que el Control Interno es un proceso
dinámico, iterativo e integral. Por lo tanto, el Control Interno no es un proceso lineal en el que uno
de los componentes afecta sólo al siguiente.
Más bien es un proceso integrado en el que los componentes pueden y van a impactar en cualquier
otro.
De los cinco componentes de Control Interno que establece COSO, se deberán considerar los 17
principios que representan los conceptos fundamentales relacionados con los componentes para el
establecimiento de un efectivo Sistema de Control Interno.
16
3.1.1. AMBIENTE INTERNO
PRINCIPIOS
1. La organización demuestra compromiso con la integridad y los valores éticos
 Establece el tono de la gerencia, la Junta Directiva. La Alta Gerencia y el personal supervisor

están comprometidos con los valores y principios éticos y los refuerzan en sus actuaciones.
 Establece estándares de conducta. Las expectativas de la Junta Directiva y la Alta Dirección con
respecto a la integridad y los valores éticos son definidos en los estándares de conducta de la
entidad y entendidos en todos los niveles de la organización y por los proveedores de servicio
externos y socios de negocios.
 Evalúa la adherencia a estándares de conducta. Los procesos están en su lugar para evaluar el
desempeño de los individuos y equipos en relación con los estándares de conducta esperados
de la entidad.
2. El consejo de administración demuestra independencia de la dirección y ejerce la

supervisión del desempeño del sistema de control interno.
 Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica y

acepta su responsabilidad de supervisión con respecto a establecer requerimientos y
expectativas.
 Aplica experiencia relevante. La Junta directiva define, mantiene y periódicamente evalúa las
habilidades y experiencia necesaria entre sus miembros para que puedan hacer preguntas de
sondeo de la Alta Dirección y tomar medidas proporcionales.
 Conserva o delega responsabilidades de supervisión.
 Opera de manera independiente. La Junta Directiva tiene suficientes miembros, quienes son
independientes de la Administración y objetivos en evaluaciones y toma de decisiones.
 Brinda supervisión sobre el Sistema de Control Interno. La Junta Directiva conserva la
responsabilidad de supervisión del diseño, implementación y conducción del Control Interno de
la Administración: – Entorno de Control:
Establece integridad y valores éticos, estructuras de supervisión, autoridad y responsabilidad,
expectativas de competencia, y rendición de cuentas a la Junta.
– Evaluación de Riesgos:
Monitorea las evaluaciones de riesgos de la administración para el cumplimiento de los objetivos,
incluyendo el impacto potencial de los cambios significativos, fraude, y la evasión del control
interno por parte de la administración.
– Actividades de Control:
Provee supervisión a la Alta Dirección en el desarrollo y cumplimiento de las actividades de
control.
– Información y Comunicación:
Analiza y discute la información relacionada con el cumplimiento de los objetivos de la entidad.
– Actividades de Supervisión:
Evalúa y supervisa la naturaleza y alcance de las actividades de monitoreo y la evaluación y
mejoramiento de la administración de las deficiencias.
17
3. La dirección estable con la supervisión del consejo, las estructuras, líneas de reporte
y los niveles de autoridad y responsabilidad apropiados para la consecución de los
objetivos.
 Considera todas las estructuras de la entidad. La Administración y la Junta Directiva

consideran las estructuras múltiples utilizadas (incluyendo unidades operativas, entidades
legales, distribución geográfica, y proveedores de servicios externos) para apoyar la consecución
de los objetivos.
 Establece líneas de reporte. La Administración diseña y evalúa las líneas de reporte para cada
estructura de la entidad para permitir la ejecución de autoridades y responsabilidades y el flujo
de información para gestionar las actividades de la entidad.
 Define, asigna y delimita autoridades y responsabilidades. La Administración y la Junta
Directiva delegan autoridad, definen responsabilidades, y utilizan procesos y tecnologías
adecuadas para asignar responsabilidad, segregar funciones según sea necesario en varios
niveles de la organización:
– Junta directiva:
Conservar autoridad sobre las decisiones significativas y revisar las evaluaciones de la
administración y las limitaciones de autoridades y responsabilidades.
– Alta Dirección:
Establece instrucciones, guías, y control habilitando a la administración y otro personal para
entender y llevar a cabo sus responsabilidades de control interno.
– Administración:
Guía y facilita la ejecución de las instrucciones de la Alta Dirección dentro de la entidad y sus sub-
unidades.
– Personal:
Entiende los estándares de conducta de la entidad, los riesgos evaluados para los objetivos, y las
actividades de control relacionadas con sus respectivos niveles de la entidad, la información
esperada y los flujos de comunicación, y las actividades de monitoreo relevantes para el
cumplimiento de los objetivos.
– Proveedores de servicios externos:
Cumple con la definición de la administración del alcance de la autoridad y la responsabilidad para
todos los que no sean empleados comprometidos.
4. La organización demuestra compromiso para atraer, desarrollar y retener a

profesionales competentes, en concordancia con los objetivos de la organización
 Establece políticas y prácticas
18
Las políticas y prácticas reflejan las expectativas de competencia necesarias para apoyar el
 Evalúa la competencia y direcciona las deficiencias
La Junta Directiva y la Administración evalúan la competencia a través de la organización y en los
proveedores de servicios externos de acuerdo con las políticas y prácticas establecidas, y actúa
cuando es necesario direccionando las deficiencias.
 Atrae, desarrolla y retiene profesionales.
La organización provee la orientación y la capacitación necesaria para atraer, desarrollar y retener
personal suficiente y competente y proveedores de servicios externos para apoyar el cumplimiento
de los objetivos.
 Planea y se prepara para sucesiones.
La Alta Dirección y la Junta Directiva desarrollan planes de contingencia para la asignación de la
responsabilidad importante para el control interno.
5. La organización define las responsabilidades de las personas a nivel de control interno

para la consecución de los objetivos
 Hace cumplir la responsabilidad a través de estructuras, autoridades y

responsabilidades.
La Administración y la Junta Directiva establecen los mecanismos para comunicar y mantener
profesionales responsables para el desempeño de las responsabilidades de control interno a través
de la organización, e implementan acciones correctivas cuando es necesario.
 Establece medidas de desempeño, incentivos y premios.
La Administración y la Junta Directiva establecen medidas de desempeño, incentivos, y otros
premios apropiados para las responsabilidades en todos los niveles de la entidad, reflejando
dimensiones de desempeño apropiadas y estándares de conducta esperados, y considerando el
cumplimiento de objetivos a corto y largo plazo.
 Evalúa medidas de desempeño, incentivos y premios para la relevancia en curso.
La Administración y la Junta Directiva alinean incentivos y premios con el cumplimiento de las
responsabilidades de control interno para la consecución de los objetivos.
 Considera presiones excesivas.
La administración y la Junta Directiva evalúan y ajustan las presiones asociadas con el cumplimiento
de los objetivos, así como asignan responsabilidades, desarrollan medidas de desempeño y evalúan
el desempeño.
 Evalúa desempeño y premios o disciplina los individuos.
La Administración y la Junta Directiva evalúan el desempeño de las responsabilidades de control
interno, incluyendo la adherencia a los estándares de conducta y los niveles de competencia
esperados, y proporciona premios o ejerce acciones disciplinarias cuando es apropiado.
19
3.1.2. ESTABLECIMIENTO DE OBJETIVOS
Cada entidad tiene una misión, la cual determina los objetivos y las estrategias necesarias para
cumplirla. Los objetivos pueden ser establecidos mediante un proceso estructurado o informal
dependiendo de la entidad, y junto con la evaluación de los puntos fuertes y débiles de la entidad, y
de las oportunidades y amenazas del entorno, define una estrategia global.
I. Objetivos
Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del negocio y es
necesario fijar los objetivos con carácter previo al diseño e implementación del sistema de control
interno, con el fin de controlar y mitigar de manera adecuada los riesgos que afectan a dichos
objetivos.
Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes con las
capacidades y expectativas de la entidad y las unidades empresariales y sus funciones.
Establecer objetivos es un requisito previo para un control interno eficaz. Los objetivos proporcionan
las metas medibles hacia las que la entidad se mueve al desarrollar sus actividades.
Esta responsabilidad está establecida en los procesos de la administración, como se presenta a
continuación:
 Determinar los objetivos estratégicos y seleccionar la estrategia dentro del contexto de la
entidad establecido en su misión y visión.
 Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en los
requerimientos de la entidad según las circunstancias.
 Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo.
 Establecer los objetivos generales y específicos para la entidad y sus niveles según sean las
circunstancias.
El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a las
organizaciones centrarse en diferentes aspectos del control interno. Estas son:
1. Objetivos operativos:
Estos objetivos se relacionan con el cumplimiento de la misión y visión de la entidad.
Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos sus objetivos de
rendimiento financiero y operacional, y la protección de sus activos frente a posibles pérdidas.
Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en relación con la
protección de los activos de la entidad, y la selección y desarrollo de los controles necesarios para
mitigar dichos riesgos.
Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico en que se
involucra la entidad; y están relacionados con el mejoramiento del desempeño financiero, la
productividad, la calidad, las prácticas ambientales, y la innovación y satisfacción de empleados y
clientes.
2. Objetivos de información:
20
Estos objetivos se refieren a la preparación de reportes para uso de la organización y los accionistas,
teniendo en cuenta la veracidad, oportunidad y transparencia.
Estos reportes relacionan la información financiera y no financiera interna y externa y abarcan
aspectos de confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los
reguladores, organismos reconocidos o políticas de la entidad.
La presentación de informes a nivel externo da respuesta a las regulaciones y normativas
establecidas y a las solicitudes de los grupos de interés, y los informes a nivel interno atienden a las
necesidades al interior de la organización tales como: la estrategia de la entidad, plan operativo y
métricas de desempeño.
Reportes Financiero Externo Reportes No Financiero Externo
• Cuentas anuales • Informe de Control Interno
• Estados financieros intermedios • Memoria de sostenibilidad
• Publicación de resultados • Plan estratégico
• Distribución de utilidades • Custodia de activos
Reportes Financiero Interno Reportes No Financiero Interno
• Estados financieros de las divisiones • Utilización de activos
• Cash-flow / Presupuesto • Encuestas de satisfacción del cliente
• Cálculos de Covenants • Indicadores clave de riesgo
• Reportes al consejo
Los Reportes deben cumplir con los siguientes requisitos:

 Relevancia
 Representación exacta
 Comparabilidad
 Verificabilidad
 Oportunidad, y
 Comprensibilidad
3. Objetivos de cumplimiento:
Están relacionados con el cumplimiento de las leyes y regulaciones a las que está sujeta la entidad.
La entidad debe desarrollar sus actividades en función de las leyes y normas específicas.
(htt)
Según un sitio de internet denominado Wordreference, un objetivo es “la finalidad de una acción”.
Conforme a lo expresado por distintos autores los objetivos son metas medibles e indican hacia
dónde una entidad puede desarrollar sus actividades. El establecimiento de los mismos requiere de
un considerable trabajo en la etapa de planeamiento. Estos se fijan a escala estratégica,
estableciendo luego con ellos una base para los objetivos operativos, de información y de
cumplimiento.
21
En una entidad, al menos en forma anual se establece o refresca cuál es la misión/visión, su función,
los valores que la empresa considera prioritarios. Estos lineamientos, apoyados en un análisis de
fortalezas, oportunidades, debilidades y amenazas del entorno (entre otros aspectos), llevan a
definir una estrategia global y en base a ésta una serie de objetivos.
FACTORES QUE LO CONSTITUYEN
OBJETIVOS ESTRATÉGICOS
Son metas de alto nivel que se alinean y sustentan la misión/visión. Es decir, son los resultados que
la empresa espera alcanzar a largo plazo, realizando acciones que le permitan cumplir con su
misión, inspirados en la visión.
Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización busca crear valor
para sus grupos de interés. Se deben redactar de una manera clara y responder dos preguntas
esenciales: ¿qué se quiere lograr? y ¿para qué? Si se tiene muy claro cómo responder estas dos
preguntas entonces pueden definirse los objetivos estratégicos.
Al considerar las posibles formas de alcanzarlos, la dirección identifica los riesgos asociados y
considera sus implicaciones. Debe existir una alineación entre los objetivos estratégicos y los
objetivos relacionados con el nivel de riesgo aceptado y las tolerancias al riesgo.
22
OBJETIVOS SELECCIONADOS
Son los objetivos vinculados a la misión de una entidad, cuya selección es condición previa para la
identificación de eventos, evaluación de riesgos y respuesta al riesgo.
OBJETIVOS RELACIONADOS
Son los objetivos seleccionados, que deben estar alineados con la estrategia escogida y con el
apetito de riesgo deseado (riesgo aceptado). Se categorizan en forma amplia en:
 Operativos: referidos a la eficiencia y eficacia de las actividades de la organización,
incluyendo los objetivos de rentabilidad y desempeño.
 De información: referidos a la fiabilidad de la información suministrada por la organización,
que incluye datos externos e internos, así como información financiera y no financiera.
 De cumplimiento: referidos al cumplimiento de leyes y normas y leyes aplicables.
Los objetivos al nivel de empresa (estrategias) están vinculados y se integran con otros más
específicos que repercuten en cascada en la organización hasta llegar a los sub objetivos
establecidos, por ejemplo en las actividades de ventas, producción, administración, etc.
RIESGO ACEPTADO
Es el nivel de riesgo que la entidad está dispuesta a asumir sin que le implique grandes
impedimentos para lograr los objetivos planteados. El riesgo aceptado puede expresarse en
términos cualitativos o cuantitativos.
Una pregunta típica en este caso sería: ¿qué riesgos relativos al negocio está dispuesta a asumir la
empresa y cuáles no?
La consultora Deloitte y Asociados afirma en una publicación emitida, que la definición de este riesgo
aceptado no es tarea fácil, ya que está relacionado directamente con los criterios tomados por la
alta administración, por ejemplo:
 ¿Qué riesgos relativos al negocio está dispuesta a asumir la empresa y cuáles no?
 ¿Existen riesgos específicos que la entidad no esté preparada a aceptar, tales como los que
pueden implicar un incumplimiento normativo?
 ¿Se encuentra cómoda la empresa con su nivel de Riesgo Aceptado actual o con el que
acepte en el futuro en cada uno de sus negocios?
Algunas organizaciones expresan el riesgo aceptado en términos de un “mapa de riesgos”.
23
TOLERANCIA AL RIESGO
Es el nivel aceptable de desviación en relación con el logro de los objetivos. Muestra el grado
de incertidumbre que la dirección puede manejar respecto a un cambio negativo en el objetivo
propuesto.
Operar dentro de las tolerancias al riesgo proporciona a la dirección una mayor confianza de
que la entidad permanece dentro de su riesgo aceptado, que, a su vez, proporciona una seguridad
más elevada de que la organización alcanzará sus objetivos. Se alinea con el apetito de riesgo
(directamente relacionado con la definición de la estrategia).
24
3.1.3. IDENTIFICACIÓN DE EVENTOS
En referencia a la bibliografía Gestión de Riesgos Corporativos Marco Integrado (Informe COSO II),
la identificación de eventos es un proceso integrado a la planificación. A través del mismo, la
dirección identifica los eventos potenciales, que, de ocurrir, afectarán a la entidad y además,
determina si representan oportunidades o si pueden afectar negativamente a la capacidad de la
empresa para implementar la estrategia y alcanzar los objetivos con éxito.
Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y
administrados.
Los eventos con un impacto positivo representan oportunidades, los cuales son recanalizados por
la dirección al proceso de establecimiento de estrategias y objetivos.
FACTORES A CONSIDERAR EN LA IDENTIFICACIÓN DE EVENTOS
TÉCNICAS DE IDENTIFICACIÓN
La metodología de identificación de eventos comprende una combinación de técnicas y
herramientas de apoyo que se basan tanto en el pasado como en el futuro.
25
La dirección utiliza diversos medios para identificar posibles acontecimientos que afecten al logro
de los objetivos, distinguiendo así, riesgos y oportunidades. Y a su vez, considera factores internos
y externos.
Algunas de las técnicas más comunes pueden ser:
Inventarios de eventos
Talleres de trabajo
Entrevistas
TÉCNICAS DE
Cuestionarios y encuestas
IDENTIFICACIÓN
Análisis del flujo de procesos
Indicadores de eventos/alarma
Seguimiento de eventos con pérdidas
a) Inventarios de eventos
Son registros documentales de aquellos eventos que puedan afectar al ente positiva o
negativamente (riesgos). Se utilizan listados de eventos posibles comunes a un sector o área
funcional específica. Son elaborados por el personal de la entidad o bien son listas externas
genéricas. En este último caso, deben ser revisadas y sometidas a mejoras a fin de adaptar su
contenido a las circunstancias propias de la organización. Se utilizan, por ejemplo, con relación a
un proyecto, proceso o actividad determinada.
b) Talleres de trabajo
Son grupos de trabajo dirigidos para identificar eventos, que reúnen habitualmente a personal de
muy diversas funciones o niveles, con el propósito de aprovechar el conocimiento colectivo del grupo
y desarrollar una lista de acontecimientos relacionados. La participación de la alta dirección es de
suma importancia, con el fin de identificar situaciones que puedan afectar el logro de objetivos
estratégicos.
c) Entrevistas
Siguiendo las definiciones de la Real Academia Española, una entrevista se describe como la “vista,
concurrencia y conferencia de dos o más personas en un lugar determinado, para tratar o resolver
un asunto”. Ésta se desarrolla habitualmente entre uno o más entrevistadores y un entrevistado. Su
propósito es averiguar los puntos de vista y conocimientos del entrevistado en relación con los
acontecimientos pasados y los futuros.
d) Cuestionarios y encuestas
26
De acuerdo al sitio de Internet Word Reference, los cuestionarios son “listas de cuestiones o
preguntas”, mientras que las encuestas se refieren al “conjunto de datos obtenidos mediante
consulta o interrogatorio a un número determinado de personas sobre un asunto”.
Estas técnicas abordan una amplia gama de circunstancias, centrándose principalmente, en los
factores internos y externos que han dado, o pueden dar lugar, a eventos. Las preguntas pueden
ser abiertas o cerradas, según sea el objetivo perseguido y ser dirigidas a un individuo o a varios.
e) Análisis del flujo de procesos
Es la representación esquemática de un proceso, con el objetivo de comprender las interrelaciones
entre las entradas, tareas, salidas y responsabilidades de sus componentes. Una vez realizado este
esquema, los acontecimientos pueden ser identificados y considerados frente a los objetivos del
proceso. Esta técnica puede realizarse tanto a nivel global como detalladamente.
f) Principales indicadores de eventos e indicadores de alarma
Los principales indicadores de eventos son mediciones cualitativas o cuantitativas que proporcionan
un mayor conocimiento de los riesgos potenciales, tales como el precio de insumos claves, índices
de rotación, tráfico de un sitio de Internet. Para resultar útiles, deben estar disponibles para la
dirección de manera oportuna, lo que, dependiendo de la información, puede implicar una frecuencia
diaria, semanal, mensual o en tiempo real.
Los indicadores de alarma se centran habitualmente en operaciones diarias y se emiten, sobre la
base de excepciones, cuando se sobrepasa un umbral preestablecido. Tales indicadores se
informan a los directivos considerando el tiempo necesario para poner en marcha una acción.
g) Seguimiento de datos de eventos con pérdidas
Es la vigilancia u observación detallada de la información relevante que ayuda a una organización
a identificar acontecimientos pasados con un impacto negativo y a cuantificar las pérdidas
asociadas, a fin de predecir futuros sucesos.
El seguimiento puede realizarse tanto sobre datos internos como externos, como por ejemplo, el
continuo análisis de los principales indicadores económicos o cambios en las políticas
internacionales que afectan a la organización.
27
3.1.4. EVALUACIÓN DE RIESGOS
Este componente identifica los posibles riesgos asociados con el logro de los objetivos de la
organización. Toda organización debe hacer frente a una serie de riesgos de origen tanto interno
como externo, que deben ser evaluados. Estos riesgos afectan a las entidades en diferentes
sentidos, como en su habilidad para competir con éxito, mantener una posición financiera fuerte y
una imagen pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que no
se cumplan los objetivos de la organización. De esta manera, la organización debe prever, conocer
y abordar los riesgos con los que se enfrenta, para establecer mecanismos que los identifiquen,
analicen y disminuyan. Este es un proceso dinámico e iterativo que constituye la base para
determinar cómo se gestionaran los riesgos.
6. La organización define los objetivos con suficiente claridad para permitir la

identificación y evaluación de los riesgos relacionados.
La organización define los objetivos con suficiente claridad para permitir la identificación y
evaluación de los riesgos relacionados con los objetivos. Antes de llevar a cabo la evaluación de
riesgos, se deben establecer los objetivos asociados con los diferentes niveles de la entidad, los
objetivos operativos, de información/Reporting y de cumplimiento, los cuales deben ser consistentes
con la misión de la entidad.
Para determinar si los objetivos son pertinentes, la administración debe considerar los siguientes
aspectos:
 Alineación de los objetivos establecidos con las prioridades estratégicas.

 Articulación de la tolerancia al riesgo para los objetivos.
 Alineación entre los objetivos establecidos y las leyes, reglas, regulaciones y estándares
aplicables a la entidad.
 Articulación de los objetivos en términos que sean específicos, medibles u observables,
asequibles, relevantes y temporales.
 Objetivos en cascada a través de la organización y sus subdivisiones.
 Alineación de los objetivos con otras circunstancias que requieran especial atención de la
entidad.
 Confirmación de la pertinencia de los objetivos dentro del proceso de establecimiento de los
objetivos antes de que estos sean usados como base para la evaluación de los riesgos.
Algunos factores que influyen en la evaluación de los riesgos son:
• Políticas y procedimientos.
• Aprobaciones y autorizaciones.
• Conciliaciones y verificaciones.
• Seguridad de activos.
• Segregación de funciones.
28
• Identificación de eventos.
• Valoración de riesgos.
• Respuesta al riesgo.
Objetivos operativos:
 Refleja las elecciones de la administración.

 Considera la tolerancia al riesgo.
 Incluye las metas de desempeño operativo y financiero.
 Constituye una base para administrar los recursos.
Objetivos de reporte financiero externo:
 Cumple con los estándares contables aplicables.
 Considera la materialidad.
 Refleja las actividades de la entidad.
Objetivos de reporte no financiero externo:
 Cumple con los estándares y marcos externos establecidos.

 Considera los niveles de precisión requeridos.
Objetivos de reporte interno:
 Refleja las elecciones de la administración.

 Considera el nivel requerido de precisión.
Objetivos de cumplimiento:
 Refleja las leyes y regulaciones externas.
 Considera la tolerancia al riesgo.
7. La organización identifica los riesgos para la consecución de sus objetivos en todos

los niveles de la entidad y los analiza como base sobre la cual determina cómo se
deben gestionar.
La organización identifica los riesgos para la consecución de sus objetivos a través de la entidad y
analiza los riesgos como base para determinar cómo se deben gestionar. La administración debe
considerar los riesgos en todos los niveles de la organización y tomar las acciones necesarias para
responder a estos. En este proceso se consideran los factores que influyen como la severidad,
velocidad y persistencia del riesgo, la probabilidad de perdida de activos y el impacto relacionado
sobre las actividades de operativas, de reporte y cumplimiento. Así mismo la entidad necesita
entender su tolerancia al riesgo y su habilidad para funcionar y operar dentro de estos niveles de
riesgo.
El proceso de identificación de riesgos debe ser integral y completo y considerar todas las
interacciones significativas de bienes, servicios e información, internamente y entre la entidad y sus
principales socios y proveedores de servicios externos.
29
Riesgos externos: desarrollos tecnológicos que en caso de no adoptarse provocarían obsolescencia
organizacional, cambios en las necesidades y expectativas de la demanda, condiciones
macroeconómicas tanto a nivel internacional como nacional, condiciones microeconómicas,
competencia elevada con otras organizaciones, dificultad para obtener crédito o costos elevados del
mismo, complejidad y elevado dinamismo del entorno de la organización, y reglamentos y legislación
que afecten negativamente a la organización.
 Riesgos económicos: cambios que pueden impactar las finanzas, la disponibilidad de capital,
y barreras al acceso competitivo.
 Ambiente natural: catástrofes naturales o causadas por el ser humano, o cambios climáticos
que puedan generar cambios en las operaciones, reducción en la disponibilidad de materia
prima, perdida de sistemas de información, resaltando la necesidad de planes de
contingencia.
 Factores regulatorios: nuevos estándares, regulaciones y leyes que impliquen cambios en
las políticas y estrategias operativas y de reporte de la entidad.
 Operaciones extranjeras: cambios en el gobierno o leyes de países extranjeros que afecten
a la entidad.
 Factores sociales: cambios en las necesidades y expectativas de los clientes que puedan
afectar el desarrollo de los productos, procesos de producción, servicio al cliente, precios o
garantías.
 Factores tecnológicos: desarrollos que pueden afectar la disponibilidad y uso de la
información, costos de infraestructura y la demanda de los servicios basados en la tecnología.
Riesgos internos: riesgos referentes a la información financiera, a sistemas de información
defectuosos, a pocos o cuestionables valores éticos del personal, a problemas con las aptitudes,
actitudes y comportamiento del personal.
 Infraestructura: decisiones sobre el uso de recursos de capital que pueden afectar las
operaciones y la disponibilidad de la infraestructura.
 Estructura de la administración: cambios en las responsabilidades de la administración que
puedan afectar los controles que se llevan a cabo en la organización.
30
 Personal: calidad del personal contratado y los métodos de capacitación y motivación que
puedan influir en el nivel de control de conciencia dentro de la entidad, y vencimiento de
contratos que puedan afectar la disponibilidad de personal.
 Acceso a los activos: naturaleza de las actividades de la entidad y acceso de empleados a
los activos, que puedan contribuir a la malversación de activos.
 Tecnología: alteraciones en los sistemas de información que puedan afectar los procesos de
la entidad.
Los riesgos deben ser claramente identificados y esto se realiza mediante un mapeo de riesgos que
incluye la especificación de los procesos claves de la organización, la identificación de los objetivos
generales y particulares, y las amenazas y riesgos que pueden impedir que estos se cumplan.
También es necesario llevar a cabo una evaluación de riesgos a nivel de transacciones, lo que
permite tener un nivel aceptable de riesgo en la entidad.
Después de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a cabo el
análisis de riesgos. Este proceso debe incluir la evaluación de la probabilidad de que ocurra un
riesgo, el impacto que causaría y la importancia del riesgo. Es importante estimar la probabilidad de
ocurrencia de los riesgos identificados con el fin de calcular posibles pérdidas. Esta estimación
comprende tres variables; probabilidad, impacto y velocidad; con estas consideraciones se puede
construir una matriz de riesgos para determinar los riesgos prioritarios.
Finalmente, luego de evaluar los riesgos significativos, la administración debe considerar cómo van
a ser manejados. Esto implica el uso del juicio y un análisis razonable de costos asociados con la
reducción de los niveles de riesgo. Las respuestas a los riesgos se organizan en las siguientes
categorías:
CATEGORÍA DESCRIPCIÓN
Aceptación Ninguna acción es tomada para modificar la
probabilidad o impacto del riesgo
Anulación Salida de actividades que dan lugar a riesgos
Reducción Acciones tomadas para reducir la probabilidad o
impacto del riesgo
Compartir Reducir la probabilidad o impacto del riesgo,
transfiriéndolo o compartiendo una parte del riesgo
 Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La

organización identifica y evalúa los riesgos a nivel de la entidad, sucursales, divisiones,
unidad operativa y niveles funcionales relevantes para la consecución de los objetivos
31
 Evalúa la consideración de factores externos e internos en la identificación de los riesgos que
puedan afectar a los objetivos
 Envuelve niveles apropiados de administración. La dirección evalúa si existen mecanismos
adecuados para la identificación y análisis de riesgos
 Analiza la relevancia potencial de los riesgos identificados y entiende la tolerancia al riesgo
de la organización
 Determina la respuesta a los riesgos. La evaluación de riesgos incluye la consideración de
cómo el riesgo debería ser gestionado y si aceptar, evitar, reducir o compartir el riesgo.
8. La organización considera la probabilidad de fraude al evaluar los riesgos para la

consecución de los objetivos
La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de

los objetivos. La administración debe considerar los posibles actos de corrupción, ya sean del
personal de la entidad o de los proveedores de servicios externos, que afectan directamente el
El Marco Integrado de Control Interno establece la necesidad de considerar el riesgo de fraude
potencial que pueda afectar la consecución de los objetivos de la organización. Por lo tanto, se
definen varios tipos de fraude, enfatizando así el análisis y gestión del fraude.
• Reporting fraudulento.
• Custodia de activos.
• Corrupción.
El reporte fraudulento se presenta cuando los estados financieros son preparados inadecuadamente
con omisiones y declaraciones erróneas y falsas. Esto sucede por diferentes irregularidades que
pueden presentarse en la entidad. El Sistema de Control Interno debe prevenir o detectar
oportunamente cualquier omisión o información errónea en los estados financieros por fraude o
error.
La evaluación de riesgos debe considerar el riesgo potencial de fraude en las siguientes áreas:
 Reporte financiero fraudulento.
 Reporte no financiero fraudulento.
 Malversación de activos.
 Actos ilegales.
Como parte del proceso de valoración de riesgos, la organización debe identificar las diversas
maneras como puede ocurrir la presentación fraudulenta de reportes, considerando:
• El sesgo de la Administración.
• Grado de estimados y juicios en la presentación de reportes externos.
• Esquemas de fraude y escenarios comunes para los sectores de industria y los mercados en
los cuales la entidad opera.
• Regiones geográficas donde la entidad hace negocios.
• Incentivos que pueden motivar el comportamiento fraudulento.
32
• Naturaleza de la tecnología y capacidad de la administración para manipular la información.
• Transacciones inusuales o complejas sujetas a influencia importante de la administración.
• Vulnerabilidad ante la incapacidad de la Administración para evitar controles y esquemas
potenciales para eludir las actividades de control existentes.
La custodia de activos se refiere a la protección de la entidad contra la adquisición, uso y disposición
sin autorización o engañosa de los activos para el beneficio de un individuo o grupo, y que puede
estar relacionado con mercados ilegales, robo de activos y propiedad intelectual, transacciones
tardías y lavado de dinero.
Los riesgos de corrupción pueden afectar los objetivos de cumplimiento y el entorno de control. El
análisis de estos riesgos debe considerar los incentivos y presiones para alcanzar los objetivos de
la entidad. La Administración debe estipular los niveles esperados de desempeño y estándares de
conducta a través contratos y desarrollo de actividades de control que supervisen las acciones de
las terceras partes.
Factores que intervienen en el Riesgo de fraude:
• Incentivos y presiones.
• Oportunidad.
• Actitudes y justificaciones.
 Considera varios tipos de fraude: La evaluación del fraude considera el Reporting fraudulento,
posible pérdida de activos y corrupción
 La evaluación del riesgo de fraude evalúa incentivos y presiones
 La evaluación del riesgo de fraude tiene en consideración el riesgo de fraude por
adquisiciones no autorizadas, uso o enajenación de activos, alteración de los registros de
información, u otros actos inapropiados
 La evaluación del riesgo de fraude considera cómo la dirección u otros empleados participan
en, o justifican, acciones inapropiadas.
9. La organización idéntica y evalúa los cambios que podrían afectar significativamente

al sistema de control interno
La organización identifica y evalúa cambios que podrían impactar significativamente el Sistema de
Control Interno. Este proceso se desarrolla paralelamente a la evaluación de riesgos y requiere que
se establezcan controles para identificar y comunicar los cambios que puedan afectar los objetivos
de la entidad: • Cambios en el ambiente externo.
• Cambios físicos del ambiente.
• Cambios en el modelo del negocio.
• Adquisiciones y ventas de activos significativas.
• Operaciones extranjeras.
• Crecimiento rápido.
• Nuevas tecnologías.
• Cambios significativos de personal.
33
 Evalúa cambios en el ambiente externo. El proceso de identificación de riesgos considera
cambios en los ambientes regulatorio, económico, y físico en los que la entidad opera.
 Evalúa cambios en el modelo de negocios. La organización considera impactos potenciales
de las nuevas líneas del negocio, composiciones alteradas dramáticamente de las líneas
existentes de negocios, operaciones de negocios adquiridas o de liquidación en el sistema
de control interno, rápido crecimiento, el cambio de dependencia en geografías extranjeras y
nuevas tecnologías.
 Evalúa cambios en liderazgo. La organización considera cambios en administración y
respectivas actitudes y filosofías en el sistema de control interno.
34
3.1.5. RESPUESTA AL RIESGO
Respuesta, para la Real Academia Española, significa “efecto que se pretende conseguir con
una acción”.
Es el proceso de identificación y evaluación, por parte de la Dirección, de las posibles
acciones a implementar a fin de que el riesgo sea:
 Evitado
 reducido,
 compartido y/o
 aceptado.
La selección de las posibles acciones o “categorías de respuestas”, se relaciona con el apetito
de riesgo de la entidad.
FACTORES A CONSIDERAR EN LA RESPUESTA A LOS RIESGOS
CUESTIONES SOBRE LA RESPUESTA A LOS RIESGOS

La Dirección obtiene una visión de los riesgos y respuestas individuales una vez que han sido
completadas las acciones decididas y teniendo en cuenta las tolerancias asociadas. Tanto el riesgo
inherente como el residual pueden ser valorados cualitativa y cuantitativamente, en general, se
utilizan las mismas mediciones. Para determinados riesgos, la Dirección puede confiar en técnicas
diversas a fin de reducir el riesgo residual hasta situarlo en un nivel aceptable.
35
BENEFICIOS Y COSTOS
Las respuestas al riesgo implican un costo directo e indirecto que se aprecia y valora en
relación con el beneficio que genera, persiguiendo que ambos sean equilibrados. Se tiene en cuenta
el costo de implementación de las acciones tomadas por la Dirección, incluyendo gastos de
procesos, personal y/o tecnología, sin dejar de atender los egresos que se puedan presentar al
efectuar el mantenimiento de dicha respuesta. Los costos y beneficios asociados pueden medirse
en cantidad y calidad, empleando normalmente una unidad de medida coherente con la utilizada
para establecer los objetivos y las tolerancias a los riesgos asociados.
PERSPECTIVA DE CARTERA DE RIESGO RESIDUAL
La Dirección crea una perspectiva de cartera con la finalidad de determinar si el perfil que tiene la
organización se encuentra alineado con el riesgo aceptado en relación con sus objetivos y su
enfoque de gestión.
Dicha perspectiva puede presentarse de varias maneras entre las que destacamos:
 Modo en que la empresa evalúa el riesgo en toda su organización.
 Desarrollo de una visión de portafolio, tanto a nivel de unidades de negocio como a nivel de
la organización.
 Determinación si el perfil de riesgo residual de la entidad está acorde con su apetito de riesgo
global.
 Consideración de cómo los riesgos individuales se interrelacionan.
 Modo en que los directivos establecen objetivos, tolerancias al riesgo y mediciones de
rendimiento que sean relevantes para sus operaciones.
(BERTANI, POLESELLO, SANCHEZ, & ANIBAL, 2014)
36
3.1.6. ACTIVIDADES DE CONTROL
En el diseño organizacional deben establecerse las políticas y procedimientos que ayuden a que las
normas de la organización se ejecuten con una seguridad razonable para enfrentar de forma eficaz
los riesgos. Las actividades de control se definen como las acciones establecidas a través de las
políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la
dirección para mitigar los riesgos con impacto potencial en los objetivos.
Las actividades de control se ejecutan en todos los niveles de la entidad, en las diferentes etapas
de los procesos de negocio y en el entorno tecnológico, y sirven como mecanismos para asegurar
el cumplimiento de los objetivos. Según su naturaleza pueden ser preventivas o de detección y
pueden abarcar una amplia gama de actividades manuales y automatizadas. Las actividades de
control conforman una parte fundamental de los elementos de control interno. Estas actividades
están orientadas a minimizar los riesgos que dificultan la realización de los objetivos generales de
la organización. Cada control que se realice debe estar de acuerdo con el riesgo que previene,
teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar riesgos
excesivos. Estos controles permiten:
• Prevenir la ocurrencia de riesgos innecesarios.
• Minimizar el impacto de las consecuencias de los mismos.
• Restablecer el sistema en el menor tiempo posible.
En todos los niveles de la organización existen responsabilidades en las actividades de control,
debido a esto es necesario que todo el personal dentro de la organización conozca cuáles son las
tareas de control que debe ejecutar. Para esto se debe explicitar cuáles son las funciones de control
que le corresponden a cada individuo.
TIPOS DE ACTIVIDADES DE CONTROL

 Autorizaciones y aprobaciones: las autorizaciones confirman que una transacción es
válida, y se convierten en aprobaciones a nivel de la administración. Las transacciones y
tareas más relevantes para la organización solo deben ser autorizadas y ejecutadas por
personal al que se le asignó la responsabilidad dentro de sus competencias. Esta es la forma
más conocida para asegurar que solo se llevan a cabo tareas y transacciones que tienen el
apoyo de la dirección de la organización. Las autorizaciones deben documentarse y
comunicarse debidamente a las personas o áreas autorizadas, quienes deberán ejecutar las
tareas asignadas que se les explícito dentro del ámbito de las competencias establecidas
dentro de la organización.
 Verificaciones: las verificaciones comprenden comparaciones de dos o más ítems, para
constatar que se cumplan las políticas y regulaciones pertinentes.
 Gestión directa de funciones por actividades: los responsables de las diversas funciones
o actividades en la entidad deben revisar los informes sobre resultados alcanzados.
 Proceso de información: se debe realizar una serie de controles para comprobar la
exactitud, totalidad y autorización de las transacciones. Así mismo, se debe controlar el
desarrollo de nuevos sistemas y la modificación de los existentes, al igual que el acceso a
los datos, archivos, y programas.
37
 Controles físicos: los equipos, inversiones financieras, tesorería, y demás activos, son
objeto de protección y supervisión constante para comparar los recuentos físicos con las
cifras que aparezcan en los registros de control.
 Controles sobre la información de inicio: la información de inicio es usada para apoyar el
proceso de transacciones dentro de los procesos del negocio. La organización lleva a cabo
actividades de control sobre los procesos de ingreso de datos, actualización y mantenimiento
de la precisión, totalidad y validez de los datos.
 Indicadores de rendimiento: el análisis de diferentes datos operativos o financieros junto
con la puesta en marcha de acciones correctivas, constituyen actividades de control. Los
métodos de medición de desempeño deben estar presentes en toda organización. El
resultado de la evaluación de estos indicadores se utiliza para tomar medidas correctivas en
las actividades y, de esta manera, mejorar el rendimiento. Este mecanismo contribuye al
sustento de las decisiones, así que los indicadores de rendimiento no deben ser muy
numerosos ni tampoco tan escasos. Esto se logra analizando el sistema de indicadores que
se ajuste a las características de la entidad, tales como el tamaño, producción, nivel de
competencia de los empleados, y demás elementos que diferencien a la organización. El
sistema debe tener indicadores cuantitativos para montos presupuestarios, y cualitativos para
el nivel de satisfacción de los usuarios.
 Segregación de funciones: es uno de los controles internos más importantes y efectivos.
Todas las actividades de autorizar, ejecutar, registrar y comprobar una transacción deben ser
claramente segregadas y diferenciadas. La segregación de responsabilidades es
fundamental para mitigar el riesgo de fraude, debido a que lo reduce a niveles aceptables.
 Documentación: todas las transacciones, hechos significativos y la estructura de control
interno deben estar correctamente documentados y disponibles para su revisión. La
información referente a control interno debe estar consignada en las políticas de la
organización y en los manuales de procedimientos, incluyendo objetivos, estructura y
procedimientos de control interno.
 Registro oportuno y adecuado de las transacciones y hechos: se deben registrar y
clasificar debidamente los hechos y transacciones que afectan a la organización. Este
registro se debe realizar al momento de ocurrencia de los hechos para garantizar su
relevancia y utilidad para la toma de decisiones. Asimismo, se deben clasificar debidamente
para ser presentados en informes y/o estados financieros contables a los directivos y
gerentes.
 Acceso restringido a los recursos, activos y registros: los accesos deben estar
protegidos por mecanismos de seguridad y limitados a las personas autorizadas. Estas
personas tienen la responsabilidad sobre los mismos accesos. Todo activo de valor para la
organización debe asignarse a un responsable para su custodia y, además, debe contar con
las protecciones adecuadas, como seguros, almacenaje, sistemas de alarma, etc. Deben
estar debidamente registrados y periódicamente se deben verificar las existencias físicas y
registros contables para controlar su coincidencia. Estos mecanismos de protección cuestan
tiempo y dinero, por lo que se deben analizar cuidadosamente los riesgos que puedan afectar
los activos de la organización, como robo, mal uso, destrucción, y realizar una comparación
con los costos del control que se quiera implementar.
 Rotación del personal en las tareas claves: la idea es que ningún empleado tenga la
posibilidad de cometer algún tipo de irregularidad por un tiempo prolongado al realizar su
38
tarea. Para esto, los empleados deben rotar periódicamente con otros empleados dentro de
la organización, mecanismo que muchas veces no se utiliza.
10. La organización define y desarrolla actividades de control que contribuyen a la

mitigación de los riesgos hasta niveles aceptables para la consecución de los objetivos
La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de

riesgos hasta niveles aceptables para la consecución de los objetivos. Las actividades de control
apoyan todos los componentes del Sistema de Control Interno, particularmente el componente de
Evaluación de Riesgos. Durante la evaluación de los riesgos la administración identifica e
implementa acciones necesarias para llevar a cabo las respuestas a los riesgos, y asegurar que
dichas respuestas son apropiadas y oportunas.
Los factores específicos de cada entidad influyen en las actividades de control necesarias para
apoyar el Sistema de Control Interno. Algunos son:
• El ambiente y la complejidad de la entidad, y la naturaleza y alcance de sus operaciones.
• El alcance y la naturaleza de las respuestas a los riesgos y las actividades de control de
entidades multinacionales.
• Sistemas de información más sofisticados.
• Estructuras de las entidades.
 Se integra con la evaluación de riesgos. Las actividades de control ayudan a asegurar que
las respuestas a los riesgos que direccionan y mitigan los riesgos son llevadas a cabo
 Considera factores específicos de la entidad. La administración considera cómo el ambiente,
complejidad, naturaleza y alcance de sus operaciones, así como las características
específicas de la organización, afectan la selección y desarrollo de las actividades de control
 Determina la importancia de los procesos del negocio. La administración determina la
importancia de los procesos del negocio en las actividades de control
 Evalúa una mezcla de tipos de actividades de control. Las actividades de control incluyen un
rango y una variedad de controles que pueden incluir un equilibrio de enfoques para mitigar
los riesgos teniendo en cuenta controles manuales y automatizados, y controles preventivos
y de detección
 Considera en qué nivel las actividades son aplicadas. La administración considera las
actividades de control en varios niveles de la entidad
 Direcciona la segregación de funciones. La administración segrega funciones incompatibles,
y donde dicha segregación no es práctica, la administración selecciona y desarrolla
actividades de control alternativas
11. La organización define y desarrolla actividades de control a nivel de entidad sobre la

tecnología para apoyar la consecución de los objetivos
39
La organización selecciona y desarrolla actividades de control general sobre la tecnología para
apoyar el cumplimiento de los objetivos. Las actividades de control y la tecnología se relacionan
de dos formas:
 La tecnología apoya los procesos del negocio: cuando la tecnología está integrada en los
procesos del negocio, se necesitan actividades de control para mitigar el riesgo de un
funcionamiento inadecuado.
 La tecnología se utiliza para automatizar las actividades de control: muchas actividades de
control de una organización están parcial o completamente automatizadas.
Las actividades de control en los sistemas de información pueden agruparse en dos categorías:
 Controles generales: incluyen las actividades de control sobre la infraestructura tecnológica,
la seguridad de la administración y la adquisición, el desarrollo y mantenimiento de los
sistemas de información y de herramientas tecnológicas. Estas actividades se aplican en
todos los aspectos relacionados con la tecnología: sobre las operaciones del centro de
procesamiento de datos, la adquisición y mantenimiento de software, el control de acceso y
el desarrollo y mantenimiento de aplicaciones. Incluyen las medidas y procedimientos
manuales que permiten garantizar el funcionamiento continuo y correcto del sistema de
información.
 Controles sobre las operaciones del centro de procesamiento de datos: este control está
relacionado con la estructura del centro de procesamiento de datos, determinando
responsable del sector, separación de funciones, niveles de autorización. Las normas COBIT,
complementarias de las COSO, aconsejan la existencia de un comité de sistemas y controles
gerenciales sobre el área de procesamiento de datos.
 Determina la relación entre el uso de la tecnología en los procesos del negocio y los controles
generales de tecnología: La dirección entiende y determina la dependencia y la vinculación
entre los procesos de negocios, las actividades de control automatizadas y los Controles
Generales de tecnología
 Establece actividades de control para la infraestructura tecnológica relevante: la Dirección
selecciona y desarrolla actividades de control diseñadas e implementadas para ayudar a
asegurar la completitud, precisión y disponibilidad de la tecnología.
 Establece las actividades de control para la administración de procesos relevantes de
seguridad: la dirección selecciona y desarrolla actividades de control diseñadas e
implementadas para restringir los derechos de acceso, con el fin de proteger los activos de
la organización de amenazas externas.
 Establece actividades de control relevantes para los procesos de adquisición, desarrollo y
mantenimiento de la tecnología: la dirección selecciona y desarrolla actividades de control
sobre la adquisición, desarrollo y mantenimiento de la tecnología y su infraestructura
12. La organización despliega las actividades de control a través de políticas que

establecen las líneas generales del control interno y procedimientos que llevan dichas
políticas
40
La organización despliega actividades de control a través de políticas que establecen lo que se
espera y los procedimientos que ponen las políticas en acción. Las políticas reflejan las afirmaciones
de la administración sobre lo que debe hacerse para llevar a cabo los controles. Estas afirmaciones
deben estar documentadas, y expresadas tanto explícitamente como implícitamente, a través de
comunicaciones, acciones y decisiones. Los procedimientos son las acciones para implementar las
políticas establecidas.
Las políticas y procedimientos deben cumplir con:
 Oportunidad: los procedimientos deben incluir el tiempo en el que se llevará a cabo una
actividad de control, o acciones correctivas o de supervisión.
 Acciones correctivas: se deben tomar acciones correctivas cuando sea apropiado.
 Competencia: las actividades de control deben ser implementadas por personal competente
con la suficiente autoridad para desarrollarla. Esta competencia dependerá de la actividad de
control y su complejidad.
 Evaluación periódica: las políticas y procedimientos deben ser evaluados constantemente
para determinar su relevancia y efectividad, debido a los cambios en las personas, procesos
y tecnología que pueden reducir la efectividad o hacer algunas actividades redundantes.
 Establece políticas y procedimientos para apoyar el despliegue de las directivas de la

administración: la administración establece actividades de control que están construidas
dentro de los procesos del negocio y las actividades del día a día de los empleados a través
de políticas estableciendo lo que se espera y los procedimientos relevantes especificando
acciones
 Establece responsabilidad y rendición de cuentas para ejecutar las políticas y
procedimientos: la administración establece la responsabilidad y rendición de cuentas para
las actividades de control con la administración (u otro personal asignado) de la unidad de
negocios o función en el cual los riesgos relevantes residen
 Funciona oportunamente: el personal responsable desarrolla las actividades de control
oportunamente, como es definido en las políticas y procedimientos.
 Toma acciones correctivas: el personal responsable investiga y actúa sobre temas
identificados como resultado de la ejecución de actividades de control
 Trabaja con personal competente: personal competente con la suficiente autoridad desarrolla
actividades de control con diligencia y continúa atención
 Reevalúa políticas y procedimientos: la administración revisa periódicamente las actividades
de control para determinar su continua relevancia, y las actualiza cuando es necesario
41
3.1.7. INFORMACIÓN Y COMUNICACIÓN
La evaluación es necesaria para detectar por ejemplo si existen controles débiles e insuficientes
para que la Gerencia apoye directamente estos controles, los mejore y ponga en práctica el
seguimiento tanto a los controles débiles como a los fuertes le dará al auditor una guía para afianzar
sobre estos controles sobre todo en las áreas críticas de la Institución para evitar el riesgo o
minimizarlo.
En general los sistemas de control están diseñados para operar en determinas circunstancias. Claro
está que para ello se tomaron en consideración los objetivos, riesgos y las limitaciones inherentes
al control; sin embargo, las condiciones evolucionan debido, tanto a factores externos como internos,
provocando con ello que los controles pierdan su eficiencia. La función de los controles está definido
como un proceso que compara lo ejecutado con lo programado, para establecer si hay desviaciones
y tomar medidas correctivas, que no se obvie la acción y poder cumplir con los objetivos.
El personal debe no solo captar una información sino también intercambiarla para desarrollar,
gestionar y controlar sus operaciones. Por lo tanto, este componente hace referencia a la forma en
que las áreas operativas, administrativas y financieras de la organización identifican, capturan e
intercambian información.
La información es necesaria para que la entidad lleve a cabo las responsabilidades de control interno
que apoyan el cumplimiento de los objetivos. La gestión de la empresa y el progreso hacia los
objetivos establecidos implican que la información es necesaria en todos los niveles de la empresa.
En este sentido, la información financiera no se utiliza solo para los estados financieros, sino también
en la toma de decisiones. Por ejemplo, toda la información presentada a la Dirección con relación a
medidas monetarias facilita el seguimiento de la rentabilidad de los productos, la evolución de
deudores, las cuotas en el mercado, las tendencias en reclamaciones, etc.
La información está compuesta por los datos que se combinan y sintetizan con base en la relevancia
para los requerimientos de información. Es importante que la dirección disponga de datos fiables a
la hora de efectuar la planificación, preparar presupuestos, y demás actividades. Es por esto que la
información debe ser de calidad y tener en cuenta los siguientes aspectos:
• Contenido: ¿presenta toda la información necesaria?
• Oportunidad: ¿se facilita en el tiempo adecuado?
• Actualidad: ¿está disponible la información más reciente?
• Exactitud: ¿los datos son correctos y fiables?
• Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas adecuadas?
La comunicación es el proceso continuo e iterativo de proporcionar, compartir y obtener la
información necesaria, relevante y de calidad, tanto interna como externamente. La comunicación
interna es el medio por el cual la información se difunde a través de toda la organización, que fluye
en sentido ascendente, descendente y a todos los niveles de la entidad. Esto hace posible que el
personal pueda recibir de la Alta Dirección un mensaje claro de las responsabilidades de control. La
comunicación externa tiene dos finalidades: comunicar de afuera hacia el interior de la organización
información externa relevante, y proporcionar información interna relevante de adentro hacia afuera,
en respuesta a las necesidades y expectativas de grupos de interés externos.
42
Para esto se tiene en cuenta:
• Integración de la información con las operaciones y calidad de la información, analizando si
ésta es apropiada, oportuna, fiable y accesible.
• Comunicación de la información institucional eficaz y multidireccional.
• Disposición de la información útil para la toma de decisiones.
• Los canales de información deben presentar un grado de apertura y eficacia acorde con las
necesidades de información internas y externas.
La comunicación puede ser materializada en manuales de políticas, memorias, avisos o mensajes
de video. Cuando se hace verbalmente la entonación y el lenguaje corporal le dan un énfasis al
mensaje. La actuación de la Dirección debe ser ejemplo para el personal de la entidad.
Un sistema de información comprende un conjunto de actividades, y envuelve personal, procesos,
datos y/o tecnología, que permite que la organización obtenga, genere, use y comunique
transacciones de información para mantener la responsabilidad y medir y revisar el desempeño o
progreso de la entidad hacia el cumplimiento de los objetivos.
13. La organización obtiene o genera y utiliza información relevante y de calidad para apoyar
el funcionamiento del control interno.
La organización obtiene, o genera y usa, información relevante y de calidad para apoyar el funcionamiento del control
interno. La información con respecto a los objetivos de la entidad es recolectada a partir de las actividades de la Junta
Directiva y la Alta Dirección, y sintetizada de tal manera que la Administración y demás personal puedan entender los
objetivos y cuál es su rol para la consecución de los mismos.
La administración debe desarrollar e implementar controles para la identificación de la información relevante que
soporte el correcto funcionamiento de los componentes. La información proviene de diferentes fuentes y en diferentes
formas. El siguiente cuadro presenta algunos ejemplos de datos internos y externos y fuentes de las cuales la
administración puede obtener información útil y relevante para el control interno.
FUENTES DE DATOS INTERNOS DATOS INTERNOS

• Comunicaciones por correo – e-mail • Cambios organizacionales.
• Inspecciones del procesamiento de la • Experiencias de producción de calidad y
planta de producción. a tiempo.
• Minutas o notas de los encuentros del • Acciones en respuesta a las métricas de
comité operativo. consumo de energía.
• Sistema de reporte en tiempo del • Horas incurridas en proyectos basados
personal. en tiempo.
• Reportes de los sistemas de fabricación. • Número de unidades enviadas en un
• Respuestas a las encuestas de clientes. mes.
• Líneas directas para informantes. • Factores que impactan en las tasas de
deserción de clientes.
• Quejas del comportamiento del
administrador.
FUENTES DE DATOS EXTERNOS DATOS EXTERNOS
43
• Datos recibidos de los proveedores de • Productos enviados por manufactura
servicios externos. contratada.
• Reportes de investigación de la industria. • Información de productos competitivos.
• Publicación de ganancias de compañías • Métricas del mercado y la industria.
del mismo sector. • Requerimientos nuevos o ampliados.
• Entes regulatorios. • Opiniones acerca de la entidad.
• Medios sociales y blogs. • Evolución de las preferencias de
• Ferias. clientes.
• Líneas directas para informantes. • Declaraciones de uso incorrecto de
fondos o sobornos.
 Identifica los requerimientos de información:

Un proceso está en ejecución para identificar la información requerida y esperada para apoyar el
funcionamiento de los otros componentes del control interno y el cumplimiento de los objetivos de
la entidad.
 Captura fuentes internas y externas de información:
Los sistemas de información capturan fuentes internas y externas de información Procesa datos
relevantes dentro de la información: los sistemas de información procesan datos relevantes y los
transforman en información.
 Mantiene la calidad a través de procesamiento:
Los sistemas de información producen información que es oportuna, actual, precisa, completa,
accesible, protegida, verificable y retenida. La información es revisada para evaluar su relevancia
en el soporte de los componentes de control interno.
 Considera costos y beneficios:
La naturaleza, cantidad y precisión de la información comunicada están acorde con, y apoyan, el
14. La organización comunica la información internamente, incluidos los objetivos y

responsabilidades que son necesarios para apoyar el funcionamiento del sistema de
control interno
La organización comunica internamente la información, incluyendo objetivos y responsabilidades

para control interno, necesarias para apoyar el funcionamiento del Sistema de Control Interno. De
esta manera, la Administración debe establecer e implementar políticas y procedimientos que
faciliten una comunicación interna efectiva.
La Alta Dirección comunica claramente los objetivos de la entidad a través de la organización para
que la administración, personal, y contratistas, entiendan sus roles y responsabilidades en la
organización. Estas comunicaciones incluyen:
44
• Políticas y procedimientos que apoyan al personal en el desarrollo de sus responsabilidades
de control interno.
• Objetivos específicos.
• Importancia, relevancia y beneficios de un control interno efectivo.
• Roles y responsabilidades de la administración y demás personal en el desarrollo de
controles.
• Expectativas de la organización a través de toda la organización.
 Comunica la información de control interno:

Un proceso está en ejecución para comunicar la información requerida para permitir que todo el
personal entienda y lleve a cabo sus responsabilidades de control interno.
 Se comunica con la Junta directiva:
Existe comunicación entre la administración y la Junta Directiva; por lo tanto, ambas partes tienen
la información necesaria para cumplir con sus roles con respecto a los objetivos de la entidad
 Proporciona líneas de comunicación separadas:
Separa canales de comunicación, como líneas directas de denuncia de irregularidades, las cuales
sirven como mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial
cuando los canales normales son inoperantes o ineficientes.
 Selecciona métodos de comunicación relevantes:
Los métodos de comunicación consideran tiempo, público y la naturaleza de la información.
15. La organización se comunica con los grupos de interés externos sobre los aspectos clave
que afectan al funcionamiento del control interno.
La organización se comunica con los grupos de interés externos en relación con los aspectos que
afectan el funcionamiento del control interno. La organización debe desarrollar e implementar
controles que faciliten la comunicación externa. Este proceso debe incluir las políticas y
procedimientos para obtener y recibir información de partes externas, y compartir dicha información
internamente.
La comunicación con terceras partes permite que estas entiendan eventos, actividades y
circunstancias que puedan afectar su interacción con la entidad. Al mismo tiempo, la información
que la entidad pueda recibir de terceras partes puede proporcionar información importante sobre el
sistema de control interno.
Algunos ejemplos pueden ser:
 Evaluación independiente de los controles internos en los proveedores de servicios externos.

 Evaluaciones independientes de auditores de control interno sobre el reporte financiero y no
financiero de la entidad.
45
 Comentarios de los clientes relacionados con la calidad de los productos, los cambios
inapropiados o la pérdida de recibos.
 Nuevas o cambiantes leyes, reglas, regulaciones, o estándares.
 Resultados del cumplimiento de las regulaciones pertinentes.
 Preguntas de los vendedores relacionadas con la oportunidad o falta de pagos para la venta
de bienes.
 Publicaciones en organizaciones patrocinadoras o sitios web de medios sociales o
herramientas de comunicación.
Se deben adecuar canales apropiados de comunicación para clientes, proveedores, y proveedores
de servicios externos, para obtener una comunicación directa con la administración y personal.
 Se comunica con grupos de interés externos:

Los procesos están en funcionamiento para comunicar información relevante y oportuna a grupos
de interés externos, incluyendo accionistas, socios, propietarios, reguladores, clientes, analistas
financieros y demás partes externas.
 Permite comunicaciones de entrada:
Canales de comunicación abiertos permiten los aportes de clientes, consumidores, proveedores,
auditores externos, reguladores, analistas financieros, entre otros, y proporcionan a la
administración y Junta Directiva información relevante.
 Se comunica con la Junta Directiva:
La información relevante resultante de evaluaciones conducidas por partes externas es comunicada
a la Junta Directiva.
 Proporciona líneas de comunicación separadas:
Separa canales de comunicación, como líneas directas de denuncia de irregularidades, las cuales
sirven como mecanismos a prueba de fallos para permitir la comunicación anónima o confidencial
cuando los canales normales son inoperantes o ineficientes.
 Selecciona métodos de comunicación relevantes:
Los métodos de comunicación consideran el tiempo, público, y la naturaleza de la comunicación y
los requerimientos y expectativas legales, regulatorias y fiduciarias.
46
3.1.8. MONITOREO
16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o

independientes para determinar si los componentes del sistema de control interno están
presentes y en funcionamiento.
La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o independientes

para determinar si los componentes del sistema de control interno están presentes y funcionando.
Las actividades de monitoreo y supervisión son llevadas a cabo a través de evaluaciones continuas
e independientes. Las evaluaciones continuas están integradas en los procesos de negocio en los
diferentes niveles de la entidad y suministran información oportuna, debido a que permiten una
supervisión en tiempo real y gran rapidez de adaptación. El uso de la tecnología apoya las
evaluaciones continuas, tienen un alto estándar de objetividad y permiten una revisión eficiente de
grandes cantidades de datos a un bajo costo.
Las evaluaciones independientes se ejecutan periódicamente y pueden variar en alcance y
frecuencia dependiendo de la evaluación de riesgos, la efectividad de las evaluaciones continuas, y
otras consideraciones de la Dirección. Estas evaluaciones no están incluidas en los procesos del
negocio, pero permiten determinar si cada uno de los componentes está presente y funcionando.
Las evaluaciones incluyen observaciones, investigaciones, revisiones y exámenes, apropiados para
determinar si los controles para llevar a cabo los principios a través de la entidad son diseñados,
implementados y conducidos.
Existen diferentes enfoques para llevar a cabo las evaluaciones independientes, algunos de los
cuales son:
 Evaluaciones de auditoria interna.
 Otras evaluaciones objetivas.
 Evaluaciones a través de las unidades operativas o funcionales.
 Comparativa del mercado/evaluaciones de pares.
 Autoevaluaciones.
La Administración selecciona, desarrolla y lleva a cabo una combinación de las evaluaciones
continuas e independientes de acuerdo con el alcance y naturaleza de las operaciones de la entidad,
cambios en factores internos y externos, y los riesgos asociados a las evaluaciones. Para llevar a
cabo las evaluaciones, la administración debe considerar el índice de cambios, lo cual determina
qué tipo de evaluación es apropiado realizar.
 Considera una combinación de evaluaciones continuas e independientes:
La administración incluye un balance de evaluaciones continuas e independientes la administración
incluye un balance de evaluaciones continuas e independientes.
 Considera tasa de cambio:
La administración considera la tasa de cambio en el negocio y los procesos del negocio cuando
selecciona y desarrolla evaluaciones continuas e independientes.
47
 Establece un punto de referencia para el entendimiento:
El diseño y estado actual del sistema de control interno son usados para establecer un punto de
referencia para las evaluaciones continuas e independientes.
 Uso de personal capacitado:
Los evaluadores que desarrollan evaluaciones continuas e independientes tienen suficiente
conocimiento para entender lo que está siendo evaluado.
 Se integra con los procesos del negocio:
Las evaluaciones continuas son construidas dentro de los procesos del negocio y se ajustan a las
condiciones cambiantes Ajusta el alcance y la frecuencia: la administración cambia el alcance y la
frecuencia de las evaluaciones independientes dependiendo el riesgo.
 Evalúa objetivamente:
Las evaluaciones independientes son desarrolladas periódicamente para proporcionar una
retroalimentación objetiva.
17. La organización evalúa y comunica las deficiencias de control interno de forma oportuna
a las partes responsables de aplicar medidas correctivas, incluyendo la alta dirección y
el consejo, según corresponda.
La organización evalúa y comunica las deficiencias de control interno de forma oportuna a las partes
responsables de aplicar medidas correctivas, incluyendo la alta Dirección y el Consejo, según
corresponda. Las deficiencias en lo componentes y principios de control interno pueden surgir de
diferentes maneras:
 Actividades de monitoreo.
 Otros componentes del sistema de control interno.
 Partes externas.
Las deficiencias o debilidades encontradas en el Sistema de Control Interno deben ser comunicadas
a las partes indicadas en la organización y oportunamente para que se adopten las medidas
necesarias. Este proceso se denomina Informe de deficiencias, y le permite a la Dirección estar
enterada de lo que no está funcionando en forma adecuada. Una deficiencia es definida como un
defecto en uno o más componentes y principios relevantes que reduce la probabilidad de que la
entidad logre sus objetivos.
Cuando se determina que existe una deficiencia grave respecto a la presencia y funcionamiento de
un componente o principio del Sistema de Control Interno, la organización no puede concluir que ha
cumplido con los requisitos de un sistema de control interno efectivo.
 Deficiencia de control interno: defecto en un componente y en los principios relevantes,
que reduce la probabilidad de que la entidad logre sus objetivos.
48
 Deficiencia importante/mayor: deficiencia del control interno o combinación de deficiencias
que de manera severa reducen la probabilidad de que la entidad pueda lograr sus objetivos.
También se presenta cuando uno o más componentes no están presentes o funcionando.
 Evalúa resultados:
La Administración o la Junta Directiva, según corresponda, evalúa los resultados de las
evaluaciones continuas e independientes.
 Comunica deficiencias:
Las deficiencias son comunicadas a las partes responsables para tomar las acciones correctivas y
a la Alta Dirección y la Junta Directiva, según corresponda.
 Supervisa acciones correctivas:
La administración monitorea si las deficiencias son corregidas oportunamente.
49
CONCLUSIÓN
Se debe analizar y reflexionar detenidamente sobre el cambio que se vive, para poder evaluar las
tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy se debe realizar para
ayudar a las organizaciones a definir nuevos horizontes que maximicen oportunidades.
Es un propósito actuar como agentes del cambio y, por tanto, es una responsabilidad estar a
la vanguardia del cambio. El tratar de convertirnos en asesores o consultores internos confiables,
eliminando en lo posible todos los trabajos que nos aportan un valor agregado a los productos o
servicios, como por ejemplo tienden a convertirnos en evaluadores críticos de los sistemas de
información y realizando auditorias sobre las operaciones conforme se van gastando y no sobre
acontecimientos pasados que no tienen solución.
50
BIBLIOGRAFÍA
(s.f.). Obtenido de https://www.ofstlaxcala.gob.mx/doc/material/27.pdf

BERTANI, E., POLESELLO, M., SANCHEZ, M., & ANIBAL, J. (2014). bdigital.uncu.edu. Obtenido
de https://bdigital.uncu.edu.ar/objetos_digitales/6694/bertanipolesellosancheztroila-
tesisfce.pdf
EALDE BUSINESS SCHOOL. (23 de julio de 2020). Obtenido de https://www.ealde.es/marco-coso-
riesgos/#:~:text=El%20origen%20del%20marco%20de,sector%20privado%20en%20Estado
s%20Unidos.
GlobalSuite solutions. (6 de mayo de 2020). Obtenido de
https://www.globalsuitesolutions.com/es/que-es-modelo-coso/
Library. (s.f.). Obtenido de https://1library.co/article/antecedentes-informe-coso-perfil-
empresa.zk88n28z
51

Reporte de Investigación-Modelo Coso

Cargado por

Copyright:

Formatos disponibles

Reporte de Investigación-Modelo Coso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Reporte de Investigación-Modelo Coso

Cargado por

Copyright:

Formatos disponibles

INSTITUTO TECNOLÓGICO SUPERIOR DE

EL ORIGEN DEL MARCO DE GESTIÓN COSO

Definición de control interno

La metodología COSO ERM 2017

Evolución del Modelo COSO

Lo llevan a cabo personas

Importancia de COSO I: Marco Integrado de Control Interno

En enero de 2001, debido al aumento de preocupación por evaluar y mejorar el proceso de

Definición de “Gestión del Riesgo”

Importancia de COSO II: Administración de los Riesgos de la Empresa (ERM)

ANÁLISIS COMPARATIVO DE LAS VISIONES DE AMBOS MODELOS

Evolución e Impacto de los Modelos ERM

Comparación de los componentes de cada Informe

Evolución de los Componentes

RELACIÓN ENTRE COMPONENTES Y PRINCIPIOS

 Establece el tono de la gerencia, la Junta Directiva. La Alta Gerencia y el personal supervisor

2. El consejo de administración demuestra independencia de la dirección y ejerce la

 Establece las responsabilidades de supervisión de la dirección. La Junta Directiva identifica y

 Considera todas las estructuras de la entidad. La Administración y la Junta Directiva

4. La organización demuestra compromiso para atraer, desarrollar y retener a

 Establece políticas y prácticas

5. La organización define las responsabilidades de las personas a nivel de control interno

 Hace cumplir la responsabilidad a través de estructuras, autoridades y

Los Reportes deben cumplir con los siguientes requisitos:

FACTORES QUE LO CONSTITUYEN

Seguimiento de eventos con pérdidas

6. La organización define los objetivos con suficiente claridad para permitir la

 Alineación de los objetivos establecidos con las prioridades estratégicas.

 Refleja las elecciones de la administración.

 Cumple con los estándares y marcos externos establecidos.

 Refleja las elecciones de la administración.

7. La organización identifica los riesgos para la consecución de sus objetivos en todos

 Incluye la entidad, sucursales, divisiones, unidad operativa y niveles funcionales. La

8. La organización considera la probabilidad de fraude al evaluar los riesgos para la

La organización considera la probabilidad de fraude al evaluar los riesgos para la consecución de

9. La organización idéntica y evalúa los cambios que podrían afectar significativamente

CUESTIONES SOBRE LA RESPUESTA A LOS RIESGOS

(BERTANI, POLESELLO, SANCHEZ, & ANIBAL, 2014)

TIPOS DE ACTIVIDADES DE CONTROL

10. La organización define y desarrolla actividades de control que contribuyen a la

La organización selecciona y desarrolla actividades de control que contribuyen a la mitigación de

11. La organización define y desarrolla actividades de control a nivel de entidad sobre la

12. La organización despliega las actividades de control a través de políticas que

 Establece políticas y procedimientos para apoyar el despliegue de las directivas de la

FUENTES DE DATOS INTERNOS DATOS INTERNOS

 Identifica los requerimientos de información:

14. La organización comunica la información internamente, incluidos los objetivos y

La organización comunica internamente la información, incluyendo objetivos y responsabilidades

 Comunica la información de control interno:

 Evaluación independiente de los controles internos en los proveedores de servicios externos.

 Se comunica con grupos de interés externos:

16. La organización selecciona, desarrolla y realiza evaluaciones continuas y/o

La organización selecciona, desarrolla y lleva a cabo evaluaciones continuas y/o independientes

(s.f.). Obtenido de https://www.ofstlaxcala.gob.mx/doc/material/27.pdf

También podría gustarte