CONTROL INTERNO

UNIDAD 3: ESTRUCTURA CONCEPTUAL DEL CONTROL

INTERNO COSO Y GESTIÓN DE RIESGO EMPRESARIAL ERM

LIC. RICARDO MANUEL TARDENCILLA BARBERENA

Introducción
El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por sus siglas en inglés) presentó en 1992
la primera versión del Marco Integrado de Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido
en un marco líder en diseño, implementación y conducción de control interno y evaluación de su efectividad.
El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz de integrar las diversas definiciones y
conceptos utilizados en el campo del control interno.
Teniendo en cuenta los grandes cambios que han tenido la industria y los avances tecnológicos, el Comité lanzó en mayo
de 2013 una versión actualizada que permitirá que las empresas desarrollen y mantengan efectiva y eficientemente
sistemas de control interno que ayuden en el proceso de adaptación a los cambios, cumplimiento de los objetivos de la
empresa, mitigación de los riesgos a un nivel aceptable, y apoyo a la toma de decisiones y al gobierno.
Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del control interno y del gobierno
corporativo, y responde a la presión pública para un mejor manejo de los recursos públicos o privados en cualquier tipo de
organización, como consecuencia de los numerosos escándalos, la crisis financiera y los fraudes presentados.
Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado con el fin de proporcionar un grado de
seguridad razonable en cuanto a la consecución de los objetivos en relación con la eficacia y la eficiencia de las
operaciones, la confiabilidad de la información financiera, y el cumplimento de leyes y normas aplicables.
El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa, y engloba cinco componentes
relacionados entre sí: el entorno de control, la evaluación del riesgo, el sistema de información y comunicación, las
actividades de control, y la supervisión del sistema de control.
De la misma manera, el marco apoya la administración, la dirección, los accionistas y demás partes que interactúan con la
entidad, ofreciendo un entendimiento de lo que constituye un sistema de control interno efectivo.
Un sistema de control interno debe verse como un proceso integrado y dinámico y se caracteriza por las siguientes
propiedades:
 Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo con sus necesidades.
 Presenta un enfoque basado en principios que proporcionan flexibilidad y se pueden aplicar a nivel de entidad, a nivel
operativo y a nivel funcional.
 Establece los requisitos para un sistema de control interno efectivo, considerando los componentes y principios
existentes, cómo funcionan y cómo interactúan.
Proporciona un método para identificar y analizar los riesgos, así como para desarrollar y gestionar respuestas adecuadas a
dichos riesgos dentro de unos niveles aceptables y con un mayor enfoque sobre las medidas antifraude.
 Constituye una oportunidad para ampliar el alcance de control interno más allá de la información financiera, a otras
formas de presentación de la información, operaciones y objetivos de cumplimiento.
 Es una oportunidad para eliminar controles ineficientes, redundantes o inefectivos que proporcionan un valor mínimo en
la reducción de riesgos para la consecución de los objetivos de la entidad.
 Brinda una mayor confianza en la supervisión efectuada por el consejo sobre los sistemas de control interno.
Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la entidad.
 Genera mayor confianza en la capacidad de la entidad para identificar, analizar y responder a los riesgos y a los cambios
que se produzcan en el entorno operativo y de negocios.
 Permite lograr una mayor comprensión de la necesidad de un sistema de control interno efectivo.
 Facilita el entendimiento de que mediante la aplicación de un criterio profesional oportuno la dirección puede eliminar
controles no efectivos, redundantes o ineficientes.
El Comité de organizaciones patrocinadoras de la Comisión Treadway fue conformado en 1985 con la finalidad de identificar
los factores que originaban la presentación de información financiera falsa o fraudulenta, y emitir las recomendaciones que
garantizaran la máxima transparencia informativa en ese sentido.
COSO se dedica a desarrollar marcos y orientaciones generales sobre el control interno, la gestión del riesgo empresarial y la
prevención del fraude, diseñados para mejorar el desempeño organizacional y la supervisión, y reducir el riesgo de fraude en
las organizaciones.
Asimismo, el Comité sustenta que una buena gestión del riesgo y un sistema de control interno son necesarios para el éxito a
largo plazo de las organizaciones.
Algunos de los factores más relevantes que contribuyeron a la actualización del Marco Integrado de Control Interno son:
 Variación de los modelos de negocio como consecuencia de la globalización.
 Mayor necesidad de información a nivel interno debido a los entornos cambiantes.
Incremento del número y complejidad de las normativas aplicables al mundoempresarial a nivel internacional.
Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las organizaciones.
 Incremento de las expectativas de los grupos de interés (inversores ,reguladores) en la prevención y detección del fraude.
 Aumento del uso de las nuevas tecnologías, y su desarrollo constante.
 Exigencias en la fiabilidad de la información reportada.
Los siguientes cuadros presentan los cambios más significativos presentes en elMarco Integrado de Control Interno 2013, a
nivel general y en cada componente:
I. A nivel General
COSO 1992 COSO 2013
Cambia: Se mantiene:

Definición del concepto de Control Interno Ampliación y aclaración de conceptos con el objetivo de
abarcar las actuales condiciones del mercado y la
economía global

Cinco componentes del control interno Codificación de principios y puntos de enfoque con
aplicación internacional para el desarrollo y evaluación
de la eficacia del Sistema de Control Interno

Aclaración de la necesidad de establecer objetivos de

negocio como condición previa a los objetivos de
control interno
Criterios a utilizar en el proceso de evaluación de la Extensión de los objetivos de Reporte más allá de los
eficacia del Sistema de Control Interno informes financieros externos, a los de carácter interno
y a los no financieros, tanto externos como internos

Uso del Juicio profesional para la evaluación de la Inclusión de una guía orientadora para facilitar la
eficacia del Sistema de Control Interno supervisión del Control Interno sobre las operaciones,
el cumplimiento y los objetivos de reporte

II. A nivel de Componentes

Componentes Cambios Representativos

Entorno de Control Se recogen en cinco principios la relevancia de la
integridad y los valores éticos, la importancia de la
filosofía de la administración y su manera de operar,
la necesidad de una estructura organizativa, la
adecuada asignación de responsabilidades y la
importancia de las políticas de recursos humanos
 Se explican las relaciones entre los componentes del
Control Interno para destacar la importancia del Entorno de
Control
Se amplía la información sobre el Gobierno Corporativo de
la organización, reconociendo diferencias en las estructuras,
requisitos, y retos a lo largo de diferentes jurisdicciones,
sectores y tipos de entidades
Se enfatiza la supervisión del riesgo y la relación entre el
riesgo y la respuesta al mismo
Evaluación de Riesgos Se amplía la categoría de objetivos de Reporte,
considerando todas las tipologías de reporte internos y
externos
Se aclara que la evaluación de riesgos incluye la
identificación, análisis y respuesta a los riesgos
Se incluyen los conceptos de velocidad y persistencia de los
riesgos como criterios para evaluar la criticidad de los
mismos
Se considera la tolerancia al riesgo en la evaluación de los
niveles aceptables de riesgo
Se considera el riesgo asociado a las fusiones, adquisiciones
y externalizaciones
Se amplía la consideración del riesgo al fraude
Actividades de Control
Información y Comunicación
Actividades de Monitoreo – Supervisión
Se indica que las actividades de control son acciones
establecidas por políticas y procedimientos
Se considera el rápido cambio y evolución de la tecnología
Se enfatiza la diferenciación entre controles automáticos y
Controles Generales de Tecnología
Se enfatiza la relevancia de la calidad de información dentro
del Sistema de Control Interno
Se profundiza en la necesidad de información y
comunicación entre la entidad y terceras partes
Se enfatiza el impacto de los requisitos regulatorios sobre la
seguridad y protección de la información
Se refleja el impacto que tiene la tecnología y otros
mecanismos de comunicación en la rapidez y calidad del
flujo de información
Se clarifica la terminología definiendo dos categorías de
actividades de monitoreo: evaluaciones continuas y
evaluaciones independientes
Se profundiza en la relevancia del uso de la tecnología y los
proveedores de servicios externos
Marco Integrado COSO
Las empresas deben implementar un sistema de control interno eficiente que les permita enfrentarse a los rápidos cambios
del mundo de hoy.
Es responsabilidad de la administración y de los directivos desarrollar un sistema que garantice el cumplimiento de los
objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional.
El control interno es definido como un proceso integrado y dinámico llevado a cabo por la administración, la
dirección y demás personal de una entidad, diseñado con el propósito de proporcionar un grado de seguridad
razonable en cuanto a la consecución de los objetivos relacionados con las operaciones, la información y el
cumplimiento.
De esta manera, el control interno se convierte en una función inherente a la administración, integrada al funcionamiento
organizacional y a la dirección institucional y deja, así, de ser una función que se asigne a un área específica de una
empresa.

En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones necesarias para que el
equipo de trabajo dé su mayor esfuerzo con el fin de lograr los resultados deseados, debido a que promueve el buen
funcionamiento dela organización.
El concepto de responsabilidad toma gran importancia y se convierte en un factor clave para el gobierno de las
organizaciones, teniendo en cuenta que el principal propósito del sistema de control interno es detectar oportunamente
cualquier desviación significativa en el cumplimiento de las metas y objetivos establecidos.
La implementación de un sistema de control interno eficiente debe proporcionar:
 Consecución de objetivos de rentabilidad y rendimiento para prevenir lapérdida de recursos.
 Operaciones eficaces y eficientes.
 Desarrollo de tareas y actividades continuas, establecidas como un medio parallegar a un fin.
 Control interno efectuado por las personas de la entidad y las acciones queestas aplican en cada nivel de la entidad.
 Producción de informes financieros confiables para la toma de decisiones.
 Seguridad razonable, no absoluta, al consejo y la alta dirección de la entidad.
 Cumplimiento de las leyes y regulaciones pertinentes.
Adaptación a la estructura de la entidad.
 Promoción, evaluación y preocupación por la seguridad, calidad y mejoracontinua de todos los procesos de la entidad.
El modelo de control interno COSO2013 (COSO III) está compuesto por los cincocomponentes establecidos en el marco
anterior, y 17 principios y puntos de enfoqueque presentan las características fundamentales de cada componente.
Se caracterizapor tener en cuenta los siguientes aspectos y generar diferentes beneficios:
 Mayores expectativas del gobierno corporativo.
 Globalización de mercados y operaciones.
 Cambio continuo en mayor complejidad en los negocios.
 Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
 Expectativas de competencias y responsabilidades.
 Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
 Expectativas relacionadas con prevenir, desalentar y detectar el fraude.
La efectividad del sistema de control interno depende de las características de claridad, agilidad, y confianza, y de esta manera
se puede obtener una certeza razonable sobre el logro de los objetivos de la entidad.
Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un objetivo de la entidad. Para esto
es indispensable que los componentes y principios estén presentes y en funcionamiento.
Esto quiere decir que los componentes y principios relevantes existen en el diseño e implementación del sistema de control
interno para alcanzar los objetivos especificados. Además, los componentes y principios deben ser aplicados en el sistema de
control interno y funcionar de manera integrada.
Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el éxito de una entidad. Éste puede
ayudar a la consecución de los objetivos y suministrar información sobre el progreso de la entidad, pero el desempeño de la
administración y directivas, así como factores externos, como condiciones económicas, tienen gran influencia en el éxito de la
entidad.
El control interno no puede evitar que seaplique un deficiente criterio profesional o se adopten malas decisiones. Además,
elsistema de control interno puede garantizar sólo una seguridad razonable en relacióncon el cumplimiento de los objetivos de
la organización.
Las limitaciones siempre estánpresentes e impiden que el Consejo de Administración y la Dirección tengan unaseguridad
absoluta. Sin embargo, estas limitaciones tienen que ser tomadas en cuentaal momento de seleccionar, desarrollar y desplegar
los controles, para que minimicenen lo posible dichas limitaciones.
Las limitaciones pueden originarse por los siguientes factores:
 La falta de adecuación de los objetivos establecidos como condición previa para el control interno.
 El criterio profesional de las personas en la toma de decisiones puede ser erróneo y estar sujeto a sesgos.
 Fallas humanas conscientes e inconscientes.
 La capacidad de la dirección de anular el control interno.
 La capacidad de la dirección y demás miembros del personal para eludir los controles mediante confabulación entre
ellos.
 Acontecimientos externos que escapan al control de la organización.
 Conspiraciones o complots.
Por esta razón, el Marco Integrado de Control Interno requiere de un criterio profesional en el diseño, implementación, y
conducción del control interno y la evaluación de su efectividad.
El uso del criterio profesional ayuda a la administración a tomar mejores decisiones con respecto al sistema de control
interno, teniendo en cuenta que esto no garantiza resultados perfectos.
La administración hace uso del criterio profesional en diferentes momentos:
 Aplicación de los componentes de control interno en relación con lascategorías de los objetivos.
 Aplicación de los componentes y principios de control interno dentro de laestructura de la entidad.
 Especificación de objetivos generales y específicos apropiados y evaluaciónde riesgos para su cumplimiento.
Selección, desarrollo y despliegue de los controles necesarios para llevar acabo los principios.
 Evaluar si los componentes y principios están presentes, funcionando y operando de manera integrada en la entidad.
 Evaluación de la severidad de una o más deficiencias de control interno de acuerdo con las leyes, reglas, regulaciones
y estándares externos pertinentes.
Marco Integrado COSO, Objetivos y Componentes

Cada entidad tiene una misión, la cual determina los objetivos y las estrategias necesarias para cumplirla. Los objetivos
pueden ser establecidos mediante un proceso estructurado o informal dependiendo de la entidad, y junto con la
evaluación de los puntos fuertes y débiles de la entidad, y de las oportunidades y amenazas del entorno, define una
estrategia global.
I. Objetivos
Es responsabilidad de la Administración y la Alta Dirección establecer los objetivos del negocio y es necesario fijar los
objetivos con carácter previo al diseño e implementación del sistema de control interno, con el fin de controlar y mitigar
de manera adecuada los riesgos que afectan a dichos objetivos.
Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes con las capacidades y expectativas de
la entidad y las unidades empresariales y sus funciones.
Esta responsabilidad está establecida en los procesos de la administración, como se presenta a continuación:
 Determinar los objetivos estratégicos y seleccionar la estrategia dentro del contexto de la entidad establecido en su
misión y visión.
Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base en los requerimientos de la entidad según
las circunstancias.
 Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo.
 Establecer los objetivos generales y específicos para la entidad y sus niveles según sean las circunstancias.
El Marco Integrado de Control Interno establece tres categorías de objetivos que permiten a las organizaciones centrarse en
diferentes aspectos del control interno. Estas son:
1. Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la misión y visión de la entidad.
Hacen referencia a la efectividad y eficiencia delas operaciones, incluidos sus objetivos de rendimiento financiero y
operacional, y la protección de sus activos frente a posibles pérdidas.
Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en relación con la protección de los activos de
la entidad, y la selección y desarrollo de los controles necesarios para mitigar dichos riesgos.
Los objetivos operativos deben reflejar el entorno empresarial, industrial y económico en que se involucra la entidad; y
están relacionados con el mejoramiento del desempeño financiero, la productividad, la calidad, las prácticas ambientales, y
la innovación y satisfacción de empleados y clientes.
Objetivos de información: estos objetivos se refieren a la preparación de reportes para uso de la organización y los
accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia.
Estos reportes relacionan la información financiera y no financiera interna y externa y abarcan aspectos de confiabilidad,
oportunidad, transparencia y demás conceptos establecidos por los reguladores, organismos reconocidos o políticas de la
entidad.
La presentación de informes a nivel externo da respuesta a las regulaciones y normativas establecidas y a las solicitudes de
los grupos de interés, y los informes a nivel interno atienden a las necesidades al interior de la organización tales como: la
estrategia de la entidad, plan operativo y métricas de desempeño.

Reportes Financiero Externo Reportes No Financiero Externo

• Cuentas anuales • Informe de Control Interno
• Estados financieros intermedios • Memoria de sostenibilidad
• Publicación de resultados • Plan estratégico
• Distribución de utilidades • Custodia de activos

Reportes Financiero Interno Reportes No Financiero Interno

• Estados financieros de las divisiones Utilización de activos
• Cash-flow / Presupuesto • Encuestas de satisfacción del cliente
• Cálculos de Covenants • Indicadores clave de riesgo
• Reportes al consejo
Componentes del sistema de control interno
El sistema de control interno está divido en cinco componentes integrados que se relacionan con los objetivos de la
empresa: entorno de control, evaluación de los riesgos, actividades de control, sistemas de información y comunicación, y
actividades de monitoreo y supervisión.
Un adecuado entorno de control, una metodología de evaluación de riesgos, un sistema de elaboración y difusión de
información oportuna y fiable por de la organización y un proceso de monitoreo eficiente, apoyados en actividades de
control efectivas, se constituyen en poderosas herramientas gerenciales.
Marco Integrado COSO, Responsabilidades en el Sistema
El Consejo de Administración
Los miembros del Consejo junto con la Alta dirección deben analizar el Sistema de Control Interno de la entidad y efectuar
su supervisión.
La Alta Dirección rinde cuentas por el control interno al Consejo de Administración, y este debe establecer las políticas y
expectativas sobre cómo deben supervisar los miembros del Consejo el control interno.
El Consejo debe conocer los riesgos para la consecución de los objetivos de la entidad, las evaluaciones de las deficiencias
del control interno, las medidas adoptadas por la Dirección para mitigar dichos riesgos y deficiencias, y cómo la Dirección
evalúa el sistema de Control Interno.
Así mismo, el Consejo de Administración asume un rol fundamental en la definición de las expectativas en cuanto a la
integridad y los valores éticos, la transparencia y las responsabilidades, en el marco del funcionamiento del Sistema de
Control Interno.
Alta Dirección
Debe evaluar el Sistema de Control Interno en relación con el Marco Integrado de Control Interno, centrándose en la manera
como la entidad aplica los diecisiete principios para respaldar los componentes del control interno. Asimismo, debe dar
consejo y dirección a la Administración, realizar una gestión constructiva y exigente, aprobar políticas y transacciones y
supervisar las actividades de la Administración.
La Dirección tiene un papel fundamental en el control interno de la organización, pues establece la importancia del Sistema
de Control Interno y los estándares de conducta a través de la organización.
Los miembros de la Alta Dirección son:
 Director administrativo
 Director ejecutivo de auditoría
 Director de cumplimiento
 Director financiero
Director de información
 Director legal
 Director de operaciones
 Director de riesgos
Otros miembros de la dirección y del personal
Los directivos y demás personal de la entidad deben revisar los cambios de la nueva versión del Marco Integrado de Control
Interno 2013, y evaluar las implicaciones en el actual Sistema de Control Interno de la entidad.
Auditores internos
Deben revisar los planes de auditoría y evaluar los cambios en el Marco para considerar las posibles consecuencias en los
planes de auditoría, en las evaluaciones y cualquier información generada sobre el Sistema de Control Interno. Las actividades
de auditoría deben ser llevadas a cabo por profesionales competentes y en alineación con los riesgos relevantes para la entidad.
Auditores externos
Cuando un auditor externo es contratado para evaluar el Sistema de Control Interno de la entidad, puede evaluar el sistema en
relación con el Marco Integrado de Control Interno, centrándose en la manera como la entidad ha seleccionado, desarrollado y
desplegado los controles que incidan en los principios asociados a los componentes del control interno.
Partes interesadas
Las partes interesadas desempeñan un papel muy importante en el diseño e implementación del Marco Integrado de Control
Interno. El Control Interno es desarrollado por la Dirección, el Consejo de Administración y demás personal de la entidad.

FIN