1

UNIVERSIDAD CENTRAL DEL ECUADOR

FACILTAD DE CIENCIAS ADMNINISTRATIVAS
CARRERA DE CONTABILIDAD Y AUDITORÍA

ADITORÍA FINANCIERA II

COSO I
COSO II
COSO III

INTEGRANTES:
- EVELYN CANTOS
- PAOLA QUINGA
- ALISON VILLAVICENCIO
- CAROLINA ZAMBRANO

CURSO: CA 5-4
 2

COSO I

¿Qué es el COSO?

El Informe COSO es un documento que su contenido está dirigido a la implantación y

gestión del Sistema del Control Interno, ha sido de gran aceptación desde su primera
publicación en 1992. El Informe COSO se ha convertido en la mejor práctica y el estándar de
referencia para todo tipo de empresas públicas y privadas. (Rodríguez , 2017)
Es una comisión que fue formada por cinco organizaciones de contadores y
auditores de los Estados Unidos, que se llamó Committee of Sponsoring Organizations
of the Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway),
siendo estas organizaciones:

 La Asociación Americana de Contabilidad (AAA)

 El Instituto Americano de Contadores Públicos Certificados (AICPA)
 El Instituto de Auditores Internos (IIA)
 El Instituto de Contadores Gestión (IMA).
 Instituto de Ejecutivos Financieros (FEI)

Definición del Control Interno

El control interno antes de 1992 no tenía el mismo significado para todos,

existiendo diversas definiciones que generaba muchas interpretaciones a nivel personal
y entendimiento.
La organización COSO publicó el informe COSO I, integrando los diversos
conceptos en una sola definición: “Es un proceso efectuado por el consejo de
administración, la dirección y el resto del personal de una entidad, diseñado con el
objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de
objetivos dentro de las siguientes categorías:

 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de la leyes y normas que sean aplicables”
 3

Componentes de COSO I
El Informe Coso I se vale de diversos componentes para explicar el desarrollo del control
interno en una organización, y estos son:
1. Entorno de control.

2. Evaluación de riesgos.

3. Actividades de control.

4. Información y comunicación.

5. Supervisión.

1. Actividades de control
Concepto
Según Informe COSO I, las actividades de control son las políticas (qué debe
hacerse) y procedimientos (mecanismos de control) que ayudan a asegurar que las
respuestas de la dirección a los riesgos, se lleven a cabo de manera adecuada y oportuna.
Se realizan a lo largo de toda la organización, en todos los niveles y en todas las funciones.

Importancia

 Son el núcleo de los elementos de control interno.

 Aseguran que las respuestas al riesgo, se desarrollen adecuada y oportunamente.
 En ocasiones, constituyen en sí mismas respuestas al riesgo.
 Garantizan el cumplimiento de los objetivos generales de la organización, si están
alineadas con los tipos de respuesta al riesgo (evitar, mitigar, distribuir y aceptar).

Tipos de actividades de control

Las actividades de control se clasifican en tres categorías según los objetivos de control
de la entidad con la que estén relacionados:
 Las operaciones

 La confiabilidad de la información financiera

 El cumplimiento de leyes y reglamentos

 4

Algunos tipos de control se relacionan solamente con un objetivo o área específica, pero
en muchos casos las actividades de control pensadas para un objetivo, favorecen al
cumplimiento de otros. Por ejemplo, una tarea de control relacionada con la confiabilidad
de la información contable, contribuye con el cumplimiento de normas y leyes, y así
sucesivamente.

Controles de los sistemas de información

Los sistemas de información deben necesariamente ser controlados porque

desempeñan un papel fundamental en la gestión de las empresas ya que son la estructura
que soporta y por donde fluye y circula la información.
El presente análisis se ocupa de sistemas de información que incluyen tanto elementos
manuales como informatizados.
Las actividades de control en los sistemas informatizados pueden agruparse en dos
categorías:
 Controles Generales: son aquellos que se realizan sobre las operaciones del
centro de procesamiento de datos, la adquisición y mantenimiento de software, el
control de acceso y el desarrollo y mantenimiento de las aplicaciones. Estos
controles son aplicables a todos los sistemas, tanto si se trata de ordenadores
centrales, como miniordenadores o del entorno del usuario.

 Controles de aplicación: son aquellos que están diseñados para controlar el

funcionamiento de las aplicaciones. Permiten asegurar la totalidad y exactitud en
el proceso de transacciones, su autorización y su validez. Están orientados
principalmente a evitar que datos erróneos se introduzcan al sistema.
Los sistemas de información que son estrictamente manuales utilizan los mismos
tipos de controles, aunque adaptados según sea su naturaleza.

2. Información y comunicación

Conceptualización
Es un conjunto organizado de datos procesados, que constituyen un mensaje
sobre un determinado ente o fenómeno.
 5

Se necesita en todos los niveles de la organización para identificar, evaluar y

responder a los riesgos; y por otra parte para dirigir la entidad y conseguir sus objetivos.
La misma se utiliza para la toma de decisiones relativas a la actividad. La información
relevante es obtenida tanto de fuentes internas como externas, y debe ser identificada,
capturada y comunicada en tiempo y forma para que permita a los miembros de la
organización cumplir con sus responsabilidades.

Comunicación:

Es el proceso de transmisión y recepción de ideas, información y mensajes en el

que dos o más personas se relacionan entre sí, por medio de códigos similares. A través
de la comunicación, las personas obtienen información respecto a su entorno y la
comparten con el resto.
Importancia
 Posibilita que cada uno de los agentes –en todos los niveles- conozca cuál es su
función y responsabilidad para desempeñar su tarea en la organización.
 La dirección cuenta con información periódica y oportuna para orientar sus
acciones, en consonancia con los demás, hacia el mejor logro de los objetivos.
 Mantiene la información acorde con las necesidades de la empresa, al actuar
ésta, en un entorno de cambios constantes.

A continuación, siguiendo el Informe COSO I, se desarrollan los conceptos vinculados

anteriormente.
a) Sistema de información: es un “conjunto de componentes relacionados que
recolectan (o recuperan), procesan, almacenan y distribuyen información para
apoyar la toma de decisiones y el control en una organización”.
El sistema de información se diseña atendiendo a la Estrategia, Misión y al Programa de
Operaciones del organismo.
Sirve para:
 tomar decisiones a todos los niveles;

 evaluar el desempeño del organismo, de sus programas, proyectos, sectores,

procesos, actividades, operaciones, etc. y
 6

 rendir cuenta de la gestión.

La organización necesita información que le permita alcanzar todas las categorías de

objetivos: operacionales, financieros y de cumplimiento. Cada dato en particular ayuda a
lograr una o todas estas categorías de objetivos.
Los sistemas de información pueden ser computarizados, manuales o combinados.

b) Estrategias y sistemas integrados: Conforme al sitio Definición.mx, la

Estrategia es un “conjunto de acciones que son planificadas de manera tal que
contribuyan a lograr un fin u objetivo que nos hemos determinado previamente”.
El diseño de una arquitectura de sistemas de información y la adquisición de la tecnología
son aspectos importantes de la estrategia de una entidad y las decisiones respecto a la
tecnología resultan críticas para lograr los objetivos. La integración de las actividades
operativas de la empresa por medio de los sistemas de información puede suponer el éxito
de la misma.
c) Calidad de la Información: Es la disponibilidad de información adecuada en el
momento y lugar apropiados. La información permite a los funcionarios y
empleados cumplir sus obligaciones y responsabilidades.
Los avances en la recolección, procesamiento y almacenamiento de datos han dado
como resultado un crecimiento exponencial del volumen de datos. Con más datos
disponibles –a menudo en tiempo real- para más gente en una organización, el reto es
evitar la “sobrecarga de información”.

d) Contenido de la información: La información debe ser clara y adecuada al nivel

decisional. Se debe referir tanto a situaciones externas como internas, a cuestiones
financieras como operacionales. Para el caso de los niveles directivo y gerencial,
los informes deben relacionar el desempeño del organismo competente, con los
objetivos y metas fijados.
e) Flexibilidad al cambio: es la capacidad para adaptarse a los cambios,
modificando si fuera necesario su propia conducta para alcanzar determinados
objetivos cuando surgen dificultades, nueva información o cambios del medio, ya
sean del entorno exterior, de la propia organización, del cliente o de los
requerimientos del trabajo en sí.
 7

Comunicación
 Comunicación externa: es aquella que se establece con agentes ajenos a la
organización (por ejemplo: con clientes y proveedores).
La información recibida de terceros frecuentemente proporciona datos importantes
sobre el funcionamiento del sistema de control interno.
Es importante la comunicación que se da desde la empresa hacia el entorno, como
son: los valores propios que la entidad ha adoptado, los comportamientos y normas a las
que adhiere, y cuáles son aquellos que no admite o tolera dentro de ella, como de quienes
se relaciona.
 Canales de comunicación: es el medio a través del cual se emite el mensaje desde
el emisor al receptor.
 Tecnología en la comunicación: apela a soluciones tecnológicas como puede ser
el uso de una intranet para mantener una comunicación continua.

3. Ambiente de Control
Cosiste en el establecimiento de un entorno que se estimule e influencie la
actividad del personal con respecto al control de sus actividades. Es la base de los
demás componentes de control a proveer disciplina y estructura para el control e incidir
en la manera como:

 Se estructuran las actividades del negocio.

 Se asigna autoridad y responsabilidad.
 Se organiza y desarrolla la gente.
 Se comparten y comunican los valores y creencias.
 El personal toma conciencia de la importancia del control.

Factores del Ambiente de Control

 La integridad y los valores éticos.
 El compromiso a ser competente.
 Las actividades de la junta directiva y el comité de auditoría.
 La mentalidad y estilo de operación de la gerencia.
 La estructura de la organización.
 La asignación de autoridad y responsabilidades.
 Las políticas y prácticas de recursos humanos.
 8

El ambiente de control tiene gran influencia en la forma como se desarrollan las

operaciones, se establecen los objetivos y se minimizan los riesgos. Tiene que ver
igualmente en el comportamiento de los sistemas de información y con la supervisión
en general. A su vez es influenciado.

4. Evaluación de riesgos
Es la identificación y análisis de riesgos relevantes para el logro de los objetivos
y la base para determinar la forma en que tales riesgos deben ser mejorados. Así mismo,
se refiere a los mecanismos necesarios para identificar y manejar riesgos específicos
asociados con los cambios, tanto los que influyen en el entorno de la organización como
en su interior.

En toda entidad, es indispensable el establecimiento de objetivos tanto globales

de la organización como de actividades relevantes, obteniendo con ello una base sobre
la cual sean identificados y analizados los factores de riesgo que amenazan su oportuno
cumplimiento.

Toda entidad enfrenta una variedad de riesgos provenientes de fuentes externas e

internas que deben ser evaluados por la gerencia, quien, a su vez, establece objetivos
generales y específicos e identifica y analiza los riesgos de que dichos objetivos no se
logren o afecten su capacidad para salvaguardar sus bienes y recursos, mantener ventaja
ante la competencia. Construir y conservar su imagen, incrementar y mantener su
solidez financiera, crecer, etc.

Los riesgos de actividades también deben ser identificados, ayudando con ello a
administrar los riesgos en las áreas o funciones más importantes; las causas en este nivel
pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con distintos
grados de significación, deben incluir entre otros aspectos los siguientes:

 La estimación de la importancia del riesgo y sus efectos.

 La evaluación de la probabilidad de ocurrencia.
 El establecimiento de acciones y controles necesarios.
 La evaluación periódica del proceso anterior.
 9

5. Supervisión
Es una comprobación de que el sistema de control interno funciona
correctamente, evitando que se produzcan desviaciones con respecto a objetivos
establecidos detectándolas en un plazo mínimo.

Esta tarea implica la evaluación de las actividades de control de los sistemas de

la organización. Le incumbe a la Dirección la existencia de una estructura de control
interno idónea y eficiente, así como la revisión y actualización periódica para
mantenerla en un nivel adecuado.

Importancia
 Es la base para mantener actualizados los sistemas de la empresa
 Permite detectar actividades ineficaces o que necesitan ser mejoradas
 Es útil para detectar necesidades de implementación, mejoramiento o
reemplazo de sistemas

Factores a considerad en la supervisión

 Actividades permanentes de supervisión
 Evaluaciones independientes
 Comunicación de deficiencias

Actividades permanentes de supervisión

 Incorporan procesos normales y recurrentes
 Revisan eficacia de los componentes de la gestión de riesgos

Son aquéllas incorporadas a las actividades y procesos normales y recurrentes que,

ejecutándose en tiempo real y arraigadas a la gestión, generan respuestas dinámicas a las
circunstancias sobrevinientes.

Evaluaciones independientes o puntuales

Son aquéllas que se realizan sobre un proceso, operación o tarea determinada de la
entidad o que tienen un alcance que incluye a toda la organización y a todos los
componentes de gestión de riesgos

 Se realizan sobre un proceso, operación o tarea determinada u organización en

su conjunto
 Busca examinar eficacia de supervisión permanente
 10

 Implementación
 Alcance y frecuencia
 Responsables
 Proceso de Evaluación
 Metodología
 Documentación
 Plan de acción

Comunicación de deficiencias
Las deficiencias o debilidades del sistema de control interno son detectadas a
través de los diferentes procedimientos de supervisión (actividades de supervisión
permanente o evaluaciones independientes), y por medio de la relación con terceros
(reclamos, demandas, etc). Deben ser comunicadas a efectos de que se adopten las
medidas de ajuste correspondientes.
 11

COSO II
Se creó en el año 2004, por Enterprise Risk Managemen Integrated Framework.
Permitiendo a las empresas mejorar sus prácticas de control interno o decidir
encaminarse hacia un proceso más completo de gestión de riesgo.

Se encuentra completamente alineado con el Control Interno, mejoras en la gestión

de riesgo permitirán mejorar, aún más, sobre la inversión ya realizada en
control interno bajo. Esta nueva metodología proporciona la estructura conceptual
y el camino para lograrlo. Esa incertidumbre se manifiesta tanto como riesgo y
oportunidad, con el potencial de erosionar o generar valor.

A diferencia del COSO I la administración de riesgos corporativos provee una certeza

razonable en el logro de los objetivos en las siguientes categorías.

ADMINISTRACIÒN DE RIESGOS CORPORATIVOS

Proceso efectuado por el consejo de administración de una entidad, sudirección y restan

te personal diseñado para identificar eventos potenciales que puedan afectar
a la organización.
Proporcionar una seguridad razonable sobre la consecución de objetivos de la entidad
consta de ocho componentes relacionados entre sí:

1. Ambiente interno
2. Establecimiento de objetivos
3. Identificación de eventos
4. Evaluación de riesgo
5. Respuesta al riesgo
6. Actividades de control
7. Información y comunicación
8. Monitoreo

1.- Ambiente interno: El ambiente interno abarca el tono de una organizacióny estable
ce la base de cómo el personal de la entidad percibe y maneja los riesgos.
 12

Analiza el ambiente en el cual se desarrollan todas las actividades y marca la pauta

para su funcionamiento, es la base para los de más componentes del control
interno, proporciona estructura y disciplina, crea conciencia en el personal sobre los
riesgos a los que se enfrenta la empresa. Los factores que se contempla son:

 Filosofía de la administración de riesgos.

 Apetito al riesgo.
 Integridad y valores éticos.
 Visión del
 Directorio.
 Compromiso de competencia profesional.
 Estructura organizativa.
 Asignación de autoridad y responsabilidad.
 Políticas y prácticas de recursos humanos

2.- Establecimiento de objetivos: Los objetivos deben existir antes de que la

dirección pueda identificar potenciales eventos que afecten su consecución.

La administración de riesgos corporativos asegura que la dirección ha establecido

un proceso para fijar objetivos y los objetivos seleccionados apoyan la misión de
la entidad y están en línea con ella, además de ser consecuentes con el riesgo aceptado.

Los objetivos se fijan a escala estratégica, establecimiento en ellos una base para
los objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta
a una gama de riesgos procedentes de fuentes externas e internas y una condición
previa para la identificación eficaz de eventos, la evaluación de sus riesgos y
la respuesta a ellos es fijar los objetivos, que tienen que estar alineados
con el riesgo aceptado por la entidad, que orienta a su vez los niveles de tolerancia
al riesgo de la misma. Comprende como la alta dirección, establece los objetivos
a nivel estratégico, selecciona la estrategia y establece objetivos específicos, refleja
la manera como la entidad pretende crear valor, y estos deben existir antes de que la
dirección pueda identificar potenciales eventos que afecten su consecución,
además de ser consecuentes con el riesgo aceptado y apoyar al cumplimiento
de la misión y visión de la entidad. Los objetivos se establecen de
acuerdo a las siguientes categorías:
 13

 Estratégicos
 Operacionales
 Confiabilidad de la información
 De cumplimiento

Objetivos de operaciones.- son la efectividad y eficiencia de las operaciones de la

organización, así como la evaluación del desempeño, salvaguarda de recursos
y rentabilidad. Si estos objetivos no están bien planteados se puede asumir que hay un
riesgo en el manejo de recursos.

Objetivos de información.- los estados financieros deben ser veraces, confiables

y se debe prevenir la falsificación o manipulación de la información financiera.

Objetivos de cumplimiento.- cumplimiento de leyes y normas que afectan la

organización, como: SRI, Municipio, Superintendencias, etc. Se puede medir el
cumplimiento de objetivos mediante factores críticos del éxito para poder verificar el
cumplimiento, es decir, con metas con cantidades o porcentajes o resultados específicos.

3.- Identificación de eventos.- Se debe identificar los eventos que afectan los objetivos
de la organización aunque estos sean positivos, negativos o ambos, para que
la empresa los pueda enfrentar y proveer de la mejor forma posible.

La empresa debe identificar los eventos y debe diagnosticarlos como oportunidad

o riesgos. Para que pueda hacer frente a los riesgos y aprovechar la oportunidad.
Consiste en la identificación de eventos potenciales de fuentes internas o externas
que afecta a la implementación de la estrategia o a la consecución delos objetivos,los ev
entos identificados pueden ser positivos o negativos y deben ser diferenciados
entre riesgos y oportunidades.

Riesgos: sucesos que pueden tener un impacto negativo

Oportunidades: eventos que pueden generar un impacto positivo.Identificar esos incid

entes (internos o externos) que pueden afectar la estrategia y el logro de los objetivos.
Determinar cómo los factores internos y externos se combinan e interactúan
para influenciar su perfil de riesgos.

Técnicas e identificación de riesgos

 14

Existen técnicas focalizadas en el pasado y otras en el futuro.

 Análisis PEST (Factores políticos o gubernamentales, económicos,

tecnológicos y sociales).
 Análisis FODA ( Debilidades, oportunidades, fortalezas y amenazas)

4.- Evaluación de riesgo: Los riesgos se analizan considerando su probabilidad de

impacto para determinar cómo deben ser administrados. Este permitirá a la empresa
la identificación y el análisis de los riesgos relevantes para la consecución
de los objetivos y sirve de base para determinar cómo han de ser
gestionados los riesgos considerando su probabilidad e impacto y se debe tener en
cuenta su importancia y alcance. Los riesgos son evaluados sobre una base inherente
y residual bajo las perspectivas de probabilidad posibilidad de que ocurra
un evento e impacto su efecto debido a su ocurrencia, con base a hechos
que en el pasado se ha suscitado en la empresa.

Una organización debe medir los riesgos y su probabilidad de ocurrencia, la mejor

manera es poder cuantificarlos, sin embargo ya que no siempre es posible una
medición numérica.

Riesgo Alto: debe analizarse inmediatamente y es el primordial, en caso de

ocurrencia el daño es directo con afectaciones catastróficas para la empresa.

Riesgo Mediano: se debe mitigar después de un riesgo alto, el daño es moderado.

Riesgo Bajo: puede ser analizado siempre y cuando se hayan solucionado o

evaluado el alto y mediano, el nivel de impacto en la organización no es fuerte.

Ocurrencia Alta: el suceso o probabilidad de que un riesgo se presente es constante.

Ocurrencia Media: el suceso o probabilidad de que un riesgo se presente se

presente esporádicamente.

Ocurrencia Baja: el suceso o probabilidad de que un riesgo se presente sepresente rara

vez. Hay que tomar en cuenta que solo una vez que suceda un evento se
puede saber su impacto real, sin embargo es labor de la dirección de una empresa
el determinar cuáles pueden ser estos y buscar mecanismos de disminución de
impactos para la continuidad de la empresa.
 15

5.- Respuesta al riesgo: La dirección selecciona las posibles respuestas como

evitar, aceptar, reducir o compartir los riesgos, al seleccionar la respuesta se
desarrollan una serie de acciones para alinearlos con el riesgo aceptado, se
analiza el costo -beneficio, estableciendo un nivel de tolerancia al riesgo.

Las categorías de respuesta al riesgo son:

Evitarlo: Se toman acciones de modo de discontinuar las actividades que

generan riesgo.

Reducirlo: Se toman acciones de modo de reducir el impacto o la probabilidad

de ocurrencia del riesgo o ambos.

Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad

de ocurrencia al transferir o compartir una porción del riesgo.

Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de

ocurrencia del riesgo.

6.- Actividades de control.- Son las políticas y procedimientos que se

establecen e implantan para ayudar a asegurar que las respuestas a los riesgos
dispuestas por la dirección se llevan a cabo efectivamente, los cuales son ejecutados
en todos los niveles de la organización y se disponen controles
destinados a evitarlos o minimizarlos. Las políticas determinan lo que se debe hacer
y los procedimientos son las acciones que se llevan a cabo para cumplir con
las políticas. En estas actividades se incluyen las aprobaciones, autorizaciones,
verificaciones, revisiones de rentabilidad, operativas y salvaguarda de activos.

7.- Información y comunicación: La información se identifica, captura y comunicar

en forma y plazo para permitir al personal afrontar sus responsabilidades.

La empresa debe contar con canales de información flexibles que fluya a través de
todo los niveles capturando y comunicando información relevante tanto interna como
externa, su calidad dependerá de sus contenido, oportunidad y accesibilidad.
La comunicación es inherente a la información, ya que una información no
comunicada no surte efecto alguno.
 16

8.- Monitoreo: La totalidad de la administración de riesgos corporativos es

monitoreada y se efectúan las modificaciones necesarias. Se trata de un proceso
que comprueba que se mantiene el adecuado funcionamiento del sistema a lo
largo del tiempo, esto se consigue mediante actividades de supervisión
continuada, evaluaciones periódicas o una combinación de ambas.

El alcance de las evaluaciones periódicos dependerá de una evaluación de los

riesgos y de la eficacia de los procesos de supervisión continuada. El proceso
de monitoreo asegura que el control interno continúa funcionando adecuadamente.
La administración de riesgos corporativos no constituye estrictamente un
proceso en serie, donde cada componente afecta sólo al siguiente, sino un
proceso multidireccional e iterativo en el cual casi cualquier componente puede influir
en otro.

COSO III

Objetivos y Componentes

Objetivos

Es responsabilidad de la Administración y la Alta Dirección establecer los

objetivos del negocio y es necesario fijar los objetivos con carácter previo al diseño e
implementación del sistema de control interno, con el fin de controlar y mitigar de manera
adecuada los riesgos que afectan a dichos objetivos.

Los objetivos deben complementarse, estar relacionados entre sí y ser coherentes

con las capacidades y expectativas de la entidad y las unidades empresariales y sus
funciones.

Establecer objetivos es un requisito previo para un control interno eficaz. Los

objetivos proporcionan las metas medibles hacia las que la entidad se mueve al desarrollar
sus actividades.

Esta responsabilidad está establecida en los procesos de la administración, como

se presenta a Continuación:
 17

 Determinar los objetivos estratégicos y seleccionar la estrategia dentro del

contexto de la entidad establecido en su misión y visión.
 Establecer los objetivos de la entidad y desarrollar la tolerancia al riesgo con base
en los requerimientos de la entidad según las circunstancias.
 Alinear los objetivos con la estrategia de la entidad y el apetito general del riesgo.
 Establecer los objetivos generales y específicos para la entidad y sus niveles según
sean las circunstancias.

El Marco Integrado de Control Interno establece tres categorías de objetivos que

permiten a las Organizaciones centrarse en diferentes aspectos del control interno. Estas
son:

1. Objetivos Operativos

Estos objetivos se relacionan con el cumplimiento de la misión y visión de la entidad.

Hacen referencia a la efectividad y eficiencia de las operaciones, incluidos sus objetivos
de rendimiento financiero y operacional, y la protección de sus activos frente a posibles
pérdidas.

Por lo tanto, estos objetivos constituyen la base para la evaluación del riesgo en
relación con la protección de los activos de la entidad, y la selección y desarrollo de los
controles necesarios para mitigar dichos riesgos. Los objetivos operativos deben reflejar
el entorno empresarial, industrial y económico en que se involucra la entidad; y están
relacionados con el mejoramiento del desempeño financiero, la productividad, la calidad,
las prácticas ambientales, y la innovación y satisfacción de empleados y clientes.

2. Objetivo de información

Estos objetivos se refieren a la preparación de reportes para uso de la organización y

los accionistas, teniendo en cuenta la veracidad, oportunidad y transparencia. Estos
reportes relacionan la información financiera y no financiera interna y externa y abarcan
aspectos de confiabilidad, oportunidad, transparencia y demás conceptos establecidos por
los reguladores, organismos reconocidos o políticas de la entidad.

Reportes Financiero Externo

 18

• Cuentas anuales

• Estados financieros intermedios

• Publicación de resultados

• Distribución de utilidades

Reportes No Financiero Externo

• Informe de Control Interno

• Memoria de sostenibilidad

• Plan estratégico

• Custodia de activos

Reportes Financiero Interno Reportes No Financiero Interno

• Estados financieros de las divisiones

• Cash-flow / Presupuesto

• Cálculos de Covenants

Reportes No Financiero Interno

• Utilización de activos

• Encuestas de satisfacción del cliente

• Indicadores clave de riesgo

• Reportes al consejo

3. Objetivos de Cumplimiento

Están relacionados con el cumplimiento de las leyes y regulaciones a las que está
sujeta la entidad. La entidad debe desarrollar sus actividades en función de las leyes y
normas específicas.
 19

Componentes
El sistema de control interno está divido en cinco componentes integrados que se
relacionan con los objetivos de la empresa: entorno de control, evaluación de los riesgos,
actividades de control, sistemas de información y comunicación, y actividades de
monitoreo y supervisión.

Los cinco componentes deben funcionar de manera integrada para reducir a un nivel
aceptable el riesgo de no alcanzar un objetivo. Los componentes son interdependientes,
existe una gran cantidad de interrelaciones y vínculos entre ellos.

1. Entorno de control
Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la
gestión de la administración. El entorno de control es influenciado por factores tanto
internos como externos, tales como la historia de la entidad, los valores, el mercado, y el
ambiente competitivo y regulatorio. Comprende las normas, procesos y estructuras que
constituyen la base para desarrollar el control interno de la organización.

Este componente crea la disciplina que apoya la evaluación del riesgo para el
cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de control,
uso de la información y sistemas de comunicación, y conducción de actividades de
supervisión. Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos
como la estructura organizacional, la división del trabajo y asignación de
responsabilidades, el estilo de gerencia y el compromiso.

Un entorno de control ineficaz puede tener consecuencias graves, tales como pérdida
financiera, pérdida de imagen o un fracaso empresarial. Por esta razón, este componente
tiene una influencia muy relevante en los demás componentes del sistema de control
interno, y se convierte en el cimiento de los demás proporcionando disciplina y estructura.
Una organización que establece y mantiene un adecuado entorno de control es más fuerte
a la hora de afrontar riesgos y lograr sus objetivos. Esto se puede obtener si se cuenta con:

 Actitudes congruentes con su integridad y valores éticos.

 Procesos y conductas adecuados para la evaluación de conductas.
 Asignación adecuada de responsabilidades.
 La integridad y los valores éticos de los recursos humanos,
 La competencia profesional,
 20

2. Evaluación del Riesgo

Este componente identifica los posibles riesgos asociados con el logro de los
objetivos de la organización. Toda organización debe hacer frente a una serie de riesgos
de origen tanto interno como externo, que deben ser evaluados. Estos riesgos afectan a
las entidades en diferentes sentidos, como en su habilidad para competir con éxito,
mantener una posición financiera fuerte y una imagen pública positiva. Por ende, se
entiende por riesgo cualquier causa probable de que no se cumplan los objetivos de la
organización.

3. Actividades de Control
En el diseño organizacional deben establecerse las políticas y procedimientos que
ayuden a que las normas de la organización se ejecuten con una seguridad razonable
para enfrentar de forma eficaz los riesgos. Las actividades de control se definen como
las acciones establecidas a través de las políticas y procedimientos que contribuyen a
garantizar que se lleven a cabo las instrucciones de la dirección para mitigar los riesgos
con impacto potencial en los objetivos.

Las actividades de control se ejecutan en todos los niveles de la entidad, en las

diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven como
mecanismos para asegurar el cumplimiento de los objetivos. Según su naturaleza
pueden ser preventivas o de detección y pueden abarcar una amplia gama de actividades
manuales y automatizadas. Cada control que se realice debe estar de acuerdo con el
riesgo que previene, teniendo en cuenta que demasiados controles son tan peligrosos
como lo es tomar riesgos excesivos. Estos controles permiten:

 Prevenir la ocurrencia de riesgos innecesarios.

 Minimizar el impacto de las consecuencias de los mismos.
 Restablecer el sistema en el menor tiempo posible. En todos los niveles de la
organización existen responsabilidades en las actividades de control, debido
a esto es necesario que todo el personal dentro de la organización conozca
cuáles son las tareas de control que debe ejecutar. Para esto se debe
explicitar cuáles son las funciones de control que le corresponden a cada
individuo.
 21

4. Información y Comunicación
El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente hace
referencia a la forma en que las áreas operativas, administrativas y financieras de la
organización identifican, capturan e intercambian información. La información es necesaria
para que la entidad lleve a cabo las responsabilidades de control interno que apoyan el
cumplimiento de los objetivos. La gestión de la empresa y el progreso hacia los objetivos
establecidos implican que la información es necesaria en todos los niveles de la empresa.

Es por esto que la información debe ser de calidad y tener en cuenta los siguientes aspectos:

 Contenido: ¿presenta toda la información necesaria?

 Oportunidad: ¿se facilita en el tiempo adecuado?
 Actualidad: ¿está disponible la información más reciente?
 Exactitud: ¿los datos son correctos y fiables?
 Accesibilidad: ¿la información puede ser obtenida fácilmente por las personas adecuadas?

5. Supervisión del sistema de control/Monitorios

Todo el proceso ha de ser monitoreado con el fin de incorporar el concepto de
mejoramiento continuo; así mismo, el Sistema de Control Interno debe ser flexible para
reaccionar ágilmente y adaptarse a las circunstancias. Las actividades de monitoreo y
supervisión deben evaluar si los componentes y principios están presentes y funcionando en la
entidad. Es importante determinar, supervisar y medir la calidad del desempeño de la
estructura de control interno, teniendo en cuenta:

 Las actividades de monitoreo durante el curso ordinario de las operaciones de la

entidad.
 Evaluaciones separadas.
 Condiciones reportables.
 Papel asumido por cada miembro de la organización en los niveles de control.

Principios y Puntos de Enfoque

Los puntos de enfoque representan las características importantes de cada principio,
lo que permite que sean más fáciles de entender y que la entidad pueda evaluar si el principio
está presente y funcionando en su sistema de control interno.

Para determinar que el Sistema de Control Interno es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:
 22

 Presente: la determinación de que los componentes y los principios relevantes existen

en el diseño y la implementación del sistema de control interno para lograr los
objetivos especificados.
 Funcionando: la determinación de que los componentes y los principios relevantes
continúan existiendo en la dirección del sistema de control interno para lograr los
objetivos especificados.

Componente Principios Puntos de enfoque-Atributos

I. Entorno de 1. La organización demuestra Establece el tono de la gerencia. la Junta
control compromiso con la integridad y Directiva,la Alta Gerencia y el personal
los valores éticos supervisor están comprometidos con los
valores y principios éticos y los refuerzan en
sus actuaciones.
Establece estándares de conducta. La
integridad y los valores éticos son definidos
en los estándares de conducta de la entidad y
entendidos en todos los niveles de la
organización y por los proveedores de
servicio externos y socios de negocios.
Evalúa la adherencia a estándares de
conducta. Los procesos están en su lugar para
evaluar el desempeño de los individuos y
equipos en relación con los estándares de
conducta esperados.
Aborda y decide sobre desviaciones en
forma oportuna. Las desviaciones de los
estándares de conducta esperados en la
entidad son identificadas y corregidas
oportuna y adecuadamente.
2. El consejo de administración Establece las responsabilidades de
demuestra independencia de la supervisión de la dirección. La Junta Directiva
dirección y ejerce la supervisión identifica y acepta su responsabilidad de
supervisión con respecto a establecer
requerimientos y expectativas.
 23

del desempeño del sistema de Aplica experiencia relevante. La Junta

control interno. directiva define, mantiene y
periódicamente evalúa las habilidades y
experiencia necesaria entre sus miembros.

Conserva o delega responsabilidades de

supervisión.
Opera de manera independiente. La Junta
Directiva tiene suficientes miembros, quienes
son independientes de la Administración y
objetivos en evaluaciones y toma de
decisiones.
Brinda supervisión sobre el Sistema de
Control Interno. La Junta Directiva conserva
la responsabilidad de supervisión del diseño,
implementación y conducción del Control
Interno de la Administración:

 Entorno de Control: establece integridad y

valores éticos, estructuras de supervisión,
autoridad y responsabilidad, expectativas
de competencia, y rendición de cuentas a
la Junta.

 Evaluación de Riesgos: monitorea las

evaluaciones de riesgos de la
administración para el cumplimiento de
los objetivos, incluyendo el impacto
potencial de los cambios significativos,
fraude, y la evasión del control interno
 24

por parte de la administración.

 Actividades de Control: provee

supervisión a la Alta Dirección en el
desarrollo y cumplimiento de las
actividades de control.

 Información y Comunicación: analiza y

discute la información relacionada con el
cumplimiento de los objetivos de la
entidad.

 Actividades de Supervisión: evalúa y

supervisa la naturaleza y alcance de las
actividades de monitoreo y la evaluación y
mejoramiento de la administración de las
deficiencias.
3. La dirección establece con la Considera todas las estructuras de la
supervisión del Consejo, las entidad. La Administración y la Junta
estructuras, líneas de reporte y los Directiva consideran las estructuras múltiples
niveles de autoridad y utilizadas (incluyendo unidades operativas,
responsabilidad apropiados para entidades legales,
la consecución de los objetivos. distribución geográfica, y proveedores de
servicios externos) para apoyar la
consecución de los objetivos
Establece líneas de reporte. La
Administración diseña y evalúa las líneas de
reporte para cada estructura de la entidad,
para permitir la ejecución de autoridades y
responsabilidades, y el flujo de información
para gestionar las actividades de la entidad
 25

Define, asigna y delimita autoridades y

responsabilidades. La Administración y la
Junta Directiva delegan autoridad, definen
responsabilidades, y utilizan procesos y
tecnologías adecuadas para asignar
responsabilidad, segregar funciones según
sea necesario en varios niveles de la
organización:

 Junta directiva: conserva autoridad sobre

las decisiones significativas y revisa las
evaluaciones de la administración y las
limitaciones de autoridades y
responsabilidades.
 Alta Dirección: establece instrucciones,
guías, y control habilitando a la
administración y otro personal para
entender y llevar a cabo sus
responsabilidades de control interno.

 Administración: guía y facilita la ejecución

de las instrucciones de la Alta Dirección
dentro de la entidad y sus sub-unidades.

 Personal: entiende los estándares de

conducta de la entidad, los riesgos
evaluados para los objetivos, y las
actividades de control relacionadas con
sus respectivos niveles de la entidad, la
información esperada y los flujos de
comunicación, así como las actividades de
monitoreo relevantes para el
cumplimiento de los objetivos.

 Proveedores de servicios externos:

cumple con la definición de la
administración del alcance de la autoridad
 26

y la responsabilidad para todos los que no

sean empleados comprometidos.

4. La organización demuestra Establece políticas y prácticas. Las políticas y

compromiso para atraer, prácticas reflejan las expectativas de
desarrollar y retener a competencia necesarias para apoyar el
profesionales competentes, en cumplimiento de los objetivos.
concordancia con los objetivos de Evalúa la competencia y direcciona las
la organización deficiencias. La Junta Directiva y la
Administración evalúan la competencia a
través de la organización y en los proveedores
de servicios externos, de acuerdo con las
políticas y prácticas establecidas, y actúa
cuando es necesario direccionando las
deficiencias.
Atrae, desarrolla y retiene profesionales. La
organización provee la orientación y la
 27

capacitación necesaria para atraer,

desarrollar y retener

personal suficiente y competente y

proveedores de servicios externos para
apoyar el cumplimiento de los objetivos.
Planea y se prepara para sucesiones. La Alta
Dirección y la Junta Directiva desarrollan
planes de contingencia para la asignación de
la responsabilidad importante para el control
interno.
5. La organización define las Hace cumplir la responsabilidada través de
responsabilidades de las personas estructuras, autoridades y
a nivel de control interno para la responsabilidades. La Administración y la
consecución de los objetivos Junta Directiva establecen los mecanismos
para comunicar y mantener profesionales
responsables para el desempeño de las
responsabilidades de control interno a través
de la organización, e implementan acciones
correctivas cuando es necesario.
Establece medidas de desempeño,
incentivos y premios. La Administración y la
Junta Directiva establecen medidas de
desempeño, incentivos, y otros premios
apropiados para las responsabilidades en
todos los niveles de la entidad, reflejando
dimensiones de desempeño apropiadas y
estándares de conducta esperados, y
considerando el cumplimiento de objetivos a
corto y largo plazo.
 28

Evalúa medidas de desempeño, incentivos y

premios para la relevancia en curso. La
Administración y la Junta Directiva alinean
incentivos y premios con el cumplimiento de
las responsabilidades de control interno para
la consecución de los objetivos.
Considera presiones excesivas. La
administración y la Junta Directiva evalúan y
ajustan las presiones asociadas con el
cumplimiento de los objetivos; asimismo
asignan responsabilidades, desarrollan
medidas de desempeño y evalúan el
desempeño
Evalúa desempeño y premios o disciplina
losindividuos. La
Administración y la Junta Directiva evalúan el
desempeño de las responsabilidades de
control interno, incluyendo la adherencia a
los estándares de conducta y los niveles de
competencia esperados, y proporciona
premios o ejerce acciones disciplinarias
cuando es apropiado
II. Evaluación de 6. La organización define los Objetivos Operativos:
riesgos objetivos con suficiente claridad
 Refleja las elecciones de la administración.
para permitir la identificación y
 Considera la tolerancia al riesgo.
evaluación de los riesgos
 Incluye las metas de desempeño operativo
relacionados
y financiero.

 Constituye una base para administrar los

recursos.
Objetivos de Reporte Financiero Externo:

 Cumple con los estándares contables

aplicables.

 Considera la materialidad.
 29

 Refleja las actividades de la entidad.

Objetivos de Reporte no Financiero Externo:

 Cumple con los estándares y marcos

externos establecidos.

 Considera los niveles de precisión

requeridos.

 Refleja las actividades de la entidad.

Objetivos de Reporte interno:

 Refleja las elecciones de la administración.

 Considera el nivel requerido de precisión.

 Refleja las actividades de la entidad.

Objetivos de Cumplimiento:

 Refleja las leyes y regulaciones externas.

 Considera la tolerancia al riesgo.

7. La organización identifica los Incluye la entidad, sucursales, divisiones,
riesgos para la consecución de sus unidad operativa y niveles funcionales. La
objetivos en todos los niveles de organización identifica y evalúa los riesgos a
la entidad y los analiza como base nivel de la entidad, sucursales, divisiones,
sobre la cual determina cómo se unidad operativa y niveles funcionales
deben gestionar relevantes para la consecución de los
objetivos.
Evalúa la consideración de factores externos e
internos en la identificación de los riesgos que
puedan afectar a los objetivos.

Involucra niveles apropiados de

administración. La dirección evalúa si existen
mecanismos adecuados para la identificación
y análisis de riesgos.
 30

Analiza la relevancia potencial de los riesgos

identificados y entiende la tolerancia al riesgo
de la organización.
Determina la respuesta a los riesgos. La
evaluación de riesgos incluye la consideración
de cómo el riesgo debería ser gestionado y si
aceptar, evitar, reducir o compartir el riesgo.
8. La organización considera la Considera varios tipos de fraude: La
probabilidad de fraude al evaluar evaluación del fraude considera el Reporte
los riesgos para la fraudulento, posible pérdida de activos y
consecución de los objetivos corrupción.
La evaluación del riesgo de fraude evalúa
incentivos y presiones
La evaluación del riesgo de fraude tiene en
consideración el riesgo de fraude por
adquisiciones no autorizadas, uso o
enajenación de activos, alteración de los
registros de información, u otros actos
inapropiados.
La evaluación del riesgo de fraude considera
cómo la dirección u otros empleados
participan en, o justifican, acciones
inapropiadas.

9. La organización idéntica y Evalúa cambios en el ambiente externo. El

evalúa los cambios que podrían proceso de identificación de riesgos considera
afectar cambios en los ambientes regulatorio,
económico, y físico en los que la entidad
opera.
 31

significativamente al sistema de Evalúa cambios en el modelo de negocios. La

control interno organización considera impactos potenciales
de las nuevas líneas del negocio,
composiciones alteradas dramáticamente de
las líneas existentes de negocios, operaciones
de negocios adquiridas o de liquidación en el
sistema de control interno, rápido
crecimiento, el cambio de dependencia en
geografías extranjeras y nuevas tecnologías.
Evalúa cambios en liderazgo. La organización
considera cambios en administración y
respectivas actitudes y filosofías en el sistema
de control interno.
10. La organización define y Se integra con la evaluación de riesgos. Las
desarrolla actividades de control actividades de control ayudan a asegurar que
III. Actividades de que contribuyen a la mitigación de las respuestas a los riesgos que direccionan y
control los riesgos hasta niveles mitigan los riesgos son llevadas a cabo.
aceptables para la consecución de Considera factores específicos de la entidad.
los objetivos La administración considera cómo el
ambiente, complejidad, naturaleza y alcance
de sus operaciones, así como las
características específicas de la organización,
afectan la selección y desarrollo de las
actividades de control.
Determina la importancia de los procesos del
negocio. La administración determina la
importancia de los procesos del negocio en
las actividades de control.
Evalúa una mezcla de tipos de actividades de
control. Las actividades de control incluyen
un rango y una variedad de controles que
pueden incluir un equilibrio de enfoques para
mitigar los riesgos teniendo en cuenta
 32

controles manuales y automatizados, y

controles

preventivos y de detección.
Considera en qué nivel las actividades son
aplicadas. La administración considera las
actividades de control en varios niveles de la
entidad.
Direcciona la segregación de funciones. La
administración segrega funciones
incompatibles, y donde dicha segregación
no es práctica, la administración selecciona y
desarrolla actividades de control alternativas.
11. La organización define y Determina la relación entre el uso de la
desarrolla actividades de control a tecnología en los procesos del negocio y los
nivel de entidad sobre la controles generales de tecnología: La
tecnología para apoyar la dirección entiende y determina la
consecución de los objetivos dependencia y la vinculación entre los
procesos de negocios, las actividades de
control automatizadas y los Controles
Generales de tecnología.
Establece actividades de control para la
infraestructura tecnológica relevante: la
Dirección selecciona y desarrolla actividades
de control diseñadas e implementadas para
ayudar a asegurar la completitud, precisión y
disponibilidad de la tecnología.
 33

Establece las actividades de control para la

administración de procesos relevantes de
seguridad: la dirección selecciona y desarrolla
actividades de control diseñadas e
implementadas para restringir los derechos
de acceso, con el fin de proteger los activos
de la organización de amenazas externas.
Establece actividades de control relevantes
para los procesos de adquisición, desarrollo
y mantenimiento de la tecnología: la
dirección selecciona y desarrolla actividades
de control sobre la adquisición, desarrollo y
mantenimiento de la tecnología y su
infraestructura.

12. La organización despliega las Establece políticas y procedimientos para

actividades de control a través de apoyar el despliegue de las directivas de la
políticas que establecen las líneas administración: la administración establece
generales del control interno y actividades de control que están construidas
procedimientos. dentro de los procesos del negocio y las
actividades del día a día de los empleados a
través de políticas estableciendo lo que se
espera y los procedimientos relevantes
especificando acciones.
Establece responsabilidad y rendición de
cuentas para ejecutar las políticas y
procedimientos: la administración establece
la responsabilidad y rendición de cuentas
para las actividades de control con la
administración (u otro personal asignado) de
la unidad de negocios o función en el cual los
riesgos relevantes residen.
 34

Funciona oportunamente: el personal

responsable desarrolla las actividades de
control oportunamente, como es
definido en las políticas y procedimientos.
Toma acciones correctivas: el personal
responsable investiga y actúa sobre temas
identificados como resultado de la ejecución
de actividades de control.
Trabaja con personal competente: personal
competente con la suficiente autoridad
desarrolla actividades de control con
diligencia y continúa atención.
Reevalúa políticas y procedimientos: la
administración revisa periódicamente las
actividades de control para determinar su
continua relevancia, y las actualiza cuando es
necesario.
IV. Información y 13. La organización obtiene o Identifica los requerimientos de
comunicación genera y utiliza información información: un proceso está en ejecución
relevante y de calidad para apoyar para identificar la información requerida y
el funcionamiento del esperada para apoyar el funcionamiento de
los otros
control interno componentes del control interno y el
cumplimiento de los objetivos de la entidad.

Captura fuentes internas y externas de

información: los sistemas de información
capturan fuentes internas y externas de
información.
Procesa datos relevantes dentro de la
información: los sistemas de información
procesan datos relevantes y los transforman
en información.
 35

Mantiene la calidad a través de

procesamiento: los sistemas de información
producen información que es oportuna,
actual, precisa, completa, accesible,
protegida, verificable y retenida. La
información es revisada para evaluar su
relevancia en el soporte de los componentes
de control interno.
Considera costos y beneficios: la naturaleza,
cantidad y precisión de la información
comunicada están acorde con, y apoyan, el
cumplimiento de los objetivos.

14. La organización comunica la Comunica la información de control interno:

información internamente, un proceso está en ejecución para comunicar
incluidos los objetivos y la información requerida para permitir que
responsabilidades que son todo el personal entienda y lleve a cabo sus
necesarios para apoyar el responsabilidades de control interno.
funcionamiento del sistema de Se comunica con la Junta directiva: existe
control interno comunicación entre la
administración y la Junta Directiva; por lo
tanto, ambas partes tienen la información
necesaria para cumplir con sus roles con
respecto a los objetivos de la entidad.
Proporciona líneas de comunicación
separadas: separa canales de comunicación,
como líneas directas de denuncia de
irregularidades, las cuales sirven como
mecanismos a prueba de fallos para permitir
la comunicación
anónima o confidencial cuando los canales
normales son inoperantes o ineficientes.
 36

Selecciona métodos de comunicación

relevantes: los métodos de comunicación
consideran tiempo, público y la naturaleza de
la información.
15. La organización se comunica Se comunica con grupos de interés externos:
con los grupos de interés externos los procesos están en funcionamiento para
sobre los aspectos clave que comunicar información relevante y oportuna
afectan al funcionamiento del a grupos de interés externos, incluyendo
control interno accionistas, socios, propietarios, reguladores,
clientes, analistas financieros y demás partes
externas.
Permite comunicaciones de entrada:
canales de comunicación abiertos permiten
los aportes de clientes, consumidores,
proveedores, auditores externos,
reguladores, analistas financieros, entre
otros, y proporcionan a la administración y
Junta Directiva información relevante.
Se comunica con la Junta Directiva: la
información relevante resultante de
evaluaciones conducidas por partes externas
es comunicada a la Junta Directiva.
Proporciona líneas de comunicación
separadas: separa canales de comunicación,
como líneas directas de denuncia de
irregularidades, las cuales sirven como
mecanismos a prueba de fallos para permitir
la comunicación anónima o confidencial
cuando los canales normales son inoperantes
o ineficientes.
Selecciona métodos de comunicación
relevantes: los métodos de comunicación
 37

consideran el tiempo, público, y la naturaleza

de la comunicación y los requerimientos y
expectativas legales, regulatorias y fiduciarias.

V. Actividades de 16. La organización selecciona, Considera una combinación de evaluaciones

supervisión – desarrolla y realiza evaluaciones continuas e independientes: la
monitoreo continuas y/o independientes administración incluye un balance de
para determinar si los evaluaciones continuas e independientes.
componentes del sistema están Considera tasa de cambio: la administración
presentes y funcionando considera la tasa de cambio en el negocio y
los procesos del negocio cuando selecciona y
desarrolla evaluaciones continuas e
independientes
Establece un punto de referencia para el
entendimiento: el diseño y estado actual del
sistema de control interno son usados para
establecer un punto de referencia para las
evaluaciones continuas e independientes.
Uso de personal capacitado: los evaluadores
que desarrollan evaluaciones continuas e
independientes tienen suficiente
conocimiento para entender lo que está
siendo evaluado.
Se integra con los procesos del negocio: las
evaluaciones continuas son construidas
dentro de los procesos del negocio y se
ajustan a las condiciones cambiantes.
Ajusta el alcance y la frecuencia: la
administración cambia el alcance y la
frecuencia de las evaluaciones
independientes dependiendo el riesgo.
Evalúa objetivamente: las evaluaciones
independientes son desarrolladas
 38

periódicamente para proporcionar una

retroalimentación objetiva.

17. La organización evalúa y Evalúa resultados: la Administración o la

comunica las deficiencias de Junta Directiva, según corresponda, evalúa los
control interno de forma resultados de las evaluaciones continuas e
oportuna a las partes independientes.
responsables de aplicar medidas Comunica deficiencias: las deficiencias son
correctivas, incluyendo la alta comunicadas a las partes responsables para
dirección y el consejo, según tomar las acciones correctivas y a la Alta
corresponda Dirección y la Junta Directiva, según
corresponda.
Supervisa acciones correctivas: la
administración monitorea si las deficiencias
son corregidas oportunamente.

Bibliografía

Rodríguez , P. (17 de enero de 2017). Blogspot. Obtenido de Blogspot:

https://elauditormoderno.blogspot.com/2017/01/el-informe-coso.html

Romero, J. (31 de Agosto de 2012). Control interno y sus 5 componentes según COSO.

Obtenido de Gestio Polis: https://www.gestiopolis.com/control-interno-5-

componentes-segun-coso/