[AUDITORIA I

MARCO INTEGRADO COSO DE GESTIN DE RIESGOS

LOS INFORMES COSO I Y II
I.

ANTECEDENTES

1947 - Declaracin tentativa de las Normas de Auditora, su alcance y su

aceptacin general.

1948 - Comisin para estudiar el Control Interno como doctrina importante.

1985- Se Crea la Comisin Treadway.

1992 - Se constituye como un fenmeno mundial de gran aceptacin en los

sectores de negocios.

COSO - (Committee of Sponsoring Organizations of the Treadway Commission)

Es una Comisin voluntaria, que fue constituida por representantes de cinco
organizaciones del sector privado en EEUU (1985), que son:

AAA - La Asociacin Americana de Contabilidad.

AICPA - El Instituto Americano de Contadores Pblicos Certificados.
FEI - Ejecutivos de Finanzas Internacional.
IIA - El Instituto de Auditores Internos.
ANI - La Asociacin Nacional de Contadores (ahora el Instituto de Contadores
Administrativos )

Con la finalidad de proporcionar liderazgo intelectual frente a tres temas

interrelacionados:
1.- La gestin del riesgo empresarial (ERM)
2.- El control interno, y
3.- La disuasin del fraude

COSO estudia los factores que pueden dar lugar a informacin financiera fraudulenta y
elabora textos y recomendaciones para todo tipo de organizaciones y entidades
reguladoras como el SEC (Agencia Federal de Supervisin de Mercados Financieros) y
otros.

COSO I, COSO II Y COSO III

GUIA PARA LA IMPLEMENTACION DEL SISTEMA
DE CONTROL INTERNO DE LAS ENTIDADES PBLICAS
1

[AUDITORIA I

II.

INFORME COSO I CONTROL INTERNO

A.

ANTECEDENTES:
En 1992 la comisin public el primer informe Internal Control - Integrated
Framework denominado COSO I, con el objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de control interno, facilitando un modelo en base
al cual pudieran valorar sus sistemas de control interno y generando una
definicin comn de control interno.

B.

DEFINICION:
Es un documento que contiene las principales directivas para la implantacin,
gestin y control de un sistema de Control Interno. Es una
Herramienta que permite identificar qu mbitos de la empresa implican factores
de riesgo relevantes sobre lo que es conveniente priorizar la actividad de control.
Control Interno es un proceso llevado a cabo por la direccin y el resto del
personal de una entidaddiseado para proporcionar un grado de seguridad
razonable en cuanto a la consecucin de tres principales categoras:

C.

Eficacia y eficiencia de las operaciones

Confiabilidad de la informacin financiera

Cumplimiento de las leyes, reglamentos y normas que sean aplicables.

OBJETIVOS:
El modelo COSO surge para el cumplimiento de los siguientes objetivos:

Implementar una definicin comn del control interno dentro de un modelo

que sirva como Marco de referencia, es decir para que sea de conocimiento
general y para satisfacer las necesidades de cada persona involucrada.

Proporcionar un modelo o marco para que cualquier tipo de organizacin

pueda evaluar sus sistemas de control y decidir cmo mejorarlos.

Ayudar a la direccin de las empresas a mejorar el control de sus

organizaciones.

[AUDITORIA I

D.

DIVISION:
El Informe COSO est dividido en 2 partes:

Un Resumen para la Direccin, que introduce los principales conceptos.

El Marco integrado de Referencia, donde se analizan en detalle los

componentes del COSO.
a) COMPONENTES DEL COSO

Son 5 los componentes establecidos:

1. Ambiente de control
2. Evaluacin de riesgos
3. Actividades de control
4. Informacin y comunicacin
5. Monitoreo

1. Ambiente de Control:
El ambiente de control da el tono de una organizacin, influenciando la conciencia de
control de sus empleados. Es el fundamento de todos los dems componentes del
control interno, proporcionando disciplina y estructura. Los factores del ambiente de
control incluyen la integridad, los valores ticos y la competencia de la gente de la

[AUDITORIA I

entidad; la filosofa y el estilo de operacin de la administracin, la manera como la

administracin asigna autoridad y responsabiliza, y como organiza y desarrolla a su
gente; y la atencin y direccin proporcionada por el consejo de directores.
1.1 Factores Del Ambiente De Control
Los principales factores del ambiente de control suelen definirse de esta manera:
a) Integridad y Valores ticos
Los objetivos de una entidad y la manera como se logren, estn basados en
preferencias, juicios de valor y estilos administrativos. Tales preferencias y juicios
reflejan la integridad de los administradores y su compromiso con los valores
ticos.
Puesto que la buena reputacin de una entidad se valora as, el estndar de
conducta debe ir ms all del solo cumplimiento de la ley. Para la buena
reputacin de las mejores compaas, la sociedad espera ms que eso.
La efectividad de los controles internos no puede elevarse por encima de la
integridad y los valores ticos son elementos esenciales del ambiente de control,
y afectan el diseo, la administracin y el monitoreo de los otros componentes
del control interno.
Los valores de la alta gerencia deben equilibrar lo que concierne a la empresa, a
sus, proveedores, clientes, competidores y pblico. El equilibrio de ello puede
constituir un esfuerzo complejo y frustrante porque los intereses a menudo son
opuestos. Por ejemplo, suministrar un producto esencial (petrleo, madera o
alimento) puede originar algunos problemas ambientales.
La conducta tica y la conducta administrativa son producto de la cultura
corporativa. La cultura corporativa incluye estndares ticos y de
comportamiento, la manera como ellos son comunicados y como se esfuerzan
en la prctica. Asimismo, determina lo que actualmente sucede, y cuales reglas
se obedecen, se propenden o ignoran.
b) Incentivos y tentaciones
Hace algunos aos un estudio sugiri que ciertos factores organizacionales
pueden influenciar la probabilidad de prcticas de informacin financiera
fraudulentas y cuestionables. Esos mismos factores tambin influyen en la
conducta tica.
Los individuos pueden involucrarse en actos deshonestos, ilegales o antitticos
simplemente porque sus organizaciones les ofr4ecen fuertes incentivos o
tentaciones para hacerlo.
Los incentivos que permiten involucrarse en prcticas de informacin financiera
fraudulenta o cuestionable son:

[AUDITORIA I

Presiones para cumplir objetivos de desempeo irreales, particularmente

resultados de corto plazo.

Altas recompensas dependientes del desempeo, y

Cortes de operaciones superiores y bajos en los planes de bonos.

Entre las tentaciones a los empleados para involucrarse en actos impropios se

encuentran:

Controles no existentes o inefectivos, tales como malas segregaciones de

funciones en reas sensibles, que ofrecen facilidad para robos o para
encubrir malos desempeos.

Alta descentralizacin que abandona la buena administracin, ignorante

de acciones tomadas en los niveles bajos de la organizacin y por
consiguiente reduce las oportunidades de conseguir resultados.

Una funcin de auditora interna dbil que no tiene la capacidad de

detectar e informar conductas impropias.

Un consejo de directores inefectivo que no proporciona advertencias a la

negligencia de la alta administracin.

Sanciones insignificantes o no publicadas a conductas impropias, para de

esta manera perder sus valores y desinhibirlos.

Eliminar o reducir esas iniciativas y tentaciones puede significar un largo camino

hacia la disminucin de conductas indeseables. Esto puede adquirirse siguiendo
prcticas de negocios slidas y rentables. Por ejemplo, los incentivos de
desempeo, acompaados de controles adecuados, puede ser una til tcnica
administrativa siempre que los objetivos de desempeo sean realistas. De
manera similar, un sistema de informacin bien controlado puede servir como
salvaguardia contra la posibilidad de desempeo incorrecto.
c) Proporcionando y comunicando orientacin moral
Adems de los incentivos y tentaciones mencionados, existe otra causa de las
prcticas de informacin financiera fraudulenta y cuestionable. El estudio antes
mencionado encontr que en muchas de las compaas que sufrieron efectos de
informacin financiera con poder de engaar, la gente involucrada ni siquiera
conoca que lo que estaba haciendo era equivocado, sino que consideraban que
estaban actuando a favor del mejor inters de la organizacin.

[AUDITORIA I

Esta ignorancia, es a menudo, ocasionada por una orientacin moral pobre,

mucho ms que por una intencin a engaar. De esta manera, no solamente se
deben comunicarlos valores ticos, sino que se debe dar orientacin explicita
sealando qu es correcto y qu est equivocado.
La manera ms efectiva de transmitir un mensaje de comportamiento tico en la
organizacin es el ejemplo. La gente imita a sus lderes. A los empleados les
gusta desarrollar las mismas actitudes acerca de lo que es correcto y equivocado
como se acta en la alta administracin.
d) Compromisos para la competencia
La competencia debe reflejar el conocimiento y las habilidades necesarios para
realizar las tareas que definen los trabajos individuales. Qu tan bien se requiere
que se cumplan esas tareas es generalmente una decisin de la administracin,
quien considerar los objetivos de la entidad, las estrategias y planes para la
consecucin de los objetivos.
La administracin necesita especificar los niveles de competencia para los
trabajos particulares y convertirlos en requisitos de conocimiento y habilidades.
Entre los muchos factores considerados en el desarrollo de niveles de
conocimiento y habilidades estn la naturaleza y grado de juicio que se debe
aplicar a un trabajo especfico.
e) Consejo de directores o comit de auditoria
El ambiente control y se ve influenciado significativamente por el consejo de
directores y por el comit de auditora de la entidad. Tales factores incluyen la
independencia frente a los administradores por parte del consejo o del comit de
auditora, la experiencia y la posicin social de sus miembros, la extensin de su
participacin y del escrutinio de las actividades, y lo apropiado que puedan ser
sus acciones.
Otro factor es el grado de dificultad de las preguntas emanadas y perseguidas
por la administracin mirando los planes de desempeo. La interaccin del
consejo o comit de auditora con los auditores internos y externos es otro factor
que afecta el ambiente de control.
Debido a su importancia, un consejo de directores u otro cuerpo similar, activo e
involucrado, es fundamental para un control interno efectivo, y, dado que el
consejo debe estar preparado para indagar y escrutar las actividades de los
administradores, presentar los puntos de vista alternativos y tener el valor de
actuar frente a acciones inconvenientes, es necesario que tenga directores
externos.
Si bien las compaas pequeas as como las medianas, pueden encontrar
dificultades para atraer o incurrir en los c0ostos de tener una mayora de
directores externos, que no es el caso usual en las grandes organizaciones, es

[AUDITORIA I

importante que el consejo tenga al menos un grupo aceptable de directores

externos. El nmero debe considerar las circunstancias de la entidad, pero
normalmente se necesitar ms de un director externo para que un consejo
tenga el balance requerido.

f) Filosofa y estilo de operacin de la administracin

La filosofa y estilo de operacin de la administracin afecta la manera como la
empresa es manejada, incluyendo el conjunto de riesgos normales de los
negocios.
Una entidad que ha tenido xito asumiendo riesgos significativos puede tener
una percepcin diferente sobre el control interno que otra que ha tenido
austeridad econmica o consecuencias reguladoras como resultado de sus
incursiones en negocios de alto riesgo.
Otros elementos de la filosofa y el estilo de operacin de los administradores
incluyen actitudes frente a la informacin financiera, seleccin conservadora o
agresiva frente a los principios contables alternativos, actitudes frente al
procesamiento de datos y funciones de contabilidad y de personal, entre otros.
g) Estructura organizacional
La estructura organizacional de una entidad proporciona la estructura conceptual
mediante la cual se planean, ejecutan, controlan, y monitorean sus actividades
para la consecucin de los objetivos globales.
Los aspectos significativos para el establecimiento de una estructura
organizacional incluyen la definicin de las reas claves de autoridad y
responsabilidad y, el establecimiento de las lneas apropiadas de informacin.
Una entidad desarrolla una estructura organizacional adaptada a sus
necesidades. Algunas son centralizadas, otras descentralizadas. Algunas
entidades estn organizadas por industria o lnea de producto, por ubicacin
geogrfica o por una distribucin particular o red de mercado.
La conveniencia de la estructura organizacional de una entidad depende, en
parte, de su tamao y de la naturaleza de sus actividades, las cuales sern
organizadas para llevar a cabo las estrategias diseadas para cumplir los
objetivos especficos.

h) Asignacin de autoridad y responsabilidad

Esto incluye la asignacin de autoridad y responsabilidad para actividades de
operacin, y el establecimiento de relaciones de informacin y de protocolos de

[AUDITORIA I

autorizacin. Involucra el grado en el cual los individuos y los equipos son

animados a usar su iniciativa en la orientacin y en la solucin de problemas, as
como los lmites de su autoridad. Tambin se refiere a las polticas que describen
las prcticas apropiadas para el tipo de negocio, el conocimiento y la experiencia
del personal clave, y los recursos previstos para cumplir con sus deberes.
Una entidad puede orientarse ms al mercado centrarse en la calidad, ya sea
para eliminar defectos, reducir los tiempo o incrementar la satisfaccin del
cliente. Para ello, la empresa necesita reconocer y responder a las prioridades
cambiantes en las oportunidades de mercado, en las relaciones de negocios y
en las expectativas del pblico.
La delegacin de autoridad, o empowerment, significa ceder el control central de
ciertas decisiones de negocios a lneas bajas, a los individuos que estn
cerrando di8ariamente las transacciones del negocio.
La plena intencin del cambio estructural para encausar la creatividad, la
iniciativa y la capacidad para reaccionar rpidamente pueden engrandecer la
competitividad y la satisfaccin del cliente. Tal delegacin acrecentada puede
acarrear un requerimiento implcito por un nivel alto de competencia de los
empleados, as como una mayor responsabilidad.
i)

Polticas y prcticas sobre recursos humanos

Las practicas sobre recursos humanos usan el envi de mensajes a los
empleados para percibir los niveles esperados de integridad, comportamiento
tico y competencia. Tales practicas se relacionan con empleo, orientacin,
entrenamiento, evaluacin, consejera, promocin, compensacin y acciones
remediales. Por ejemplo, las rotaciones de personal y las promociones
orientadas al desempeo peridico evaluado, demuestran el compromiso de la
entidad con el avance del personal calificado hacia altos niveles de
responsabilidad. Los programas de compensacin competitivos que incluyen
incentivos sirven para motivar y reforzar los resultados de desempeo. Las
acciones disciplinarias sirven de mensaje a los empleados en cuanto a que las
violaciones a los comportamientos esperados no sern toleradas.
Es esencial que el personal est preparado para los nuevos cambios que realiza
la empresa. La educacin y el entrenamiento, deben servir a la gente de una
empresa para conservar la buena marcha y mantener el ambiente envolvente.
Deben tambin fortalecer las habilidades de la entidad para realizar iniciativas de
calidad. El empleo de gente competente y el entrenamiento sobre la marcha no
son suficientes.

2. Valoracin de riesgos:
Cada entidad enfrenta una variedad de riesgos de fuentes externas e internas, los
cuales deben valorarse. Una condicin previa a la valoracin de riesgos es el
establecimiento de objetivos, enlazados en distintos niveles y consistentes

[AUDITORIA I

internamente. La valoracin de riesgos es la identificacin y el anlisis de los riesgos

relevantes para la consecucin del os objetivos, constituyendo una base para
determinar cmo se deben administrar los riesgos. Dado que la economa, la industria,
las regulaciones y las condiciones de operacin continuarn cambiando, se requieren
mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
2.1 Objetivos
La definicin objetivos puede ser un proceso altamente estructurado o informal. Los
objetivos pueden definirse explcitamente, o ser implcitos, tal como mantenerse en
un nivel pasado de desempeo. Los objetivos a menudo estn representados por la
misin de la entidad y por la declaracin de valores. El conocimiento de las
fortalezas y debilidades de la entidad, y de las oportunidades y amenazas,
conducen hacia una estrategia global. Generalmente el plan estratgico es
establecido de manera amplia, teniendo que ver con el nivel alto de asignacin de
recursos y prioridades
a) Categoras de Objetivos
A pesar de la diversidad de objetivos, pueden establecerse ciertas categoras
principales:

Objetivos de Operaciones. Los objetivos de operaciones se relacionan

con la consecucin de la misin bsica de una entidad, razn funda
mental de su existencia. Incluyen sub-objetivos relacionados con las
operaciones, dirigidos a engrandecer la efectividad y la eficiencia,
orientando la empresa hacia sus metas ltimas.

Objetivos de informacin financiera. Los objetivos de informacin

financiera se orientan a la preparacin de estados financieros publicados
que sean confiables, incluyendo estados financieros interinos y
condensados y datos financieros seleccionados derivados de tales
estados; tales como ganancias realizadas, de conocimiento pblico. Las
entidades necesitan conseguir objetivos de informacin financiera para
cumplir obligaciones externas.

Objetivos de cumplimiento. Las entidades deben conducir sus

actividades, y a menudo tomar acciones especficas, de acuerdo con
leyes y regulaciones aplicables. Esos requerimientos se pueden
relacionar, por ejemplo, con mercados, precios, impuestos, el ambiente,
bienestar de los empleados y comercio internacional. Esas leyes y
regulaciones establecen los niveles mnimos de comportamiento los
cuales son integrados por la entidad en su cumplimiento de objetivos. Por
ejemplo, las regulaciones se seguridad y salud ocupacional pueden
hacer que una compaa defina sus objetivos como, embalaje y
etiquetado de todos los qumicos de acuerdo con las regulaciones. En

[AUDITORIA I

este caso, las polticas y los procedimientos se relacionarn con

programas de comunicaciones, inspecciones en el lugar y entrenamiento.

b) Cobertura de Objetivos
Un objetivo en una categora; puede cubrir o soportar un objetivo en otra. Por
ejemplo, cerrar trimestralmente con 10 das de trabajo puede ser un objetivo que
soporta primariamente unos objetivos de operaciones, apoyar las reuniones de la
administracin para revisar el desempeo de los negocios. Pero tambin soporta
oportunamente la informacin financiera al mismo tiempo que cumple con las
agencias reguladoras. Un objetivo, proporcionar a los administradores de planta
de datos pertinentes sobre produccin de materias primas mezclada en una
base oportuna, puede relacionarse con todas las tres categoras de objetivos.
Las decisiones soportadas en datos sobre los cambios deseados de la mezcla
(operaciones), facilitan el monitoreo de sustancias riesgosas (cumplimiento) y
provee entradas para la contabilidad de costos (informacin financiera lo mismo
que operaciones).
c) Vinculacin
Los objetivos pueden ser complementarios y estar vinculados. Los objetivos
Pales de la entidad no solamente deben ser consistentes con las capacidades y
posibilidades de la entidad, tambin deben ser consistentes con los objetivos de
sus unidades de negocio y funciones. Los objetivos globales deben dividirse en
sub objetivos, consistentes con la estrategia global, y vinculados con las
actividades a travs de la organizacin.
d) Consecucin de los objetivos
Como se anot, el establecimiento de objetivos es un requisito previo para el
control interno efectivo. Los objetivos proporcionan los blancos medibles hada
los cuales la entidad se mueve en la conduccin de sus actividades. Sin
embargo, aunque una entidad pueda tener una seguridad razonable respecto a
que ciertos objetivos sern conseguidos, ello no necesariamente es comn para
todos los objetivos.
2.2 RIESGOS
El proceso de identificacin y anlisis de riesgos es un proceso interactivo
ongoing2S y componente crtico de un sistema de control interno efectivo. Los
administradores se deben centrar cuidadosamente en los riesgos en todos los
niveles de la entidad y realizar las acciones necesarias para administrarlos.

10

[AUDITORIA I

a) Identificacin de riesgos
Los riesgos del nivel global de la entidad pueden provenir de factores externos o
internos. Ejemplos incluyen:
Factores externos

Los desarrollos tecnolgicos pueden afectar la naturaleza y oportunidad de

la investigacin y desarrollo, o dirigir hacia la procura de cambios.

Las necesidades o expectativas cambiantes de los clientes pueden afectar el

desarrollo del producto, el proceso de produccin, el servicio al cliente, los
precios o las garantas.

La competencia puede alterar las actividades de mercadeo o servicio.

La legislacin y regulacin nuevas pueden forzar cambios en las polticas y

en las estrategias de operacin.

Las catstrofes naturales pueden orientar los cambios en las operaciones o

en los sistemas de informacin y hacer urgente la necesidad de planes de
contingencia.

Los cambios econmicos pueden tener un impacto sobre las decisiones

relaciona-das con financiacin, desembolsos de capital y expansin.

Factores internos

Una ruptura en el procesamiento de los sistemas de informacin puede

afectar adversamente las operaciones de la entidad.

La calidad del personal vinculado y los mtodos de entrenamiento y

motivacin pueden influenciar el nivel de conciencia de control en la entidad.

Un cambio en las responsabilidades de la administracin puede afectar la

manera como se efectan ciertos controles.

La naturaleza de las actividades de la entidad, y el acceso de los empleados

a los activos, pueden contribuir a una equivocada apropiacin de los
recursos. Un consejo o comit de auditora que no acta o que no es efectivo
puede proporcionar oportunidades para indiscreciones.

b) Nivel de actividad
En adicin a la identificacin de riesgos a nivel de la entidad, deben identifica
tambin los riesgos a nivel de actividad. El tratar con los riesgos a este nivel
ayuda i centrar la valoracin de riesgos en las principales unidades de negocio o
en funciones! tales como ventas, produccin, mercadeo, desarrollo de tecnologa
e investigacin m desarrollo. La valoracin exitosa de los riesgos a travs de

11

[AUDITORIA I

actividad tambin contribuye a mantener niveles aceptables en el nivel global de

la entidad.
Anlisis de riesgos
Luego que una entidad ha identificado los riesgos globales de la entidad y los
riesgos de actividad, necesita hacer un anlisis de riesgos. La metodologa para
analizar riesgos puede variar ampliamente porque muchos riesgos son difciles
de cuantificar. Sin embargo, el proceso que puede ser ms o menos formalusualmente incluye:

Estimacin del significado de un riesgo;

Valoracin de la probabilidad (o frecuencia) de ocurrencia del riesgo;

Consideracin de cmo puede administrarse el riesgo, esto es, una

valoracin de qu acciones deben ser tomadas.

Desafortunadamente, la importancia del anlisis de riesgos se reconoce algunas

veces muy tarde, como es el caso de una firma principal de servicios financieros
en la cual un ejecutivo principal anunci un melanclico epitafio: justamente no
pensamos que encontraramos muchos riesgos.
2.3 VALORACION DE RIESGOS
Luego que una entidad ha identificado los riesgos globales y los riesgos por
actividad, se debe realizar un anlisis de riesgos cuya metodologa puede variar
ampliamente porque muchos riesgos son difciles de cuantificar.
Sin embargo, el proceso usualmente incluye:
a) Estimacin del significado de un riesgo.
b) Valoracin de la probabilidad (o frecuencia) de ocurrencia del riesgo.
c)

Consideracin de cmo puede administrarse el riesgo, esto es, una valoracin

de qu acciones deben ser tomadas.

Es importante que el anlisis sea racional y cuidadoso. Lo mejor es describir los

riesgos como grande, moderado o pequeo. Se debe estimar la frecuencia con que
se presentarn los riesgos identificados, as como tambin se debe cuantificar la
probable prdida que ellos pueden ocasionar. Pero no debe cederse a la difundida
inclinacin de conceptuarlos rpidamente como no medibles. En muchos casos,
con un esfuerzo razonable, puede conseguirse una medicin satisfactoria.
Esto se puede expresar matemticamente en la llamada Ecuacin de la Exposicin:
PE = F x V
Donde:

12

[AUDITORIA I

PE = Prdida Esperada o Exposicin, expresada en Bs. y en forma anual.

F = Frecuencia, veces probables en que el riesgo se concrete en el ao.
V = Prdida estimada para cada caso en que el riesgo se concrete,
expresada en Bs.
2.4 CIRCUNSTANCIAS QUE DEMANDAN ATENCIN ESPECIAL
Las organizaciones deben disponer de procedimientos capaces de captar e informar
oportunamente los cambios registrados o inminentes en el ambiente interno y
externo, que puedan conspirar contra la posibilidad de alcanzar sus objetivos en las
condiciones deseadas. Una etapa fundamental del proceso de evaluacin del riesgo
es la identificacin de los cambios en las condiciones del medio ambiente en que el
organismo desarrolla su accin. Un sistema de control puede dejar de ser efectivo al
cambiar las condiciones en las cuales opera. Entre las diferentes condiciones
cambiantes que pueden presentarse y de las cuales debe estar al pendiente la
organizacin estn:
a)

La alta rotacin de personal donde no est presente el entrenamiento adecuado

y una supervisin efectiva, y no se considere comunicar la cultura
organizacional.

b) Sistemas de informacin nuevos ya sea para mejorar tiempos de respuesta pero

que no se adaptan a las necesidades de la organizacin por la omisin de
mecanismo de control.
c) La nueva produccin con la cual no este lo suficientemente familiarizado el
negocio puede repercutir en tomas de decisiones equivocadas y que tengan
implcitas algunos riesgos.
El proceso de gestin de cambio es crtico para el sistema de control interno y no
debera ser obviado en ninguna circunstancia.
3. Actividades de Control:
Las actividades de control son las polticas y los procedimientos que ayudan a asegurar
que las directivas administrativas se lleven a cabo. Ayudan a asegurar que se tomen las
acciones necesarias para orientar los riesgos hacia la consecucin de los objetivos de la
entidad. A las actividades de control se dan a todo lo largo de la organizacin, en todos
los niveles y en todas las funciones. Incluyen un rango de actividades diversas como
aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de desempeo
operacional, seguridad de activos y segregacin de funciones.
3.1.

TIPOS DE ACTIVIDADES DE CONTROL

Para ilustrar los diferentes tipos de actividades de control se pueden mencionar:

a) Revisiones de alto nivel

13

[AUDITORIA I

Las revisiones se realizan sobre el desempeo actual frente a presupuestos,

pronsticos, perodos anteriores y competidores. Las acciones administrativas
que se realizan y los consiguientes informes representan actividades de control,
como los controles fsicos de Equipos, inventarios, valores y otros activos se
aseguran fsicamente en forma peridica, son contados y comparados con las
cantidades presentadas en los registros de control.
b) Segregacin de responsabilidades
Las responsabilidades se dividen, o segregan, entre diferentes empleados para
reducir el riesgo de error o de acciones inapropiadas.
c) Procesamiento de informacin
Los datos que ingresan estn sujetos a chequeos o a comparaciones con los
archivos de control. La orden de un cliente, por ejemplo, es aceptada solamente
por referencia a un archivo de clientes aprobados y a un lmite de crdito. Los
archivos totales se comparan y concilian con los balances de prueba y con las
cuentas de control. Las excepciones reciben seguimiento especial por parte de
personal de oficina, y se informa a los supervisores cuando sea necesario. El
desarrollo de sistemas nuevos y de cambios frente a los actuales es controlado,
tanto en el acceso de datos, archivos y programas.
d) Controles fsicos
Los controles fsicos de equipos, inventarios, valores y otros activos se aseguran
fsicamente en forma peridica, son contados y comparados con las cantidades
presentadas en los registros d control.
e) Indicadores de desempeo
Los indicadores de desempeo incluyen, por ejemplo, variaciones en los precios
de compra, el porcentaje de rdenes que son pedidos urgentes y el porcentaje
total de retorno de rdenes.
f) Polticas y procedimientos
Las actividades de control usualmente implican dos elementos: el
establecimiento de una poltica que pueda cumplirse y, sirviendo como base para
el segundo elemento, procedimientos para llevar a cabo la poltica. Puesto que
cada entidad tiene su propio conjunto de objetivos y su implementacin de
estrategias, existirn diferencias en la estructura de objetivos y en las actividades
de control relacionadas. Aunque dos entidades tengan idnticos objetivos y
estructuras, sus actividades de control sern diferentes. Cada entidad es
manejada por gente diferente que usa juicios individuales en la aplicacin del
control interno. Adems los controles reflejan el ambiente y la industria donde
opera una entidad, as como la complejidad de su organizacin, su historia y su
cultura.

14

[AUDITORIA I

g) El entorno en el que una entidad opera influye en los riesgos a los que est
expuesta
La complejidad de una entidad, as como el tipo y el alcance de sus actividades,
repercuten en sus actividades de control. Una organizacin compleja, con
diversidad de actividades, se enfrentar a problemas de control ms difciles que
una organizacin ms sencilla con actividades menos variadas. Una entidad con
operaciones descentralizadas y con nfasis en la autonoma local y en la
innovacin necesita tipos de controles distintos a los aplicados por una entidad
altamente centralizada.
Algunas actividades de control son las siguientes:

Anlisis efectuados por la direccin

Seguimiento y revisin por parte de los responsables de las diversas

funciones o actividades

Niveles de aprobacin, autorizacin y revisin

Comprobacin de las transacciones en cuanto a su exactitud, totalidad, y

autorizacin pertinente: aprobaciones, revisiones, cotejos, re clculos,
anlisis de consistencia, pre numeraciones

Controles fsicos patrimoniales: arqueos, conciliaciones, recuentos

Dispositivos de seguridad para restringir el acceso a los activos y registros

Segregacin de funciones

Indicadores de desempeo

Controles de las tecnologas de informacin

4. Informacin y comunicacin:
Debe identificarse, capturarse y comunicarse informacin pertinente en una forma y en
un tiempo que les permita a los empleados cumplir con sus responsabilidades. Los
sistemas de informacin producen reportes, contienen informacin operacional,
financiera y relacionada con el cumplimiento, que hace posible operar y controlar el
negocio. Tiene que ver no solamente con los datos generados internamente, sino
tambin con la informacin sobre eventos, actividades y condiciones externas
necesarias para la toma de decisiones, informe de los negocios y reportes externos. La
comunicacin efectiva tambin debe darse en un sentido amplio, fluyendo hacia abajo,
a lo largo y hacia arriba de la organizacin.
Todo el personal debe recibir un mensaje claro de parte de la alta gerencia respecto a
que las responsabilidades de control deben tomarse seriamente. Deben entender su

15

[AUDITORIA I

propio papel en el sistema de control interno, lo mismo que la manera como las
actividades individuales se relaciona con el trabajo de otros. Deben tener un medio de
comunicar la informacin significativa. Tambin necesitan comunicarse efectivamente
con las partes externas, tales como clientes, proveedores, reguladores y accionistas.
4.1 Informacin
En todos los niveles de la organizacin se requiere la informacin para que el
negocio pueda operar y direccionarse hacia los objetivos de la actividad en todas
las categoras, operaciones, informacin financiera y cumplimiento. La informacin
financiera por ejemplo no solamente es usado para elaborar estados financieros de
difusin externa, sino tambin para decisiones de operacin como es el caso del
monitoreo del desempean y asignacin de recursos.
Los reportes administrativos de mediciones monetarias permite el Monitoreo
como es el caso de utilidades definidas, desempeo de cuentas por cobrar por tipo
de cliente, participacin en el mercado, tendencias en las reclamaciones de los
clientes y estadsticas de accidentes. Las mediciones financieras internas es
esencial para la planeacin, presupuesto, establecimiento de precios, evaluacin
desempeo de vendedores y otras alianzas.
Informacin operacional es fundamental para el desarrollo de los estados
financieros que incluye lo de rutina- compras, ventas y otras transacciones. La
informacin sobre competidores, expansin de productos o condiciones
econmicas, que pueda ser que afecten las evaluaciones de inventarios y cuentas
por cobrar. Tambin puede necesitarse emisiones de particulares reas como datos
personales para recepcionar objetivos tanto de cumplimento como de informacin
financiera.
La informacin es identificada, capturada, procesada y reportada mediante:
Sistemas de informacin:

16

Este trmino es usado en el mbito del procesamiento de datos generados

internamente ,que tienen relacin con las transacciones(como compras y
ventas) y actividades de operacin interna 8produccion en proceso)

Se relacionan con informacin sobre eventos, actividades condiciones

EXTERNAS. Que abarca: Datos econmicos del mercado o de la industria que
sealan cambios en demanda por los productos o servicios de la compaa.

Operan algunas veces en un mercado de MONITOREO, realizando captura

rutinaria de datos especficos, realizando acciones especiales que recaban la
informacin sobre la satisfaccin de os cliente con los productos de la entidad.

Pueden identificar y reportar las venta de los clientes, retornos y solicitudes de

asignacin, aplicaciones de las provisiones de garanta de productos y
retroalimentacin directa en forma de quejas y otros comentario o si no para

[AUDITORIA I

obtener informacin sobre los cambios en lo que requiere el mercado teniendo

en cuenta las especificaciones tcnicas, o entregas de los clientes o servicios
requeridos. Que se pueda obtener esta mediante cuestionarios, entrevistas,
estudios de la demanda del mercado elaborados sobre grupos de inters.

Pueden ser formales o informales las conversaciones con los clientes,

proveedores, sirven de informacin para formar una crtica sobre la
identificacin de riesgos y oportunidades.

Deben cambiar de acuerdo con las necesidades para apoyar los nuevos
objetivos de la entidad. Como el caso de disminuir el ciclo del tiempo ofrecer
los productos al mercado, el outsorcing (subcontratar trabajos de manufactura
de agentes externos o compaas no vinculadas) de ciertas funciones y las
transformaciones en la fuerza de trabajo

Deben no solamente identificar y capturar la informacin financiera no

financiera requerida sino adems procesar y reportar en un lapso de tiempo y
de forma que sea til para controlar actividades de la entidad.

a) Sistemas estratgicos e integrados

Los sistemas de informacin son parte integral de las actividades operacionales.
Porque no solamente capturan informacin para la toma de decisiones al
momento de controlar, sino adems son crecientemente diseados, para llevar a
cabo las iniciativas estratgicas.

i.

Sistemas de apoyo a las iniciativas estratgicas:

El usar estratgicamente los sistemas de informacin ha conllevado xito
para las organizaciones. Ejemplo de ello es el sistema de reservas de
aerolnea permite a los agentes de viaje acceso fcil a la informacin e
vuelos y registro de ellos. Permitiendo de esta forma ventaja competitiva.
Al usar la tecnologa conlleva tener mejor manera de responder las
tendencias crecientes del mercado, de esa forma los sistemas se usan
para apoyar estrategias de negocios proactivas

ii.

Integracin con las operaciones:

El usar estratgicamente los sistemas dan a conocer en l cambio hecho
desde los sistemas nicamente financieros a los sistemas integrados en
las operaciones de una entidad .Estos sistemas apoyan a controlar el
proceso de los negocios, siguiendo y registrando transacciones en una
base de tiempo real.
Los sistemas de informacin en las organizaciones de manufactura
apoyan todas las reas de produccin. Son usadas para pruebas de

17

[AUDITORIA I

aceptacin y recepcin de materias primas, control de calidad sobre

productos terminados y registros de clientes.
Los sistemas integrados de operaciones se ven reflejado en el sistema de
inventarios justo a tiempo (JIT). Las compaas que utilizan JIT tienen
inventarios mnimos (a mano), disminuyendo sus costos; ya que los
sistemas mismos ordenan y programan automticamente la llegada de
materias primas , mediante el uso de EDI (intercambio electrnico de
datos ).Los que emplean JIT dependen de su sistema para que cumplan
los objetivos de productos, puesto que sera imposible sin ellos.
iii.

Tecnologas coexistentes:
Con las revoluciones de las tecnologas sobre sistemas de informacin es
falso pensar que un sistema ms nuevo proporcione mayor control; ya
que solo se necesita adaptar ciertos requerimientos para que pueda estar
en la vanguardia de la tecnologa
La adquisicin de tecnologas es un aspecto fundamental de la estrategia
corporativa y las selecciones relacionadas con la tecnologa pueden ser
factores crticos para conllevar los objetivos de crticos para conllevar los
objetivos de crecimiento. En donde su implementacin depende de
muchos factores como: objetivos organizacionales, necesidades del
mercado, requerimientos competitivos y como los nuevos sistemas
ayudan a realizar el control y en el momento deben ser sujetos de los
controles necesarios, para promover la consecucin de los objetivos de la
entidad.

b) Calidad de la informacin
Los sistemas generados por la calidad de la informacin afecta la habilidad de la
gerencia para tomar decisiones oportunas para la administracin y el control de
las actividades de la entidad.
La calidad de la informacin incluye indagar si:

18

Contenido apropiado. se necesita la informacin contenida en l?

Informacin oportuna. Est disponible cuando es requerida?

Informacin actual. Est disponible la ms reciente?

Informacin exacta Los datos son correctos?

Informacin accesible Pueden obtenerse fcilmente por la parte

apropiadas?

[AUDITORIA I

Todas estas preguntas deben hacerse en el momento de disear el sistema Si

no es posible que ste no de la informacin que requieren los administradores y
otro personal.
Puesto que tener la informacin correcta tiempo, en lugar proceso, es
fundamental para realizar el control, los sistema de informacin; ya que ellos son
un componente del Sistema de Control Interno, tambin deben controlarse .La
calidad de la informacin puede depender del funcionamiento de las actividades
de control
4.2 Comunicacin
Es inherente a los sistemas de informacin; ya que estos brindan informacin al
personal en forma apropiada a fin de que ellos puedan cumplir sus
responsabilidades de operacin, informacin financiera y de cumplimiento. Asimismo
tambin se dan las comunicaciones relacionndose, con las expectativas, las
responsabilidades de los individuos y de los grupos y otros asuntos fundamentales.
a) Interna
Adems de recibir datos relevante para administrar su actividad , todo el
personal, especficamente el que est a cargo de responsabilidades de
administracin operativa o financiera , necesita recibir un mensaje claro de parte
de la alta administracin con relacin a que responsabilidades de control interno
deben tomarse seriamente .Asimismo cada persona necesita entender los
aspectos relevantes del Sistema de Control Interno , como trabaja y cul es su
papel y su responsabilidad en el Sistema de lo contrario aparecern problemas
rpidamente. Por ejemplo en una compaa los jefes de unidades son requeridos
para firmar un reporte mensual afirmando que se han realizado las conciliaciones
especficas. Cada mes los reportes fueron firmados y presentados.
Luego, despus de que apareci problemas serios, se conoci que los dos
ltimos jefes de unidad no conocan lo que realmente se esperaba de ellos; ya
que ambos tenan opiniones distintas sobre la conciliacin .Uno consideraba que
estaba completa cuando la cantidad de la diferencia entre dos figuras era
simplemente identificada .Otro tomaba el proceso solo como un paso
adicional .Entonces tuvieron que tomar acciones correctivas.
b) Externa
Hay necesidad de comunicacin oportuna no solamente con la entidad sino
hacia el exterior. Por medio de canales de comunicacin abiertos , los clientes y
proveedores pueden proporcionar datos de entrada altamente significativos con
respecto al diseo o calidad de los productos o servicios facilitando a la entidad
orientarse al desarrollo de las demandas .o preferencias de los clientes
.Asimismo cualquiera que se relacione con la entidad puede reconocer acciones
impropias como es el caso cuando por la adjudicacin de un contrato se debe da
una cantidad de dinero an funcionario corrupto. Las compaas se deben

19

[AUDITORIA I

comunicar directamente con los vendedores por ejemplo observando cmo la

compaa espera que acten los empleados de los vendedores para actuar de
acuerdo a ello.
Las informaciones recibidas externamente con frecuencia proporcionan
informacin fundamental sobre el funcionamiento del sistema de control interno.
El entender de los auditores externos tienen con respecto a las operaciones de
una entidad y los sucesos y sistemas de control de los negocios relacionados le
proporciona la administracin al consejo importante informacin de control.
Los organismos reguladores como por ejemplo la banca estatal reportan
resultados de las revisiones o exmenes de cumplimiento que puedan aclarar las
debilidades de control. Los reclamos o preguntas sobre embargue, recepcin,
facturacin u otras actividades con frecuencia identifican problemas de operacin
.Que debern recibirse por estar dispuesto a reconocer las implicaciones a tales
circunstanciase investigar y tomar las acciones correctivas necesarias.
Las comunicaciones dirigidas a accionistas ,reguladores, analistas financieros y
otras partes externas, deber bridar infraccin relevante para sus necesidades,
para con la finalidad de que ellos puedan entender fcilmente las circunstancias
y los riesgos que enfrenta la entidad , en donde estas tienen que ser
comprensibles, proveer informacin pertinente y oportuna y estar de acuerdo con
los requerimientos legales y reguladores.
Las comunicaciones dirigidas a partes externas, ya sean abiertas y venideras
tambin envan mensajes internos a travs de la organizacin.
c) Medios de comunicacin
La comunicacin:

Adopta formas como manuales de polticas, memorandos, boletines de

noticias del consejo y mensajes en videocinta. Cuando los mensajes se
transmiten oralmente ( en grupos grandes) ,pequeas reuniones o
sesiones uno a uno el tono de la voz y el lenguaje corporal sirven para
enfatizar lo que se est diciendo

Se da a travs de la accin que toda la administracin en el trato con los

subordinados .Los administradores deben recordarse a s mismos, las
acciones hablan ms frecuentemente que las palabras. Asimismo las
acciones estn influenciadas por la historia y la cultura de la entidad.

La entidad debe operar con integridad y cultura bien entendida por la gente a
todo lo largo de la operacin, encontrar pocas dificultades para comunicar su
mensaje.
El desenvolvimiento de las responsabilidades, el personal debe conocer que si
ocurren sucesos inesperados se debe presentar atencin no solamente al

20

[AUDITORIA I

suceso mismo sino tambin a la causa .De esa forma se puede identificar una
debilidad potencial en el sistema y tomarse las acciones necesarias para
prevenir su recurrencia.
Esta componente est conformado por:

Informacin para toma de decisiones

Sistemas de informacin ligados a planeacin estratgica

Sistemas de informacin ligados a las operaciones

Calidad de la informacin

Medios de comunicacin

5. Monitoreo o Supervisin
Los sistemas de control interno deben monitorearse, proceso que valora la calidad del
desempeo del sistema en el tiempo. Es realizado por medio de actividades de
monitoreo ongoing, evaluaciones separadas o combinacin de las dos. El monitoreo
ongoing ocurre en el curso de las operaciones. Incluye actividades regulares de
administracin y supervisin y otras acciones personales realizadas en el cumplimiento
de sus obligaciones. El alcance y la frecuencia de las evaluaciones separadas
depender primeramente de la valoracin de riesgos y de la efectividad de los
procedimientos de monitoreo ongoing. Las deficiencias del control interno.
5.1 Actividades del monitoreo ongoing
Las siguientes son ejemplos de actividades de monitoreo ongoing:

21

En el desarrollo de las actividades regulares de administracin, la gestin

operativa obtiene evidencia de que el sistema de control interno contina
funcionando. Cuando los reportes de operacin estn integrados o se concilian
con el sistema de informacin financiera y se usan para administrar operaciones
en una base ongoing, las inexactitudes o excepciones significativas a los
resultados anticipados es probable que sean detectadas fcilmente.

Los reportes emitidos por los administradores de inversin respecto de ganancias,

prdidas e ingresos de valores pueden corroborar o sealar problemas con los
registros de la entidad (o de los administradores). Una revisin en una compaa
sobre las polticas y prcticas de seguridad proporciona informacin sobre el
funcionamiento de los controles, desde perspectivas de seguridad operacional
como de cumplimiento, sirviendo de esa manera como una tcnica de monitoreo.

La estructura organizacional apropiada y las actividades de supervisin

proporcionan una visin amplia de las funciones de control y de la identificacin de
deficiencias.

[AUDITORIA I

Los datos registrados mediante los sistemas de informacin se comparan con los
activos fijos. Los inventarios de productos terminados, por ejemplo, se pueden
examinar peridicamente. Los conteos se comparan con los registros contables, y
se reportan las diferencias.

Los auditores internos y externos regularmente proporcionan informacin sobre la

manera como los controles internos pueden fortalecerse. En muchas entidades,
los auditores dedican considerable atencin a evaluar el diseo de controles
internos y aprobar su efectividad. Se identifican las debilidades potenciales y se
recomiendan a la administracin acciones alternativas, acompaadas a menudo
de informacin til para realizar determinaciones de costo-beneficio. Los auditores
o el personal que desempea funciones similares de revisin pueden ser
particularmente efectivos en el monitoreo de las actividades de una entidad.

Los seminarios de entrenamiento, las secciones de planificacin y otras reuniones

proporcionan retroalimentacin importante a la administracin respecto de si los
controles son efectivos. Adems de los problemas particulares que se pueden
sealar asuntos de control, la conciencia de control de los participantes a menudo
se convierten en aparente.

Al personal se le pregunta peridicamente para establecer explcitamente si

entiende y cumple con el cdigo de conducta de la entidad. El personal de
operacin y financiero puede similarmente ser requerido para establecer si
determinados procedimientos de controles, tales como conciliar cantidades
especificadas, se estn desempeando regularmente. Tales estados pueden ser
verificados por personal administrativo o de auditora interna.

5.2 EvaluacionesSeparadas
a) Alcance y Frecuencia
Las evaluaciones de control interno varan en alcance y frecuencia,
dependiendo del significado de los riesgos que estn siendo controlados y de la
importancia de los controles en la reduccin de aqullos. Los controles que se
orientan a riesgos de prioridad alta y a aquellos ms crticos para reducir un
riesgo dado, tendern a ser evaluados ms frecuentemente. La evaluacin de
un sistema de control interno completo, que ser necesitada con menos
frecuencia que la valoracin de los controles especficos, puede motivarse por
diversas razones: estrategia principal o cambio administrativo, adquisiciones y
disposiciones, o cambios significativos en las operaciones o en los mtodos de
procesamiento de informacin financiera. Cuando se toma una decisin para
evaluar el sistema de control interno completo de una entidad, la atencin se
debe dirigir a cada uno de los componentes del control interno con respecto a
todas las actividades significativas.

22

[AUDITORIA I

b) Quin evala?
A menudo, las evaluaciones toman la forma de auto-valoraciones, en las que
las personas responsables por una unidad o funcin en particular determinan la
efectividad de los controles para sus actividades. El director ejecutivo de una
divisin, por ejemplo, puede dirigir la evaluacin de su sistema de control
interno. Puede personalmente valorar los factores del ambiente de control, y
tener individuos a cargo de las actividades de operacin de las distintas
divisiones para determinar la efectividad de los otros componentes. Los
administradores de lnea pueden centrar su atencin principalmente en
objetivos de operacin y de cumplimiento, y el contralor de divisin puede
centrarse en los objetivos de informacin financiera. Luego, todos los
resultados estarn sujetos a la revisin del director ejecutivo. La valoracin de
la divisin ser considerada por la administracin corporativa, junto con las
evaluaciones del control interno de las otras divisiones.
c) El Proceso de Evaluacin
La evaluacin del sistema de control interno es un procedimiento en s mismo;
puesto que las aproximaciones y las tcnicas varan, deber existir una
disciplina en el proceso, as como ciertas bases inherentes a l.
El evaluador debe entender cada una de las actividades de la entidad y cado
uno de los componentes del sistema de control interno que estn siendo
dirigidos. Puede ser til centrarse primero en cmo operan las funciones
significativas del sistema, generalmente referidas como diseo del sistema. Ello
puede implicar discusiones con el personal de la entidad y revisin de la
documentacin existente.
El evaluador debe determinar cmo trabaja el sistema actualmente. Los
procedimientos diseados para operar de una manera particular pueden ser
modificados en el tiempo para operar de forma diferente, o pueden no operar
ampliamente. Algunas veces se establecen controles nuevos pero no son
conocidos por las personas que describieron el sistema y no estn incluidos en
la documentacin disponible. Una determinacin del actual funcionamiento del
sistema puede acompaarse de discusiones conjuntas realizadas con el
personal que desempea o es afectado por los controles, examinando registros
del desempeo de los controles o una combinacin de procedimientos.
El evaluador debe analizar el diseo del sistema de control interno y los
resultados de las pruebas aplicadas. El anlisis debe conducirse frente a los
criterios establecidos, con el objetivo ltimo de determinar si el sistema provee
seguridad razonable con respecto a los objetivos establecidos.
d) Metodologa
Como parte de su metodologa de evaluacin, algunas compaas comparan
sus sistemas de control interno con las otras entidades, referidos comnmente

23

[AUDITORIA I

como benchmarking. Una compaa puede, por ejemplo, medir su sistema

contra compaas que tienen reputacin de tener particularmente sistemas de
control interno. Las comparaciones se pueden hacer directamente con los de
otra compaa, o bajo los auspicios de asociaciones de comercio o industriales.
Los consultores administrativos pueden ser capaces de proporcionar
informacin comparativa, y funciones de revisin similar en algunas industrias,
pueden ayudar a la compaa a evaluar su sistema de control con base en el
de empresas del mismo gnero. Cuando se comparan sistemas de control
interno, deben considerarse las diferencias que siempre existen objetivos,
hechos y circunstancias.
e) Documentacin
La existencia de la documentacin del sistema de control interno de una
entidad vara con el tamao, la complejidad y factores similares de la entidad.
Las empresas grandes usualmente tienen manuales de polticas, organigramas
formales, descripciones de trabajo escritas, instrucciones de operacin,
diagramas de flujo del sistema de informacin, etc. Las compaas pequeas
que requieren menos informacin.
Muchos controles son informales e indocumentados, no obstante lo cual
algunos se desempean regularmente y son altamente efectivos. El hecho de
que existan controles de documentados no significa que el control interno no
sea efectivo, o que no pueda ser evaluado. Un nivel apropiado de
documentacin usualmente hace ms eficiente la evaluacin. Ello es til en
otros aspectos: facilita el entendimiento de los empleados sobre cmo operar el
sistema y sus roles particulares, y hace que sea fcil modificarlo cuando sea
necesario.
La naturaleza y la extensin de la documentacin normalmente sern ms
sustantivas cuando se hacen informes sobre el sistema o sobre la evaluacin,
dirigidos a partes adicionales. Cuando la administracin quiere hacer un
informe dirigido a partes externas mirando la efectividad del sistema de control
interno, deber considerar el desarrollo y la retencin de documentacin para
soportar el informe. Tal documentacin puede ser til si el informe es cambiado
subsecuentemente.
f) Plan de accin
Los ejecutivos dirigen evaluaciones de los sistemas de control interno para, en
primer lugar, poder considerar los siguientes aspectos sugeridos sobre donde
iniciar y que hacer:

24

Decidir sobre el alcance de la evaluacin, en trminos de las categoras de

objetivos, componentes del control interno y actividades a orientar.
Identificar actividades de monitoreo ongoing que rutinariamente
proporcionan tranquilidad respecto a que el control interno es efectivo.

[AUDITORIA I

Analizar el trabajo de evaluacin del control realizado por auditores

internos, y considerar los hallazgos relacionados con el control hechos por
los auditores externos.
Priorizar por unidad, componente o global las mayores reas de riesgo que
exigen atencin inmediata.
Basados en lo anterior, desarrollar un programa de evaluacin con
segmentos cortos y largos.
Realizar un conjunto de evaluacin por parte de todas las partes que la
puedan llevar a cabo. Y al mismo tiempo, considerar no slo el alcance y la
duracin, sino tambin la metodologa y las herramientas a usar, los datos
de entrada provenientes de auditores internos y externos y de reguladores,
los medios para informar los hallazgos y la documentacin esperada.
Monitorear el progreso y la revisin de los hallazgos.
Ver que se realizan las acciones siguientes, y modificar los segmentos de
evaluacin subsecuentes si es necesario.

5.3 Informacin De Deficiencias

Las deficiencias en el control interno de una entidad brotan de muchas fuentes,
incluyendo los procedimientos de monitoreo ongoing de la entidad, las
evaluaciones separadas del sistema de control interno y las partes externas.
El trmino deficiencia como se emplea aqu es definido en sentido amplio como
una condicin dentro de la cual un sistema de control interno es digno de
atencin. Una deficiencia, por consiguiente, puede representar una falta
percibida, potencial o real, o una oportunidad para fortalecer el sistema de
control interno a fin de proporcionar una mayor probabilidad de que se puedan
conseguir los objetivos de la entidad.
a) Fuentes de Informacin
Una de las mejores fuentes de informacin sobre deficiencias es el mismo
sistema de control interno. Las actividades de monitoreo ongoing de una
empresa, incluyendo las actividades administrativas y la diaria supervisin de los
empleados, genera intuiciones al personal directamente implicado en las
actividades de la entidad. Esas intuiciones son obtenidas en tiempo real y
pueden proporcionar identificacin rpida de las deficiencias. Otras fuentes de
deficiencias de control interno son las evaluaciones separadas de un sistema de
control interno. Las evaluaciones realizadas por la administracin, los auditores
internos u otro personal pueden iluminar reas que requieran mejoramiento.
Un buen nmero de partes externas frecuentemente proporcionan informacin
importante sobre el funcionamiento del control interno de una entidad. Incluye
clientes, vendedores y otros que hacen negocios en la entidad, contadores
pblicos independientes y reguladores. Los informes provenientes de fuentes

25

[AUDITORIA I

externas deben considerarse cuidadosamente a causa de sus implicaciones para

el control interno, y deben tomarse las acciones correctivas necesarias.
b) Qu debe informarse?
No es posible una respuesta universal, pues esto es altamente subjetivo. Sin
embargo, pueden trazarse ciertos parmetros. De hecho, todas las deficiencias
de control interno que puedan afectar la consecucin de los objetivos de la
entidad deben informarse a aquellos que toman las acciones necesarias. La
naturaleza de los asuntos a comunicar variar dependiendo de la autoridad de
los individuos para relacionarse con circunstancias que surjan, y las actividades
globales de los superiores.
c) A quin informar?
La informacin generada por los empleados en la realizacin de sus actividades
de operacin regulares usualmente es reportada a sus superiores mediante los
canales normales. A su turno, el superior en cuestin comunica hacia arriba o
lateralmente en la organizacin hasta que la informacin llegue a la gente que
puede actuar sobre el particular, adems deber de existir canales de
comunicacin alternativos para reportar informacin sensible as como actos
ilegales o impropios.
Los hallazgos de deficiencias de control interno usualmente se reportarn no
slo a los responsables de la funcin o actividad implicada, que estn en
posicin de tomar la accin correctiva, sino tambin al menos al nivel de
administracin que es responsable directo de la persona. Este proceso permite a
los individuos proporcionar el apoyo o la percepcin necesarios para tomar la
accin correctiva y para comunicarse con aquellos otros en la organizacin
cuyas actividades pueden afectarse. Cuando los hallazgos cruzan los lmites
organizacionales, la informacin deber cruzar y dirigirse directamente al nivel
suficientemente alto para asegurar la accin apropiada.
d) Directrices sobre reportes
El proporcionar la informacin necesaria sobre las deficiencias de control
interno a la parte correcta es crtico para la continuada efectividad de un
sistema de control interno. Pueden establecerse para identificar que
informacin es necesaria en un nivel particular de toma de decisiones.
Tales protocolos estn basados en la regla general que dice que un
administrador debe recibir la informacin necesaria para afectar la accin o el
comportamiento de la gente bajo su responsabilidad, o para conseguir los
objetivos de la actividad. Un director ejecutivo normalmente esperar ser
advertido, por ejemplo, de las diversas infracciones serias a las polticas y a los
procedimientos. Tambin espera informacin de apoyo sobre la naturaleza de
los asuntos que pueden tener consecuencias financieras significativas o
implicaciones estratgicas, o que puedan afectar la reputacin de la entidad.

26

[AUDITORIA I

Los administradores principales esperan ser advertidos de las deficiencias de

control que afectan sus unidades.
Los protocolos son establecidos por los supervisores, quienes les definen a los
subordinados qu asuntos deben informarse. El grado de especificidad variar,
usualmente incrementndose a los niveles bajos de la organizacin. Puesto
que los protocolos de informacin pueden inhibir los reportes efectivos si la
definicin hecha es demasiado estrecha, ellos pueden engrandecer el proceso
de informacin si se les provee de la flexibilidad suficiente.

27

[AUDITORIA I

III.

INFORME COSO II GESTIN DE RIESGO CORPORATIVO(ERM)

A.

ANTECEDENTES
Hacia fines de Septiembre de 2004, como respuesta a una serie de escndalos,
e irregularidades que provocaron prdidas importante a inversionistas,
empleados y otros grupos de inters.
Nuevamente el Committee of Sponsoring Organizations of the Treadway
Commission, public el Enterprise Risk Management Integrated Framework y
sus aplicaciones tcnicas asociadas.
Ampla el concepto de control interno, proporcionando un foco ms robusto y
extenso sobre la identificacin, evaluacin y gestin integral de riesgo.
En septiembre de 2004 se publica el estudio ERM (Enterprise Risk
Management) como una ampliacin de Coso 1, de acuerdo a las conclusiones
de los servicios de Pricewaterhouse a la comisin

B.

DEFINICIN
La administracin de riesgos es un proceso efectuado por la junta de directores
de una entidad, por la administracin y por otro personal aplicado en el
establecimiento de la estrategia ya travs del emprendimiento, diseado para
identificar los eventuales potenciales que pueden afectar la entidad, y para
administrar los riesgos que se encuentran dentro de su apetito por el riesgo a fin
de proveer seguridad razonable en relacin con el logro de los objetivos de la
entidad.
El COSO II pretende ser una herramienta para la administracin de riesgos
empresariales al desarrollar principios integrales, terminologa comn y una gua
prctica de implementacin, que soporte los programas en las entidades, para
desarrollar el proceso de la administracin de riesgos.

C.

OBJETIVOS

28

Objetivos estratgicos. Se trata de los objetivos establecidos al ms alto

nivel, y relacionados con el establecimiento de la misin y visin de la
compaa.

[AUDITORIA I

D.

29

Objetivos operativos. Se trata de aquellos relacionados directamente con

la eficacia y eficiencia de las operaciones, incluyendo por supuesto objetivos
relacionados con el desempeo y la rentabilidad.

Objetivos relacionados con la informacin suministrada a terceros. Se

trata de aquellos objetivos que afectan a la efectividad del reporting de la
informacin suministrada (interna y externa) y va ms all de la informacin
estrictamente financiera.

Objetivos relacionados con el cumplimiento regulatorio. Se trata de

aquellos objetivos relacionados con el cumplimiento por parte de la
compaa con todas aquellas leyes y regulaciones que le son aplicacin

BENEFICIOS

Conocimiento ms exhaustivo de los riesgos que afectan a la organizacin,

desde diversos puntos de vista (riesgos estratgicos, de reputacin,
operativos, regulatorios, de reporting, financieros, )

Gestin ms eficaz del control sobre los riesgos, ya que permite estar
prevenido y anticiparse a los mismos.

Identificacin proactiva y aprovechamiento de oportunidades de

diferenciacin frente a competidores.

Respuesta ms rpida y mejor a los cambios en el entorno a los mercados

y a las expectativas de los grupos de inters.

Ayuda en el cumplimiento con las exigencias del regulador en materia de

gestin y control de los riesgos del negocio.

Asignacin mejor y ms eficiente de recursos para la gestin de riesgos y

oportunidades.

Toma de decisiones ms segura, evitando sorpresas derivadas de

riesgos no identificados.

Mejor previsin del posible impacto de los riesgos que afectan a la

organizacin.

[AUDITORIA I

Mayor identificacin de oportunidades por parte de la direccin.

Establecimiento de una base comn para la comprensin y gestin del

riesgo en la organizacin y, especialmente, en el consejo de administracin.
Aumento de la credibilidad y confianza ante los mercados y los diversos
grupos de inters.

E.

Mejora de la reputacin corporativa de la compaa.

Mayor probabilidad de xito de la implantacin de la estrategia.

COMPONENTES DEL COSO II

A diferencia del COSO I, este COSO se compone de 8 elementos:
1. Ambiente de control
2. Establecimiento de objetivos
3. Identificacin de eventos
4. Valoracin de riesgos
5. Respuesta al riesgo
6. Actividades de control
7. Informacin y comunicacin
8. Monitoreo

30

[AUDITORIA I

1. Ambiente de control:
Constituye la base de todos de los componentes de gestin de riesgos.
Proporciona disciplina y estructura e influye en la forma como deben ser establecidas
las estrategias y objetivos organizacionales, como se deben estructurar las actividades
empresariales y la forma como los riesgos se deben identificar, evaluar y tratar.
Asimismo, determina el diseo y funcionamiento de las actividades de control, los
sistemas de informacin y las actividades de monitoreo. El ambiente interno determina
la forma como las personas en las organizaciones deben percibir y a afrontar el control
y el riesgo. Establece como base fundamental de la empresa a las personas (integridad,
los valores ticos y la competencia) y el entorno en el que actan. El ambiente interno
incluye: la filosofa de la gestin de riesgos, el apetito de riesgo, la integridad y los
valores ticos, el compromiso por la competencia, estructura organizacional, asignacin
de autoridad y responsabilidad, y normas para recursos humanos.
2. Establecimiento de objetivos:
Los objetivos en la compaa deben ser definidos antes de que se determinen
los riesgos que puedan afectar el logro de los mismos. Los objetivos se definen a escala
estratgica, definiendo con ellos una base para los objetivos operativos, de informacin
y de cumplimiento. Las organizaciones se enfrentan a riesgos internos y externos; una
condicin fundamental para la identificacin, evaluacin y respuesta hacia los riesgos,
es fijar los objetivos que deben estar alineados con el riesgo aceptado por la compaa.
La gestin de riesgos empresariales asegura que la direccin ha definido un proceso
para fijar objetivos, que los objetivos seleccionados apoyan la misin de la entidad y se
alinean con ella, y que se es consistente con el riesgo aceptado. Los objetivos se
dividen en cuatro categoras:

31

Objetivos estratgicos: se relacionan con las metas de alto nivel, alineados con
y apoyando la misin.

[AUDITORIA I

Objetivos operacionales: relacionados con la efectividad y eficiencia de

las operaciones de la compaa. Incluyen metas de desempeo y de rentabilidad.

Objetivos de informacin (presentacin de reportes): relacionados con

la efectividad de la presentacin de reportes de la organizacin. Incluyen
reporte interno y externo e informacin financiera y no financiera.

Objetivos de cumplimiento: relacionadas con el cumplimiento de leyes

y regulaciones aplicables.

3. Identificacin de Riesgos:
La administracin identifica eventos potenciales, que en caso de materializarse, afecten
la compaa, y determina si representan oportunidades o si pueden afectar
negativamente la capacidad de la empresa para llevar a cabo su estrategia y lograr los
objetivos. Las oportunidades se redireccionan hacia la estrategia o hacia los procesos
para fijar objetivos Los factores internos y externos que pueden generar riesgos a la
organizacin, incluyen: -Factores externos: econmicos, medioambientales, polticos,
sociales, y tecnolgicos. Factores internos: infraestructura, personal, procesos,
tecnologa. Algunas tcnicas para la identificacin de riesgos son: inventarios de riesgos
(comunes a empresas de un determinado sector, o a un proceso o actividad especfica),
anlisis interno (mediante reuniones con el personal), dispositivos de escala o umbral
(dispositivos que alertan a la direccin respecto a reas con problemas comparando
transacciones o eventos actuales con criterios predefinidos), talleres de trabajo o
entrevistas, anlisis de flujo del proceso, indicadores de eventos importantes y
metodologa para datos de eventos con prdidas (registro de eventos)
4. Valoracin o Evaluacin de riesgos:
La evaluacin de riesgos facilita a la administracin el entendimiento de la forma como
los riesgos potenciales podran impactar la consecucin de los objetivos. Los riesgos se
evalan desde una doble perspectiva (probabilidad e impacto), mediante la combinacin
de mtodos cualitativos y cuantitativos. Los riesgos se evalan en un doble enfoque:
riesgo inherente (aquel que una entidad enfrente en ausencia de controles para mitigar
su probabilidad o impacto) y riesgo residual (es el riesgo que permanece despus de
que la administracin ha implementado medidas de control).Las tcnicas cualitativas
para la evaluacin de riesgos, generalmente se utilizan cuando los riesgos no facilitan
su cuantificacin o cuando no hay disponible datos suficientes y confiables para una
evaluacin cuantitativa o la obtencin y anlisis de ellos no resulte eficaz por su alto
costo.
5. Respuesta al riesgo:
Las tcnicas cuantitativas otorgan ms precisin y se usan en actividades complejas,
para complementar las tcnicas cualitativas. Algunos ejemplos de tcnicas cuantitativas
de evaluacin de riesgos son:

32

[AUDITORIA I

Benchmarking: proceso comparativo entre entidades, que enfoca eventos o

procesos concretos y compara medidas y resultados
Modelos probabilsticos: se evala la probabilidad e impacto a partir de datos
histricos o resultados simulados que reflejan hiptesis de comportamiento
futuro
Modelos no probabilsticos: aplican hiptesis subjetivas para estimar el impacto
de eventos sin una probabilidad asociada cuantificada.
Las categoras de respuesta al riesgo son:

Evitarlo: Se toman acciones de modo de descontinuar las actividades que

generan riesgo
Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad
de ocurrencia del riesgo o ambos.
Compartirlo: Se toman acciones de modo de reducir el impacto o la
probabilidad de ocurrencia al transferir o compartir una porcin del riesgo.
Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de
ocurrencia del riesgo.
Al seleccionar la respuesta al riesgo, se debe analizar el efecto sobre la probabilidad y
sobre el impacto, as como los costos y beneficios y, finalmente, se debe seleccionar
aquella respuesta al riesgo que site el riesgo residual dentro de la tolerancia hacia el
riesgo definida por la empresa.

6. Actividades de control:
Son las polticas y procedimientos que ayudan a asegurar que se lleven a cabo las
medidas seleccionadas en respuesta a los riesgos identificados. Las actividades de
control se desarrollan en todos los niveles y en todas las funciones. Incluye actividades
como: aprobaciones, autorizaciones, verificaciones, conciliaciones, segregacin de
funciones, seguridad de los activos y revisiones de funcionamiento operativo.
7. Informacin y comunicacin:
Las organizaciones deben identificar, captar y comunicar informacin relevante, en un
modo y plazo tal, que las personas puedan llevar a cabo sus responsabilidades. La
informacin es necesaria en todos los niveles, para poder identificar, evaluar y
responder a los riesgos. Todos los funcionarios de la organizacin deben recibir un
mensaje claro de la direccin, de considerar de forma seria las responsabilidades de
gestin de los riesgos organizacionales, con el fin de que puedan entender su papel en
dicha gestin y cmo las actividades individuales se relacionan con las actividades de
los dems. Debe existir en las organizaciones, medios eficaces para comunicar hacia
arriba la informacin significativa; as como medios que permitan un comunicacin
adecuada con terceros (clientes, proveedores, reguladores y accionistas).
8. Monitoreo:
La gestin de riesgos empresariales se debe monitorear, con el fin de determinar
la presencia y funcionamiento de sus componentes a travs del tiempo, mediante
actividades permanentes de supervisin, evaluaciones independientes o una

33

[AUDITORIA I

combinacin de ambas. El alcance y frecuencia de las evaluaciones, depender de la

evaluacin de riesgos y la eficacia de los procedimientos de supervisin permanente.
F.

LIMITACIONES DEL COSO II

Las limitaciones inherentes al sistema de control interno, son las mismas
que tienen los sistemas de administracin de riesgos:

Juicios humanos en la toma de decisiones.

Resquebrajamientos: Fallas humanas (errores y equivocaciones)

Colusin de dos o ms personas.

Desbordamiento (violacin) del sistema de control interno por parte de la

administracin.

Anlisis costo beneficio de los controles.

Eventos externos que afecten negativamente el negocio.

RELACION ENTRE COSO I Y COSO II

34

[AUDITORIA I

COSO III
1.- ACTUALIDAD
En mayo del 2013 se ha publicado la tercera versin COSO III. Las novedades
que introducir este Marco Integrado de Gestin de Riesgos son:
Mejora de la agilidad de los sistemas de gestin de riesgos para
adaptarse a los entornos
Mayor confianza en la eliminacin de riesgos y consecucin de objetivos
Mayor claridad en cuanto a la informacin y comunicacin.
El pasado 14 de mayo se public la actualizacin de COSO I.
Ya es oficial, el Committe of SponsoringOrganizations of
theTreadwayCommission acaba de publicar la esperada actualizacin del Marco
sobre Control Interno editado en 1992.
2.- ETAPAS
No puede decirse que haya sido una labor breve, pues como en la propia
powerpoint que ha sido difundida por el citado Committe las etapas para
conseguirlo han sido:
2010. Evaluacin y encuestas a las partes interesadas.
2011. Diseo y estructura marco actualizado
2012. Exposicin pblica, evaluacin y mejoras
2013. Finalizacin.
3.- CAMBIOS

35

[AUDITORIA I

El camino recorrido en la actualizacin ha permitido que se haya podido seguir

con detalle la evolucin de los cambios que finalmente se han materializado, por
lo que la primera conclusin es que esta nueva edicin no aporta sorpresas,
pues sus previsibles modificaciones la hemos podido conocer a lo largo del
proceso, fundamentalmente desde la exposicin pblica del borrador sometido a
consulta.
Aunque a continuacin podamos verlo con algn detalle, podemos decir que los
5 componentes de Control Interno no varan con respecto al Marco original de
1992. No obstante, los principios y puntos de enfoque s que han introducido
cambios claves todos ello con el objetivo de mejorar y facilitar la implantacin y
mantenimiento de Sistema de Control Interno.
A continuacin enumeramos dichos cambios:

Se aplica un enfoque basado en 17 principios.

Aclara la necesidad de establecer los objetivos estratgicos como condicin
previa a la fijacin de los objetivos de Control Interno.
Refleja la relevancia incrementada de la Tecnologa de la Informacin
Fortalece los conceptos de Gobierno Corporativo.
Ampla el objetivo del reporte financiero, pasando a ser reporte en general.
Fortalece la consideracin de las expectativas contra el fraude.
Considera los diferentes modelos de negocio y estructuras organizacionales.

4.- PRINCIPIOS
A continuacin detallamos estos diecisiete principios con los que implementar un
adecuado Control Interno, relacionndolos con sus correspondientes elementos:
Entorno de Control
1.- La Organizacin ha de demostrar su compromiso con la integridad y los
valores ticos.
2.- El Consejo de Administracin debe demostrar independencia en la gestin y
ejercer la supervisin del desarrollo y ejecucin del control interno.
3.- La alta direccin debe establecer, con la supervisin del Consejo de
Administracin: la estructura, lneas de reporting, autoridad y
responsabilidad en la consecucin de objetivos.
4.- En sinfona con los objetivos, la Organizacin debe demostrar su
compromiso para atraer, desarrollar, y retener personas competentes.
5.- En la consecucin de los objetivos, la Organizacin debe disponer de
personas responsables para atender sus responsabilidades de Control
Interno.
Evaluacin de Riesgos
6.- La Organizacin ha de especificar los objetivos con suficiente claridad para
permitir la identificacin y evaluacin de los riesgos relacionados.
7.- La Organizacin debe identificar y evaluar sus riesgos.
8.- La Organizacin gestionar el riesgo de fraude.

36

[AUDITORIA I

9.- La Organizacin debe identificar y evaluar los cambios importantes que

podran impactar en el sistema de control interno.
Actividades de Control
10.- La Organizacin ha de seleccionar y desarrollar actividades de control que
contribuyan a la mitigacin de los riesgos para el logro de sus objetivos.
11.- La Organizacin seleccionar y desarrollar Controles Generales sobre
Tecnologa de la Informacin
12.- La Organizacin implementa sus actividades de control a travs de
polticas y procedimientos adecuados
Informacin y Comunicacin
13.- La Organizacin ha de generar la informacin relevante para respaldar el
funcionamiento de los otros componentes de Control Interno.
14.- La Organizacin compartir internamente la informacin, incluyendo los
objetivos y responsabilidades para el control interno, necesaria para
respaldar el funcionamiento de los otros componentes de Control Interno.
15.- La Organizacin comunicar externamente las materias que afecten al
funcionamiento de los otros componentes de Control Interno.

Actividades de Monitorizacin
16.- La Organizacin llevar a cabo evaluaciones continuas e individuales, con
el fin de comprobar si los componentes del control interno estn presentes
y estn funcionando.
17.- La Organizacin evala y comunica las deficiencias de control interno.
Principios que lgicamente introducen ciertos cambios en los componentes del
Control Interno, de los que destacaramos el correspondiente a la evaluacin de
los riesgos que, a partir que ahora, han de incluir los conceptos
de velocidad y persistencia de los riesgos como criterios para evaluar la criticidad
de los mismos.
La velocidad de riesgo se refiere a la rapidez con la que impacta un
riesgo en la organizacin una vez este se ha materializado, es decir, hace
referencia al ritmo con el que se espera que la entidad experimente el
impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto
despus de que le riesgo se haya materializado.
Adicionalmente a la actualizacin de los 5 componentes de Control Interno,
tambin se ha modificado la informacin acerca de los Roles y
Responsabilidades de los distintos participantes en el proceso, tales como:
Las responsabilidades del CEO y CFO para que formalmente asuman la
efectividad del control interno en ciertas jurisdicciones.
La actividad a desarrollar por los distintos tipos de Comits y su campo
de actuacin.

37

[AUDITORIA I

Se insiste en la necesidad de incorporar, aparte de los auditores

externos, a otros proveedores de aseguramiento evaluadores con los que
completar los diferentes tipos de revisin que puede realizar una entidad
sobre su control interno (riesgos medioambientales, prcticas de
comercio justo o seguridad laboral, entre otros).
Se recogen las exigencias reguladoras y legislativas, como por ejemplo
Sarbanes-Oxley o el Sistema de Control Interno de la Informacin
Financiero espaol, sobre la informacin distribuida a los mercados, por
la que la Gerencia de las compaas deben certificar la eficacia del
control interno de su compaa sobre el reporte financiero.
Se incluye una seccin especfica para los proveedores externos de
servicios, sealando que la Direccin no puede olvidar su responsabilidad
en la gestin de los riesgos de los procesos externalizados. Debiendo
implantar un programa para evaluar dichas actividades realizadas por
otros en su nombre, y evaluar la eficacia del sistema de control interno
sobre las actividades realizadas por los proveedores externos de
servicios.
Como vemos los cambios no son complicados de entender, ya que son
consecuencia de la evolucin acontecida a lo largo de los 20 aos de existencia
de este protocolo. En concreto, y en opinin de los expertos que han opinado
sobre el tema, debido fundamentalmente por:
La variacin de los modelos de negocio como consecuencia de la
globalizacin.
Una mayor necesidad de informacin a nivel interno, fruto de los cambios
cada vez ms rpidos en el entorno.
El incremento del nmero y complejidad de las normativas aplicables al
mundo empresarial a nivel internacional.
Las nuevas expectativas sobre la responsabilidad y competencias de los
gestores de las organizaciones.
El incremento de las expectativas de determinados grupos de inters
(inversores, los reguladores, etc.) sobre la prevencin y deteccin del
fraude.
El uso de las nuevas tecnologas y su constante desarrollo.
Las nuevas exigencias de los reguladores y otros grupos de inters en
relacin a la fiabilidad de la informacin reportada.

Motivos por lo que, el nuevo COSO no nos obligar a introducir cambios

inesperados en los procedimientos de Control Interno aplicables en las
Organizaciones, pues lo que esta nueva edicin representa la materializacin
formal de los cambios que evolutivamente se haban observado necesarios
introducir con los que eficiencia el Control Interno de nuestras empresas, sin
olvidar la inter-relacin que existe entre el denominado COSO II (ERM) y el
COSO I, que ahora se ve explcitamente reconocida.

38

[AUDITORIA I

Gua para la Implementacin del Sistema de Control Interno de las entidades del
Estado
RESOLUCIN DE CONTRALORA N 458-2008-CG

Rene lineamientos, herramientas y mtodos y, expone con mayor amplitud los conceptos
utilizados en las Normas de Control Interno; con la finalidad de orientar su efectiva y adecuada
implementacin, y para coadyuvar a la mejora de la gestin pblica y al logro de los objetivos y
metas institucionales.
NORMAS DE CONTROL INTERNO Y GUA DE IMPLEMENTACIN

39

[AUDITORIA I

Se conforma el
comit de Control
Interno que
Acta de Compromiso para la Implementacin Implementar,
30/06/2009
del Control Interno en el INICTEL-UNI
mantendr y
perfeccionar el
sistema de control
interno (SCI)
Ley 28716 Ley de Control Interno

Resolucin de Contralora General N 3202006-CG

Fe de Erratas RC-320-2006

Resolucin de Contralora General N 4582008-CG

Ley de Control
Interno de las
entidades del
estado

18/04/2006

Contralor General
(e) aprueba
03/11/2006
Normas de Control
Interno.
16/11/2006
Contralor General
autoriza aprobar la
Gua para la
Implementacin
30/10/2008
del Sistema de
Control Interno de
las entidades del
Estado

RESUMEN:
La Gua para la Implementacin del Sistema de Control Interno de las entidades del Estado
tiene como objetivo principal proveer de lineamientos, herramientas y mtodos a las entidades
del Estado para la implementacin de los componentes que conforman el Sistema de Control
Interno (SCI) establecido en las Normas de Control Interno (NCI). As tambin se pueden
sealar los objetivos siguientes:

40

Servir de referencia para la implementacin o adecuacin del Sistema de Control

Interno, y
Promover la aplicacin de una estructura de control interno uniforme que se adapte a
cada entidad

[AUDITORIA I

La Contralora General de la Repblica (CGR) ha elaborado la presente gua con la finalidad

que este constituya un documento que permita una adecuada implementacin del Sistema de
Control Interno (SCI), as como dar orientacin sobre herramientas de gestin que se podran
implementar de acuerdo con la naturaleza y recursos de las entidades.
Con la finalidad de fortalecer la organizacin y contribuir al logro de sus objetivos, la gua
considera tres fases para el proceso de implementacin del Sistema de Control Interno (SCI):
La primera fase es la Planificacin, la cual tiene como objetivo la formulacin de un
Plan de Trabajo que incluya los procedimientos orientados a implementar
adecuadamente el SCI, en base a un diagnstico previamente elaborado. Son aspectos
inherentes a esta fase asegurar el compromiso de la Alta Direccin y la conformacin de
un comit de Control Interno;
La segunda fase es la Ejecucin, en la que se implantar el SCI en sus procesos,
actividades, recursos, operaciones y actos institucionales, para lo cual la entidad
procede al desarrollo del Plan de Trabajo para la implantacin del SCI;
La tercera fase es la Evaluacin, en la que se evalan los avances logrados y las
limitaciones encontradas en el proceso de implementacin como parte de la
autoevaluacin mencionada en el componente de Supervisin.
1. PLANIFICACIN
En esta fase se considera la importancia de establecer el compromiso de todos los niveles
organizacionales de la entidad y se plantea la formalizacin de dicho compromiso mediante
documentos que reflejen las acciones a seguir para la implementacin. Entre las acciones
sugeridas en esta fase, estn la formulacin de un Diagnstico de la situacin actual del SCI de
la entidad, lo que facilitar la posterior elaboracin de un Plan de Trabajo. Este comprende las
acciones apropiadas que deben seguirse para la implementacin del SCI que asegure
razonablemente su efectivo funcionamiento. Para ello se plantean como condiciones previas la
necesidad de contar con el Compromiso formal y por escrito de la Alta Direccin con el proceso
de implementacin y la constitucin de un Comit de Control Interno responsable del mismo.
1.1. COMPROMISO DE LA ALTA DIRECCIN
Es importante que el Titular y la Alta Direccin se comprometan formalmente en la
implementacin del SCI, as como velar por su eficaz funcionamiento. Para ello se sugiere
que las entidades cuenten con un documento que evidencie dicho compromiso en relacin
con el proceso de implementacin, para lo cual se sugiere elaborar un Acta de Compromiso
u otro documento similar, as como la designacin formal de los responsables. En tal sentido
el comit constituye una instancia a travs de la cual se monitorea el proceso de
implementacin del SCI.
1.1.1. Acta de compromiso

41

[AUDITORIA I

La Alta Direccin deber suscribir y difundir en toda la entidad el Acta de Compromiso, la

que pone de manifiesto la necesidad e importancia de implementar un SCI eficaz. En dicho
documento se deber invocar a todos los servidores y funcionarios, que conforman la
entidad, para que participen activamente en la implementacin del SCI. El Acta deber
incluir la conformacin de un comit encargado de dirigir la adecuada implementacin del
SCI.
1.1.2. Constitucin del Comit
Un paso importante para implementar un SCI eficaz es la constitucin de un Comit de
Control Interno encargado de poner en marcha las acciones necesarias para la adecuada
implementacin del SCI y su eficaz funcionamiento, a travs de la mejora continua.
1.2. DIAGNSTICO
El Diagnstico se presenta como un medio de anlisis para determinar el estado situacional
actual del SCI, con respecto a lo establecido por las NCI aprobadas por la CGR. Habindose
establecido los compromisos de la Alta Direccin para el proceso de implementacin del
SCI, el Comit de Control Interno tendr a su cargo la realizacin de un Diagnstico que,
mediante la recopilacin, estudio y anlisis del sistema de control interno existente en la
entidad, permitir tomar conocimiento de su situacin actual y de su grado de desarrollo. El
Diagnstico que constituye una etapa previa al proceso de implementacin del SCI en todos
los niveles de la organizacin, debe ser realizado bajo el enfoque conocido como top down
(descendente, de lo general hacia lo particular), esto quiere decir que se empieza con un
diagnstico de los controles que estn a un nivel general de la entidad, para luego pasar de
manera progresiva a los controles que estn a nivel de procesos o actividades. Los
resultados del Diagnstico deben permitir a la entidad conocer las acciones necesarias a
seguir para dar inicio a la etapa de implementacin del SCI. Para ello, como parte del
diagnstico, se deber evaluar, entre otros aspectos:
(i)
(ii)
(iii)
(iv)
(v)
(vi)
(vii)
(viii)

el nivel de desarrollo y organizacin del SCI;

los elementos de control que conforman el sistema existente;
las deficiencias, vacos y oportunidades de mejora que presenta el sistema;
los ajustes o modificaciones que deben desarrollarse;
los componentes y normas de control que deben ser implementados;
las prioridades en la implementacin (identificacin de los principales procesos crticos);
una estimacin de los recursos econmicos, materiales y de personal requeridos para la
implementacin,
los lineamientos a considerar por el equipo institucional para su plan de trabajo.

Los resultados deben ser plasmados en un informe que ser presentado a la Alta Direccin
de la entidad, el mismo que contendr conclusiones y recomendaciones, producto del
anlisis realizado. Tal informacin constituir la base para la formulacin del Plan de Trabajo
para la implementacin del SCI.
1.2.1. Programa de trabajo

42

[AUDITORIA I

Para dar inicio al proceso de diagnstico, ser necesario que el Comit elabore y apruebe
un programa de trabajo, el cual contendr las actividades a desarrollar y su cronograma.
El programa contemplar, entre otros, lo siguiente:
Objetivos del diagnstico
Alcance del diagnstico: Controles a nivel entidad o general bajo el marco de las NCI
Descripcin de las actividades a desarrollar
Cronograma de trabajo (con fechas programadas de inicio y trmino)
Responsable de cada actividad.
1.2.2. Recopilacin de informacin
Se deber identificar, clasificar y seleccionar la informacin interna de tipo documental que
regule o contenga informacin relacionada con los controles establecidos en la entidad, as
como sobre sus procesos. Algunos de los documentos ms comunes a consultar son:
Organigrama
Manuales (de organizacin y funciones, de procedimientos, entre otros)
Polticas institucionales
Acuerdos, oficios, circulares y lineamientos internos
Principales metas y objetivos
Reportes estadsticos e indicadores
Informacin financiera y presupuestal
Evaluaciones, diagnsticos, informes situacionales, entre otros
Observaciones, y recomendaciones de auditora interna y externa.
Asimismo, existen tcnicas (verbales, oculares, documentales y escritas) que permitirn
obtener mayor informacin.
1. Verbales: Consisten en obtener informacin oral mediante averiguaciones o
indagaciones dentro o fuera de la entidad, sobre posibles debilidades en la aplicacin
de los procedimientos, prcticas de control interno u otras situaciones que el evaluador
considere relevantes. Algunas tcnicas verbales pueden ser:
a) Indagacin: consiste en la averiguacin mediante la aplicacin de entrevistas
directas al personal de la entidad o a terceros.
b) Encuestas, cuestionarios o listas de verificacin: es la aplicacin de preguntas,
relacionadas con las acciones realizadas por la entidad, para conocer la verdad de los
hechos, situaciones u operaciones.
2. Oculares: Consisten en verificar en forma directa y paralela, la manera cmo los
responsables desarrollan y documentan los procesos o procedimientos, mediante los
cuales la entidad ejecuta sus actividades. Algunas tcnicas oculares pueden ser:
a) Observacin: consiste en la contemplacin a simple vista, que realiza el equipo de
trabajo durante la ejecucin de una actividad o proceso.

43

[AUDITORIA I

b) Comparacin o confrontacin: es cuando se fija la atencin en las operaciones

realizadas por la entidad y se contrastan con los lineamientos normativos de control
establecidos para ello, pudiendo descubrir sus relaciones e identificar sus diferencias.
c) Revisin selectiva: radica en el examen de ciertas caractersticas importantes que
debe cumplir una actividad, informes o documentos, seleccionndose as parte de las
operaciones que sern evaluadas o verificadas.
3. Documentales: Consisten en obtener informacin escrita para soportar las
afirmaciones, anlisis o estudios realizados por el evaluador. Estas pueden ser:
a) Comprobacin: consiste en verificar la evidencia que apoya o sustenta las
operaciones evaluadas, con el fin de corroborar su autoridad, legalidad, integridad,
propiedad, veracidad.
b) Revisin analtica: consiste en el anlisis de ndices, indicadores, tendencias y la
investigacin de las fluctuaciones, variaciones y relaciones que resulten inconsistentes o
se desven de las operaciones pronosticadas.
4. Escritas: Consisten en reflejar informacin importante para el trabajo del evaluador, tal
como las que se sealan a continuacin:
a) Anlisis: consiste en la separacin de los elementos o partes que conforman una
operacin, actividad, o proceso, con el propsito de establecer sus propiedades y
conformidad con los criterios de orden normativo y tcnico; permite identificar y clasificar
para su posterior anlisis, todos los aspectos de mayor significacin y que en un
momento dado pueden afectar la operatividad de la entidad; por ejemplo, el anlisis de
las NCI versus las polticas normativas internas establecidas por la entidad
b) Confirmacin: radica en corroborar la verdad, certeza o probabilidad de hechos,
situaciones, sucesos u operaciones, mediante datos o informacin obtenidos de manera
directa y por escrito de los funcionarios o terceros que participan o ejecutan las
operaciones; por ejemplo, se puede confirmar a travs de encuestas que el personal de
la entidad desconoce el accionar del control interno en las operaciones que realiza
c) Tabulacin: se realiza mediante la agrupacin de los resultados importantes
obtenidos en las reas y elementos analizados para arribar o sustentar las
conclusiones; por ejemplo, las encuestas realizadas al personal de la entidad pueden
ser tabuladas con la finalidad de cuantificar los resultados.

1.2.3. Anlisis de informacin

El Comit de Control interno efectuar el anlisis a la informacin obtenida como resultado
de la aplicacin del programa de trabajo, con el fin de identificar las debilidades de control
que presente el SCI de la entidad, en relacin con las NCI.
Para ello se recomiendan algunas herramientas que van a facilitar el anlisis de la
informacin, las cuales podrn ser utilizadas en forma individual o combinada, tales como
las que se sealan a continuacin.
1. Pruebas selectivas.
Permiten simplificar la labor total de evaluacin mediante la seleccin de muestras que
a juicio del evaluador sean representativas del alcance total de la revisin.

44

[AUDITORIA I

Es factible tambin que se puedan aplicar tcnicas de muestreo con la finalidad de

obtener una seleccin adecuada. A la muestra seleccionada se le aplicarn pruebas con
la finalidad de identificar las debilidades de control respectivas. Por ejemplo, de todos
los procesos que tiene la entidad se debern seleccionar algunos. De existir debilidades
en stos, se podr concluir sobre el resto del universo.
2. Entrevistas
La entrevista es una de las fuentes primarias de informacin para la obtencin de
informacin sobre polticas de control que podran estar pendientes de implementacin.
Las entrevistas podrn ser desarrolladas a nivel personal o grupal.
3. Encuestas
Las encuestas son tiles para obtener informacin estadstica sobre una muestra
representativa de las unidades de informacin seleccionadas (personal, jefes, gerentes,
directores, entre otros) que componen el universo de evaluacin. La informacin que se
obtenga como resultado de su aplicacin podr ser organizada de forma cuantitativa y
cualitativa.
El anlisis de esta informacin permitir obtener debilidades de control interno que no
se hayan podido identificar mediante pruebas o revisiones selectivas. Por ejemplo, se
puede desarrollar encuestas de percepcin al personal de la entidad sobre el
funcionamiento del SCI en la entidad; los mismos que podran brindar informacin sobre
el deficiente funcionamiento de algunos controles establecidos por la entidad.
4. Cuestionarios y listas de verificacin
El desarrollo de cuestionarios y listas de verificacin ser con base en criterios, normas
de control, buenas prcticas y otros aspectos adicionales que el evaluador considere
que la entidad deba cumplir.
La informacin que se obtenga como resultado de la aplicacin de estas herramientas
podr ser:
Validada a travs de pruebas de verificacin,
Analizada a travs de tcnicas cualitativas y cuantitativas.
Los cuestionarios y listas de verificacin debern ser desarrollados con apoyo de todas
las unidades, gerencias y jefaturas de la entidad.

1.2.4. Anlisis Normativo

Como parte del diagnstico se realizar un anlisis de la normativa interna que existe con
respecto de las NCI. ste consistir en elaborar una concordancia del marco normativo
interno de la entidad (resoluciones, directivas, reglamentos entre otros) con las NCI. La
normativa interna viene dada por aquellos procedimientos, actividades, tareas y controles
que regulan las operaciones de la entidad para el logro de los objetivos institucionales.
El anlisis de la normativa interna deber ser realizado considerando los objetivos de cada
uno de los componentes de las NCI.
A continuacin se presenta en el Cuadro 1 un modelo de Concordancia Normativa del SCI.

45

[AUDITORIA I

1.2.5. Identificacin de Debilidades y Fortalezas

Finalmente, tomando en consideracin el anlisis efectuando a la entidad con respecto a las
NCI, se podr mostrar los resultados de forma agrupada, por cada componente,
identificando las debilidades (con sus causas) y las fortalezas del SCI.
Componentes

Debilidades

Fortalezas

Causas

Ambiente de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y
Comunicacin
Supervisin
*Elaboracin: Comisin de elaboracin de la Gua para la implementacin del SCI.
1.2.6. Informe Diagnstico
Es el documento que contiene los resultados del diagnstico al SCI, el cual se presentar al
titular o a quien haga sus veces. Su objetivo es proporcionar informacin a la Direccin para
su toma de decisiones en lo que respecta a la adecuada implementacin y mejora del SCI.
Previo a su presentacin, debe haber sido discutido por el equipo de trabajo responsable del
diagnstico y puesto a consideracin de la Direccin de la entidad para su validacin.
Entre otros aspectos, el Informe de Diagnstico permitir establecer:
El nivel de desarrollo, organizacin y vigencia del SCI actual
Los elementos de control que conforman el SCI existente
Las deficiencias, vacos y oportunidades de mejora que presenta el SCI en operacin
Los ajustes o modificaciones que deben efectuarse
Los componentes y normas de control que deben ser implementados, y su priorizacin
Identificacin de los principales procesos y reas crticas
Las normas internas pendientes a implementar o actualizar
Una estimacin de los recursos econmicos, materiales y de personal requeridos para la
implementacin
Los lineamientos a considerar por el Comit de Control Interno para su plan de trabajo.

ESTRUCTURA DE INFORME DE DIAGNOSTICO

46

[AUDITORIA I

1.3.

PLAN DE TRABAJO

El Plan de Trabajo es el documento por el cual se definir el curso de accin a seguir para la
implementacin del SCI.
Como insumo principal para la elaboracin del Plan de Trabajo, se considerarn los
resultados proporcionados del Informe de Diagnstico conducentes a la implementacin de
las NCI.
Las acciones consideradas en el Plan de Trabajo deben guardar correlacin con los planes
operativos de la entidad, con el fin de asegurar los recursos necesarios y la sostenibilidad
del mismo.

47

[AUDITORIA I

Se debe considerar dos (2) fases en la elaboracin del Plan de Trabajo:

Descripcin de actividades y cronograma.
Desarrollo del Plan de Trabajo.
Descripcin De Actividades Y Cronograma
Se deber identificar las acciones conducentes a implementar del SCI. En ese sentido, los
pasos a seguir sern:
(a) Identificar y designar a las personas responsables para el diseo del plan, quienes a
su vez debern definir las herramientas o medios necesarios que les permitan alcanzar los
objetivos a trazar en el plan;
(b) Determinar los tiempos y plazos a considerar;
(c) Elaborar un cronograma de ejecucin de las actividades incluyendo la fecha de
culminacin.
Es necesario sealar que adicionalmente al Plan de Trabajo, se deberan considerar otros
documentos de coordinacin tales como: un cronograma general, la estructura organizativa,
los roles y responsabilidades y el plan de comunicacin.
Desarrollo del Plan de Trabajo
Para su desarrollo de considerarn los siguientes aspectos:
(a) Estructura organizativa
Establecer los niveles de autoridad y responsabilidad para el desarrollo y ejecucin del plan
de trabajo en concordancia con la planeacin. Dichas responsabilidades y autoridades se
deben definir claramente. A modo de ejemplo, se puede asumir la estructura mostrada en el
Cuadro siguiente.

48

[AUDITORIA I

(b) Elaboracin del cronograma general

Documento por el cual se organiza de manera resumida el Plan de Trabajo en sus diversas
etapas y en los tiempos programados para su ejecucin. Dicha informacin, adicional al
conocimiento del desarrollo de la implementacin de las NCI, brindar un mecanismo de
control con respecto del cumplimiento de los tiempos y grados de avance.
(c) Elaboracin detallada del Plan de Trabajo.
Presentacin de las diversas fases que componen las etapas del plan de trabajo, en la cual
se describen las actividades a desarrollarse para la consecucin del objetivo de implementar
el SCI.
El Plan de Trabajo debe contemplar aspectos definidos por la Alta Direccin y debe contener
bsicamente:
Reglamento de Funciones
Se elabora y formaliza sus objetivos y las funciones de sus integrantes, estableciendo la
metodologa y documentacin a emplear, as como el lugar, periodicidad y horario de sus
reuniones de trabajo.
Provisin de recursos
El equipo de trabajo debe determinar objetivamente para cada una de las actividades
programadas los recursos que requerir para su ejecucin. Al respecto, considerar que el
costo de los insumos, actividades e implementacin en general debe ser lo mnimo posible y
no mayor a los resultados o beneficios previstos.

Capacitacin
El equipo de trabajo debe definir las necesidades de capacitacin para dar cumplimiento a
los objetivos y actividades del Plan. La capacitacin abordar los conceptos, caractersticas

49

[AUDITORIA I

y dems aspectos necesarios para el adecuado diseo, implementacin y evaluacin de la

estructura de control interno.

2. EJECUCIN
En esta etapa se sealaran pautas y buenas prcticas para la implementacin o adecuacin de
SCI de acuerdo a lo sealado por la normativa vigente. Aqu se desarrollan detalladamente
cada uno de los componentes sealados en las NCI y se proponen herramientas que pueden
ayudar a la gestin de las entidades del Estado su implementacin.
El Comit o equipo encargado de la implementacin o adecuacin del SCI empezar tomando
en cuenta el Plan de Trabajo elaborado en la etapa de planificacin.
La implementacin se desarrollar de manera progresiva tomando en cuenta las siguientes
fases:
1. Implementacin a nivel entidad
2. Implementacin a nivel de proceso.
2.1. IMPLEMENTACIN A NIVEL DE ENTIDAD
En esta fase se iniciar con el diseo e implementacin de aquellos controles que estn a
nivel entidad o general, estos afectan al mismo tiempo a toda la entidad es decir a todos los
procesos, actividades y unidades de la organizacin.
En esta fase del proceso de implementacin, se establecer las polticas y normativas de
control necesarias para la salvaguarda de los objetivos institucionales, bajo el marco de las
NCI. Asimismo, esta fase ser previa a la implementacin a nivel de procesos o actividades,
ya que si no se disean e implementan los controles adecuados que afectan al
funcionamiento organizacional de la entidad no tendr sentido querer establecer o disear
controles que afecten a las actividades de los procesos ya que los mismos no garantizarn
el cumplimiento de los objetivos institucionales; por ejemplo:
Si no se cuenta con un adecuado plan estratgico que defina claramente los objetivos
institucionales en cumplimiento de la misin, no se podrn establecer procesos y
actividades eficaces que produzcan logros y metas
El no establecer polticas que fomenten y controlen los actos tica e integridad en el
personal, no se podr garantizar la disminucin actos de corrupcin en las operaciones
No se podr establecer y disear controles en las actividades y tareas si previamente no
se tiene identificado y documentados los procesos de la institucin.
De esta manera el anlisis propuesto comienza con implementar primero el SCI a nivel
entidad para luego descender a implementar los controles que regulan a los procesos y
actividades.

50

[AUDITORIA I

De otro lado los resultados obtenidos en la etapa de planificacin sern de utilidad para
definir las polticas y disposiciones de control necesarias a implementar, tomando en cuenta
los lineamientos establecidos en las NCI.
Componentes sealados en las NCI:

Implementacin del componente ambiente de control

De acuerdo con las NCI, la importancia de este componente radica en el establecimiento de
una cultura de control interno mediante el ejercicio de lineamientos y conductas apropiadas.
El ambiente de control es la base que sostiene a los dems componentes del control interno.
Sin un slido ambiente de control el adecuado establecimiento de los dems componentes
resulta ineficaz, tal como en toda buena construccin es fundamental colocar buenos
cimientos, ya que sin ellos sera imposible que una construccin sea estable y duradera.
Es preciso sealar que los controles que se establecern en este componente son aquellos
que afectarn a toda la organizacin (nivel de entidad).

Implementacin del componente evaluacin de riesgos

Para implementar el presente componente se disear y aplicar una metodologa para la
administracin de riesgos, identificando, analizando, valorando y dando respuesta a los
riesgos que est expuesta la institucin, optimizando los recursos disponibles a travs de la
minimizacin de las prdidas que pudieran presentarse como por la no consecucin de sus
objetivos.
Es preciso sealar que el presente componente permitir la identificacin de riesgos a nivel
de entidad y a nivel de procesos, para el primer caso estarn en funcin a los objetivos
institucionales de carcter general y el segundo en funcin de los objetivos de cada proceso.

Implementacin del componente actividades de control gerencial

La implementacin del componente actividades de control gerencial estar relacionada con
el anterior componente de evaluacin de riesgos y deber ser aplicada de manera conjunta
y en forma continua. Asimismo, las actividades de control gerencial que se presentan en la
NCI podrn ser implementados tanto a nivel de entidad como a nivel de procesos.

Implementacin del componente de informacin y comunicacin

El presente componente busca implementar los mecanismos y soportes de la informacin y
comunicacin dentro de una entidad.

Implementacin del componente supervisin

51

[AUDITORIA I

El presente componente permitir cerrar el proceso de control interno dentro de una entidad
buscando garantizar la adecuada implantacin de los controles y su funcionamiento.

2.2 IMPLEMENTACIN A NIVEL DE PROCESOS

La adecuacin a una gestin por procesos por parte de la entidad, ser fundamental para el
desarrollo de una implementacin o mejoramiento de controles a este nivel.
El tener identificados los procesos contribuye a que la entidad pueda identificar debilidades y
aportar en la eficiencia de las operaciones. El hecho de contribuir a mejoras en la entidad,
constituye el mejoramiento continuo a travs del cual se logra ser ms productivo y
competitivo.
Dado que un proceso tiene la capacidad de cruzar horizontal y verticalmente a toda la
entidad nos va a permitir conocer a toda la entidad y focalizarnos en:

Identificar los puntos crticos de riesgo operativo del proceso

Evaluar las tres E (eficiencia, eficacia y economa) de la entidad sobre

la base de objetivos estratgicos institucionales

Identificar y proponer acciones preventivas de la ocurrencia de eventos

no deseados (riesgos) y que sean preponderantes sobre los correctivos

Promover la adopcin de mejoras evitando su proliferacin

Promover la adopcin de mejoras evitando su proliferacin

Aplicar las NCI para evitar la discrecionalidad en el ejercicio de

facultades o en la aplicacin de recursos

Proponer mecanismos de autocontrol y autoevaluacin.

52

[AUDITORIA I

Para la implementacin del SCI a nivel de procesos se requiere que al

menos la entidad realiza los siguientes pasos:

a) La entidad debe tener pleno conocimiento de las condiciones que identifican un

proceso:

Debe describir las entradas y salidas

El proceso cruza uno varios lmites organizativos funcionales

Una caracterstica de los procesos es que son capaces de cruzar vertical y

horizontalmente toda la organizacin

Un proceso responde a la pregunta del qu? y no al cmo?

Debe ser fcilmente comprendido por cualquier persona de la entidad

El nombre asignado a cada proceso debe estar relacionado con los conceptos y
actividades que se realizan.

b) Identificacin de los procesos

Se debe contar con una lista de los procedimientos, actividades y tareas que realiza la
empresa, tomando en consideracin: El nombre asignado al proceso debe ser
representativo de lo que conceptualmente representa; la totalidad de las actividades que
desarrolla la empresa deben estar incluidas en alguno de los procesos listados; la forma
ms sencilla de identificar procesos propios es tomar como referencia otras listas afines al
sector en el cual se mueven y trabajan sobre la misma aportando las particularidades de
cada uno.
Es conveniente que el equipo de trabajo a cargo identifique en el mismo proceso los ciclos
de Planificar-Hacer-Verificar-Actuar (Ciclo de mejora continua).
c) Diagrama de Flujo
De acuerdo a las actividades identificadas en el proceso, ests debern representarse a
travs de un diagrama, en el que se puedan identificar con claridad los subprocesos y flujos
de informacin. Los diagramas debern validarse por parte de los responsables de dichos
proceso. El diagrama de flujo es una descripcin grfica del proceso, que puede ser
entendida por todos los niveles de la entidad; se debe cuidar que reflejen fielmente las

53

[AUDITORIA I

actividades, nivel de personal responsable, tiempos de ejecucin tipo de actividad, formato

de la informacin y controles existentes, entre otros aspectos.

d) Priorizacin de procesos
Una vez establecido la lista de los procesos de la entidad por el equipo de trabajo se deber
identificar los procesos crticos.
Para la determinacin de los procesos crticos, el equipo de trabajo debe calcular el impacto
del proceso, para cada proceso a revisar, se debe determinar una valoracin de la
importancia del proceso tomando en cuenta cuan involucrados se encuentran con los
objetivos estratgicos y las metas institucionales.
La entidad implementar esta fase progresivamente, comenzando con
sus procesos crticos, para luego seguir con los restantes, para esto el
comit o equipo encargado de implementar realizara lo siguiente:

Efectuar el seguimiento al proceso seleccionado, identificando primero, los objetivos

que estn involucrados en todo el proceso.
Seguidamente se identificar y evaluar los riesgos o eventos negativos que dificulten el
logro de los objetivos del proceso. El anlisis de los riesgos consiste en la identificacin
y anlisis de los puntos crticos que podran afectar la consecucin de las metas y
objetivos de los procesos, se realizar sobre informacin registrada en el diagrama de
flujo, adems de la obtenida por observacin directa. Asimismo, los elementos de
control y los riesgos que se identifiquen, sern sealados en los diagramas de flujo.
El desempeo de una entidad puede verse amenazado tanto por factores internos como
externos; dichos factores, a su vez, pueden incidir en las metas y objetivos.
La evaluacin de riesgos de una entidad debe tener en cuenta eventos adversos que
puedan surgir, siendo esencial que los riesgos ms relevantes sean identificados.
Despus de que se hayan identificado los riesgos del proceso deben llevarse a cabo un
anlisis y administracin de los mismos a travs de matrices y mapas de riesgos.
Una vez clasificados y cuantificados los riesgos se deben identificar los controles que
permitiran mitigar los riesgos, para esto se debe efectuar una evaluacin a la
suficiencia de estos mediante pruebas de cumplimiento, lo cual permitir implementar,
disear y establecer los controles necesarios. Asimismo, se deber tener en cuenta las

54

[AUDITORIA I

caractersticas y el cumplimiento de cada actividad de control con los objetivos de

control interno.
El equipo o comit de implementacin deber determinar criterios y parmetros para
medir el nivel del control en cuanto a criterios de eficiencia, eficacia y economa. A
continuacin se presenta un ejemplo de matriz para la evaluacin, diseo y
determinacin de los controles necesarios.
e) Diagnstico al proceso
Es el resultado de la evaluacin de los controles actuales y de los riesgos del proceso, los
mismos que deben describirse en forma precisa y clara.
El diagnstico describe los aspectos especficos de la problemtica detectada, las
debilidades del sistema de control interno, as como los riesgos que pudieran afectar el
cumplimiento de las metas y objetivos establecidos para el proceso evaluado.
Como punto final del diagnstico es la incorporacin de las acciones de mejoras a juicio del
equipo de trabajo acorde a la normativa correspondiente, sean las ms convenientes para
prevenir o dar solucin de raz a la problemtica y minimizar los riesgos detectados.

3. EVALUACIN DEL PROCESO DE IMPLEMENTACIN

Siguiendo el proceso de implementacin del SCI, la fase de evaluacin se presenta de
forma alternada y posterior a la evolucin de las fases de planificacin y ejecucin.
Este proceso de evaluacin deber ser efectuado en concordancia con las necesidades y
consideraciones que la entidad establezca como pertinentes, las cuales tendrn como
objetivo principal determinar con certeza que los procedimientos y mecanismos establecidos
se desarrollen de forma adecuada. En los casos que como producto de esta evaluacin se
detecten desviaciones o incumplimientos sustanciales, se deber tomar las medidas que
modifiquen los procedimientos para reorientar el cumplimiento del objetivo programado.
El resultado de esta evaluacin busca obtener informacin que aporte a la retroalimentacin
en el proceso de implementacin del SCI. Para ello se sugiere que el informe contenga
como mnimo lo siguiente:
1. Objetivos: Se identificarn aquellos objetivos que se quiere lograr en la presente
Evaluacin;
2. Alcance: Estar determinado por el periodo de evaluacin;
3. Cumplimiento del plan de trabajo: Se evaluar la utilidad que se le ha dado, y cmo se
han desarrollado las actividades en el proceso de implementacin, as mismo, se examinar
si es conveniente cambiar, agregar o retirar alguna actividad que no sea indispensable.

55

[AUDITORIA I

Tambin se podr sealar sobre las dificultades o inconvenientes ocasionados durante la

ejecucin de las actividades y dems situaciones que deban ser mencionadas;
4. Cronograma de actividades: Es necesario revisar los plazos de ejecucin de las
actividades que fueron programadas, si estas fueron realizadas acorde al cronograma y si el
tiempo fue suficiente para llevarlas a cabo;
5. Recursos necesarios: Es importante determinar si los recursos (humanos, logsticos y
de informacin) han sido suficientes;
6. Desempeo de los equipos de trabajo y participantes: Se evaluar el trabajo de los
equipos designados o participantes en el desarrollo de las diferentes actividades; se tendr
en cuenta si se requiere de una mayor participacin de la organizacin, con la finalidad de
apoyar labores especficas;
7. Limitaciones o debilidades: Aquellas que hayan sido detectadas durante la ejecucin de
la implementacin;
8. Conclusiones y recomendaciones: Se incluirn aquellas acciones correctivas que es
necesario implementar para la mejora del proceso de implementacin. Asimismo, en forma
resumida se determinar el nivel de implementacin alcanzado.

56

[AUDITORIA I

CONCLUSIONES

Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder
evaluar sus tendencias y prever sus efectos, a fin de determinar lo que a partir de hoy
debemos realizar para ayudar a las organizaciones a definir nuevos horizontes que
maximicen oportunidades.

Despus de la realizacin del presente trabajo, hemos llegado a las siguientes

conclusiones:
En el marco de control postulado a travs del Informe COSO, la interrelacin de los cinco
componentes (Ambiente de control, Evaluacin de riesgos, Actividades de control,
Informacin y comunicacin, y Supervisin) genera una sinergia conformando un sistema
integrado que responde dinmicamente a los cambios del entorno. Atendiendo a
necesidades gerenciales fundamentales, los controles se entrelazan a las actividades
operativas como un sistema cuya efectividad se acrecienta al incorporarse a la
infraestructura y formar parte de la esencia de la institucin. Sin embargo por una serie
de escndalos, e irregularidades que provocaron prdidas importante a inversionistas,
empleados y otros grupos de inters, nuevamente el Committee of Sponsoring
Organizations of the Treadway Commission, se vio en la necesidad de emitir el Marco
de Control denominado COSO II que segn su propio texto no contradice al COSO I,
siendo ambos marcos conceptualmente compatibles.
El modelo coso II complementa una metodologa de gran relevancia para toda aquella
organizacin que desee estar a la vanguardia en cuanto a la mejora continua de sus
procesos. El hecho de poder identificar eventos que puedan afectar a las organizaciones
de manera adelantada es un paso delante, una forma de actuar proactiva que redunda en
beneficios para las organizaciones si se toman las medidas de correccin necesarias en
el tiempo adecuado. En virtud de lo cual, como podemos ver en el modelo coso II, la
respuesta a los riesgos es un componente necesario ya que no es suficiente con
detectarlos y medirlos sino tambin se deben analizar las diversas formas de afrontarlos.

57

[AUDITORIA I

Debemos analizar y reflexionar detenidamente sobre el cambio que vivimos, para poder
evaluar sus tendencias y prever sus efectos. Es nuestro propsito actuar como agentes
del cambio y, por tanto, es nuestra responsabilidad estar a la vanguardia del cambio.

BIBLIOGRAFA
Libros:
&

Mantilla, Samuel. (2000). Control Interno Estructura Conceptual Integrada.

Segunda edicin. Ecoe Ediciones.

Pginas web:
&

Ladino, Enrique. Control Interno-Informe Coso

http://www.monografias.com/trabajos12/coso/coso2.shtml

&

http://fccea.unicauca.edu.co/old/tgarf/tgarfse90.html

&

http://www.monografias.com/muestreo estadstico/

&

http://www.mitecnologico.com/Main/MetodosTecnicasYHerramientasDeAuditoria

&

http://fccea.unicauca.edu.co/old/tgarf/tgarfse90.html

&

http://www.auditoria.uady.mx/arts/evaluacion%20cinterno.pdf

&

http://www.monografias.com/matriz-control/

58

[AUDITORIA I

&

59

http://www.inictel-uni.edu.pe/index.php/portal-de-transparencia2/248