Capt. - 13

Marco Integrado del Control
Interno
COSO III
Internal Control
13
Integrated Framework
(Ultima Versión 2013)
1. INTRODUCCIÓN.
El Instituto de Auditores Internos (1), define a la Auditoria Interna señalando que : “La
auditoría interna es una actividad independiente y objetiva de aseguramiento y consulta,
concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una
organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para
evaluar y mejorar la eficiencia de los procesos de: gestión de riesgos, control y gobierno.
La definicio pone énfasis en: la eficiencia de los procesos de: gestión de riesgos, control y
gobierno dentro del Marco Integrado para la Práctica Profesioina de la Auditoria Interna
(MIPP)
Gestión de Riesgos – COSO II - IV
MIPP
Control Interno – COSO I – III Gobierno Corporativo
2. COSO MARCO INTEGRADO DE CONTROL INTERNO.
El año 1985 una Comisión Senatorial de los Estados Unidos de Norte América, la Treadway
Comission, National Comission on Fraudulent Financial Reporting, creó el Commitee of Sponsoring
Organizations (COSO) (2), con el objeto de emitir un informe en el cual se definiera un nuevo marco
1 INSTITUTO DE AUDITORES INTERNOS, CAPITULO LA PAZ - BOLIVIA” (2001), Boletín Las Normas para
el Ejercicio de la Auditoría Interna NEPAI”.
LA AUDITORÍA INTERNA – UN ENFOQUE PROSPECTIVO Mg. Sc.
Lic. Gabriel Vela Quiroga
conceptual del control interno, integrador de las definiciones y conceptos preexistentes, el informe
del Marco Integrado del Control Interno se emitio el año 1992 denonominado COSO I.
El año 2013 la misma Comisión Senatorial de los Estados Unidos de Norte América, la Treadway
Comission, National Comission on Fraudulent Financial Reporting, emitio la nueva viersion del
Marco Integrado de Control Interno denonominado COSO III.
Participantes del proyecto COSO - Board of Directors y PwC Author & Project
Leader. PArticiparón como Advisory Council:
AICPA – AAA – FEI – IIA – IMA - Public Accounting Firms - Regulatory observers -
(SEC, GAO, FDIC, PCAOB) - Others (IFAC, ISACA)
2. OBJETIVO FUNDAMENTAL DEL INFORME COSO.
El objetivo fundamental del informe COSO es definir un nuevo marco conceptual del control interno,
capaz de integrar las diversas definiciones y conceptos que venían siendo utilizados sobre este
tema, logrando así, en el ámbito de las organizaciones publicas o privadas, de la auditoría interna o
externa, o de los niveles académicos o legislativos, que se cuente con un marco conceptual común,
una visión integradora que satisficiera las demandas generales de todos los sectores involucrados.
El informe COSO busca lograr la eficiencia y eficacia de las operaciones; lo que nos proporciona
una cierta seguridad de que la organización conseguirá sus objetivos y metas definidas.
Consigue la fiabilidad de la información externa e interna protegiendo los registros financieros frente
a los tipos de fraude. Todo esto de acuerdo al cumplimiento de obligaciones legales y reguladoras
con las políticas institucionales.
Se entiende el control interno como un proceso que proporciona un grado de seguridad razonable
en la consecución de eficacia y eficiencia de las operaciones de la entidad, el cumplimiento de las
normas aplicables y la fiabilidad de la información financiera.
El documento destaca la necesidad de que la alta dirección, y a partir de ella los demás
componentes de la organización, comprendan cabalmente la trascendencia del control interno y su
incidencia sobre los resultados de la gestión con base en un principio filosófico concluyente: el
control interno debe construir un proceso integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos.
También se pretende resaltar la importancia de los comités de auditoría como el ámbito donde mejor
se expresa la relación cooperadora y facilitadora que caracteriza a la fiscalización de nueva
generación.
El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la evaluación de
riesgos no sólo influye en las actividades de control, sino que puede también poner de relieve la
conveniencia de reconsiderar el manejo de la información y la comunicación.
En resumen el informe COSO busca lograr la eficiencia y eficacia de las operaciones; lo que
proporciona una cierta seguridad de que la organización conseguirá sus objetivos y metas definidas.
3. DEFINICIÓN DE CONTROL INTERNO SEGÚN EL INFORME COSO.
El Control Interno es un proceso compuesto por una cadena de acciones extendidas e integradas a
todas las actividades inherentes a la gestión, integradas a los demás procesos básicos de la
organización, bajo la responsabilidad de su consejo de administración y su máximo ejecutivo,
2 COMMITEE OF SPONSORING ORGANIZATIONS (COSO), Informe COSO (1997), Traducción Copers y

Laybrand y el Instituto de Auditores Internos, Capítulo España, Editorial Díaz de Santos.
2.
Mg. Sc. Lic. Gabriel Vela Quiroga Marco Integrado del Control
Interno COSO III
llevado
a cabo por éstos y por todo el personal de la misma, diseñado con el objeto de limitar los riesgos
internos y externos que afecten las actividades de la organización, proporcionando un grado de
seguridad razonable en el cumplimiento de los objetivos de eficacia y eficiencia y de cumplimiento
de las leyes, reglamentos y políticas, así como las iniciativas de calidad establecidas.
La definición pone énfasis en los siguientes conceptos:
a) Es un proceso compuesto por una cadena de acciones integradas.
El Control Interno es un proceso compuesto por una cadena de acciones relacionadas con las
actividades inherentes a la gestión, e integradas a los demás, por tanto el control interno es un
proceso, es decir un medio para alcanzar un fin y no un fin en sí mismo.
b) Bajo la responsabilidad de su consejo de administración, su máximo ejecutivo y el

personal.
El control Interno esta bajo la responsabilidad de su consejo de administración y su máximo

ejecutivo, llevado a cabo por éstos y por todo el personal de la misma, por tanto lo llevan a cabo las
personas que actúan en todos los niveles, no se trata solamente de manuales de organización y
procedimientos.
c) Diseñado con el objeto de limitar los riesgos.
El Control Interno tiene por objeto de limitar los riesgos internos y externos que afecten las
actividades de la organización.
d) Sólo puede aportar un grado de seguridad razonable.
El Control Interno solo proporciona un grado de seguridad razonable, no la seguridad total, en el

logro de los objetivos de eficacia, eficiencia y calidad, y de cumplimiento de las leyes, reglamentos y
políticas
e) Está pensado para facilitar la consecución de objetivos.
El Control Interno está pensado para facilitar la consecución de objetivos en una o más de las
categorías señaladas las que, al mismo tiempo, suelen tener puntos en común.
OBJETIVOS DE CONTROL INTERNO.
Control Interno es un proceso llevado a cabo por el Consejo de Administración, la

Gerencia y otro personal de la Organización, diseñado para proporcionar una garantía
razonable sobre el logro de objetivos de: operaciones, reporte y cumplimiento.
3. OBJETIVOS DE CONTROL INTERNO.
a) Objetivos de operaciones.
Eficacia y eficiencia de las operaciones:
• Relacionados con la misión y visión de la entidad.

• Varían en función de las decisiones de la conducción relacionadas con el
modelo de operaciones, consideraciones de la industria y rendimiento.
• Se abren en sub-objetivos para los distintos componentes de la estructura
de la entidad.
• Incluyen el resguardo de activos.
b) Objetivos de reporte (informes)

confiabilidad de la inforemacion financiera y operativa
• Reportes financieros externos

o Estados Contables
o Cuenta de Inversión
• Reportes no financieros externos
o Reportes de sustentabilidad
o Información al público
• Reportes internos financieros y no financieros
o Ejecución presupuestaria.
o Informes sobre nivel de actividad
En resumen se refieren a la confiabilidd de la información contable financiera.
c) objetivos de cumplimiento.
Cumplimiento de leyes, decretos, politicas, normas.
• Objetivos relacionados con el cumplimiento de leyes y regulaciones.

• El cumplimiento de políticas, NORMAS y procedimientos de la entidad,
4. LIMITACIONES DEL CONTROL INTERNO
• Establecimiento de adecuados objetivos, como precondición para el control

interno.
• El juicio humano en la toma de decisiones puede ser equivocado o sujeto a
parcialidades.
• Errores producto del error humano.
• Posibilidad de anulación de controles por la gerencia.
• Posibilidad de burlar controles por la colusión entre distintos actores.
• Factores externos más allá del control de la entidad.
5. ROLES Y RESPONSABILIDADES.
a) Partes responsables internas

 Directorio y sus comités
 Alta gerencia y todo el Personal de la Organizacion.
 Funciones de soporte
 Personal de áreas de control y riesgo
 Personal de áreas jurídicas y cumplimiento
 Otro personal
 Auditores Internos
b) Partes responsables externas
• Proveedores de servicios
• Los Clientes
• Otros que interactúan con la entidad
• Auditores externos
• Revisores externos
• Legisladores y reguladores
• Analistas financieros
• Prensa
Interno COSO III
6. COMPONENTES.
I. AMBIENTE DE CONTROL
II. EVALUACION DE RIESGOS
III. ACTIVIDADES DE CONTROL
IV. INFORMACION Y COMUNICACION

V. SUPERVISION
I. AMBIENTE DE CONTROL
Es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a
cabo el Control Interno a través de la organización.
El directorio y la alta gerencia establecen el ejemplo en relación con la importancia del

Control Interno y las normas de conducta esperada.
• Enmarca el tono de la organización, influenciando la conciencia del riesgo en

su personal.
• Es la base del resto de los componentes y provee disciplina y estructura.
PRINCIPIO No. 1
LA ORGANIZACIÓN DEMUESTRA COMPROMISO POR LA

INTEGRIDAD Y VALORES ÉTICOS
• Se da el ejemplo.
• Se establecen estándar de conducta.
• Se evalúa la adhesión al estándar de conducta.
• Se tratan los desvíos a los standard en forma oportuna.
AMBIENTE DE CONTROL.
• Se da el ejemplo.
 El directorio y la administración, a todos los niveles de la entidad
demuestran a través de sus directivas, acciones y comportamiento la
importancia de la integridad y valores éticos para soportar el
funcionamiento de sistema de control interno.
• Se establecen estándar de conducta.

 Las expectativas del directorio y la administración sobre la integridad y
los valores éticos están definidas en las normas de conducta de la
entidad y son entendidos a todos los niveles de la organización y por los
proveedores de servicios externos y socios de negocio.
• Se evalúa la adhesión a los estándares de conducta.
 Hay procesos establecidos para evaluar el desempeño de individuos y

grupos de trabajo en función de los estándares de conducta esperados de
la organización.
• Se tratan los desvíos a los estándares en forma oportuna.

 Las desviaciones de los estándares de conducta esperados de la

organización son identificadas y remediadas en tiempo y forma.
PRINCIPIO No. 2
EL CONSEJO DE ADMINISTRACIÓN - EL DIRECTORIO DEMUESTRA UNA

INDEPENDENCIA DE LA ADMINISTRACIÓN Y EJERCE UNA SUPERVISIÓN
DEL DESARROLLO Y EL RENDIMIENTO DE LOS CONTROLES INTERNOS
• El directorio establece sus responsabilidades de supervisión.

• Aplica los conocimientos especializados pertinentes.
• Opera independientemente.
• Supervisa el funcionamiento del sistema de Control Interno.
AMBIENTE DE CONTROL
• El directorio establece sus responsabilidades de supervisión.

 El directorio identifica y acepta sus responsabilidades de supervisión en
relación con el establecimiento de requerimientos y expectativas.
• Aplica los conocimientos especializados pertinentes.
 El directorio define, mantiene y periódicamente evalúa las habilidades y

experiencia necesarios entre sus miembros para permitirle sondear a la
administración y tomar medidas acordes.
• Opera independientemente.
 El directorio tiene suficientes miembros que son independientes de la

administración y objetivos en la evaluación y toma de decisiones.
• Supervisa el funcionamiento del sistema de Control Interno.
 El directorio retiene responsabilidad de supervisión sobre el diseño, la

implementación y ejecución del control interno realizado por la
administración.
 Ambiente de Control – Estableciendo la integridad y valores
éticos, supervisando estructuras, autoridad y responsabilidad,
expectativas de competencia, y rendición de cuentas al
directorio.
 Evaluación de Riesgos - Supervisando la evaluación de riesgos
para el logro de objetivos efectuada por la administración,
incluido el potencial impacto de cambios significativos, fraude y
elusión del control interno.
 Actividades de Control – Proveyendo supervisión de la alta
administración en el desarrollo y ejecución del control interno.
 Información y Comunicación – Analizando y discutiendo
información relacionada con el logro de los objetivos de la
organización.
 Actividades de Monitoreo - Evaluando y supervisando la
naturaleza y alcance de las actividades de monitoreo y la
Interno COSO III
evaluación y remediación de las deficiencias efectuada por la

administración.
PRINCIPIO No. 3:
LA GERENCIA ESTABLECE, CON LA VIGILANCIA DEL DIRECTORIO,

ESTRUCTURAS, LÍNEAS DE REPORTE Y UNA APROPIADA ASIGNACIÓN DE
AUTORIDAD Y RESPONSABILIDAD PARA LA CONSECUCIÓN DE LOS
OBJETIVOS
 Considera todas las estructuras de la entidad.

 Establece líneas de reporte.
 Define, asigna y fija los límites de las autoridades y
responsabilidades.
AMBIENTE DE CONTROL
 Considera todas las estructuras de la entidad.

 El directorio y la administración consideran las múltiples
estructuras utilizadas para soportar el logro de objetivos
(incluidas operativas, jurídicas, distribución geográfica y de
proveedores de servicios externos).
 Establece líneas de reporte.

 La administración diseña y evalúa líneas de reporte para
cada estructura de la entidad para permitir la ejecución
de la autoridad y responsabilidad y flujo de la información
para gestionar las actividades de la entidad.
 Define, asigna y fija los límites de las autoridades y

responsabilidades.
 El directorio y la administración delegan autoridad,
definen responsabilidades, y uso de procesos y
tecnología apropiados para asignar responsabilidad y
segregación de funciones como sea necesario a
diferentes niveles de la organización.
 Directorio – Retiene autoridad ante decisiones

significativas y revisa la asignación y limitación de
autoridad y responsabilidad a la administración.
 Administración Superior – Establece directivas, guías
y control para permitir a la administración y otro
personal comprender y llevar a cabo las
responsabilidades de control interno.
 Administración – Guía y facilita la ejecución de las
directivas en la entidad y subunidades.
 Personal – Comprende las normas de conducta de

la entidad, evalúa riesgos y las actividades de
control correspondientes a sus respectivos niveles
de la entidad, la información esperada y el flujo de
información y comunicación, y monitorea las
actividades relevantes para el logro de sus
objetivos.
 Terceros Proveedores de Servicios – Adhieren l la
definición del alcance de autoridad y
responsabilidad para todo no-empleado
involucrado.
PRINCIPIO No. 4
LA ORGANIZACIÓN DEMUESTRA UN COMPROMISO PARA ATRAER,

DESARROLLAR Y RETENER PERSONAS COMPETENTES EN ALINEACIÓN
CON LOS OBJETIVOS.
 Establece políticas y prácticas SOBRE LOS RECURSOS HUMANOS.

 Evalúa competencias y encara las deficiencias detectadas.
 Recluta, desarrolla y retiene capacidades suficientes y competentes.
 Planifica y prepara la sucesión DE LOS RECURSOS HUMANOS.
AMBIENTE DE CONTROL
 Establece políticas y prácticas.

Políticas y prácticas reflejan las expectativas de
competencia necesaria para soportar el logro de
objetivos.
 Evalúa competencias y encara las deficiencias

detectadas.
 El directorio y la administración evalúan la competencia a
través de la organización y de los proveedores de
servicios tercerizados en relación a las políticas y prácticas
establecidas, y actúan si es necesario para resolver las
deficiencias.
 Recluta, desarrolla y retiene capacidades suficientes y

competentes.
 La organización proporciona el apoyo y el entrenamiento necesario
para atraer, desarrollar y retener personal y proveedores
de servicios tercerizados suficiente y competente para
apoyar el logro de los objetivos.
 Planifica y prepara la sucesión.

 El directorio y la alta administración desarrollan planes de
contingencia para las asignaciones de responsabilidad
importantes en el control interno.

PRINCIPIO No. 5:
Interno COSO III
LA ORGANIZACIÓN TIENE PERSONAS

RESPONSABLES POR LAS RESPONSABILIDADES DE CONTROL
INTERNO EN FUNCIÓN DE LOS OBJETIVOS
 Exige el cumplimiento de la rendición de cuentas a través de las

estructuras, autoridades y responsabilidades.
 Establece medidas de rendimiento, incentivos y recompensas.
 Evalúa la las medidas del rendimiento, los incentivos y
recompensas de acuerdo a la pertinencia de las mismas.
 Considera la presión sobre el logro de objetivos.
 Evalúa el rendimiento y recompensas o la aplicación de medidas
disciplinarias.
AMBIENTE DE CONTROL
 Exige el cumplimiento de la rendición de cuentas a través de las

estructuras, autoridades y responsabilidades.
 El directorio y la administración establecen los
mecanismos para comunicar y mantener individuos
responsables por el desempeño de las responsabilidades
de control interno de la organización y aplicar medidas
correctivas cuando sea necesario.
 Establece medidas de rendimiento, incentivos y recompensas.

 El directorio y la administración establecen medidas de
desempeño, incentivos y otros beneficios apropiados
para responsabilidades en todos los niveles de la
entidad, reflejando las dimensiones apropiados de
desempeño y normas de conducta esperadas, y
teniendo en cuenta la consecución de los objetivos de
corto y largo plazo .
 Evalúa la las medidas del rendimiento, los incentivos y

recompensas de acuerdo a la pertinencia de las mismas.
 El directorio y la administración alinean los incentivos y las
recompensas con el cumplimiento de las
responsabilidades de control interno en el logro de los
objetivos.
 Considera la presión sobre el logro de objetivos.

 El directorio y la administración evalúan y ajustan las
presiones asociadas con el logro de los objetivos al
asignar responsabilidades, desarrollar medidas de
desempeño y evaluar el desempeño.
 Evalúa el rendimiento y recompensas o la aplicación de medidas

disciplinarias.
 El directorio y la administración evalúan el desempeño de
las responsabilidades de control interno, incluida la
observancia de las normas de conducta y los niveles
esperados de competencia y ofrecen recompensas o
ejercen acción disciplinaria, según proceda.
II. EVALUACIÓN DE RIESGOS
La evaluación de riesgos involucra un proceso dinámico e

interactivo para identificar y analizar riesgos que afectan el
logro d e objetivos de la entidad.
Dando la base para determinar cómo los riesgos deben ser

administrados. La gerencia considera posibles cambios en el
contexto y en el propio modelo de negocio que impidan su
posibilidad de alcanzar sus objetivos.
 Cada entidad enfrenta una variedad de riesgos tanto externos

como internos que deben ser evaluados.
 Una precondición para la evaluación de riesgos es el

establecimiento de objetivos asociados a los diferentes
niveles de la organización e internamente consistentes.
 La evaluación de riesgos es la identificación y análisis de los

riesgos relevantes para el logro de los objetivos, como
base para determinar la forma de administrarlos.
 Se requieren mecanismos particulares para identificar y

administrar los riesgos asociados al cambio.
PRINCIPIONo.6:
LA ORGANIZACIÓN DEFINE OBJETIVOS CON LA SUFICIENTE

CLARIDAD PARA PERMITIR LA IDENTIFICACIÓN Y EVALUACIÓN DE
RIESGOS RELACIONADOS CON ESTOS OBJETIVOS
Fijación de Objetivos - Consideraciones
 Alinear los objetivos con las prioridades de la estrategia.

 Articular la tolerancia al riesgo con los objetivos.
 Alinear los objetivos con las leyes, regulaciones, reglas y
normas aplicables a la actividad.
 Articular los objetivos en términos que sean específicos,
medibles u observables, atendibles, relevantes y con una
duración determinada.
 Cascada de objetivos a través de la entidad y sus
subunidades.
 Alinear los objetivos con toda otra circunstancia que
requiera atención por parte de la entidad.
 Confirmación que los objetivos son adecuados dentro
del proceso de establecimiento de objetivos antes de
que esos objetivos sean utilizados como base para la
evaluación de riesgos.
EVALUACIÓN DE RIESGOS.
• Objetivos Operacionales
Interno COSO III
• Objetivos de Reporte Financiero externo

• Objetivos de Reporte no Financiero externo
• Objetivos de Reporte Interno
• Objetivos de Cumplimiento
EVALUACIÓN DE RIESGOS
Objetivos Operacionales
• Reflejan la elección de la gerencia.

• Consideran la Tolerancia al Riesgo .
• Incluyen Metas operativas y financieras.
• Forman una base para la asignación de recursos.
Objetivos de Reporte – (DE INFORMES) - Financiero externo
 Cumplen con las normas contables aplicables.

 Consideran la materialidad - significatividad.
 Reflejan las actividades de la entidad.
Objetivos de Reporte no Financiero externo
 Cumplen con normas externas a la entidad o marcos

reconocidos.
 Consideran el nivel de precisión requerido.
Objetivos de Reporte Interno
 Reflejan las elecciones de la gerencia.

 Consideran el nivel de precisión requerido.
Objetivos de Cumplimiento
• Reflejan las leyes y regulaciones aplicables.

• Consideran la Tolerancia al Riesgo.
PRINCIPIO No. 7
LA ORGANIZACIÓN IDENTIFICA RIESGOS PARA EL LOGRO DE SUS

OBJETIVOS A TRAVES DE LA ENTIDAD Y LOS ANALIZA COMO BASE PARA
DETERMINAR COMO DEBEN SER ADMINISTRADOS - (SU TRATAMIENTO)
SE REFIERE AL TRATAMIENTO DE LOS RIESGOS: ELIMINAR, MINIMIZAR,

TRANFERIR, COMPARTIR, LOS RIESGOS ( COSO II)
1. Incluye entidad, subsidiaria, división, unidad operativa y

funcional.
2. Analiza factores internos y externos.
3. Involucra a los niveles adecuados de gestión.
4. Estima la importancia de los riesgos identificados.

5. Determina cómo responder a los riesgos.
• Incluye entidad, subsidiaria, división, unidad operativa y funcional.

 La organización identifica y evalúa riesgos a nivel de entidad, subsidiaria,
división, unidad operativa y funcional, relevantes para el logro de los
objetivos.
• Analiza factores internos y externos.
 La identificación de riesgos considera tanto factores internos como externos
y su impacto en el logro de los objetivos.
• Involucra a los niveles adecuados de gestión.
 La organización pone en su lugar mecanismos de evaluación de riesgos
efectivos que involucran a los niveles adecuados de la administración.
• Estima la importancia de los riesgos identificados.
 Los riesgos identificados son analizados a través de un proceso que
incluye la estimación de la potencial significatividad de los riesgos.
• Determina cómo responder a los riesgos.
 La evaluación de riesgos incluye considerar cómo los riesgos deben
ser manejados y si deben ser aceptados, evitados, reducidos o
compartidos.
ESTOS RIESGOS PUEDEN SER:
RIESGOS EXTERNOS RIESGOS INTERNOS

• Económicos • Infraestructura
• Medio Ambientales • Estructura administrativa
• Regulatorios • Personal
• Extranjero • Acceso a activos
• Sociales • Tecnología
• Tecnológicos
PRINCIPIO No. 8
LA ORGANIZACIÓN CONSIDERA LA POSIBILIDAD DE FRAUDE EN LA EVALUACION DE

RIESGOS PARA EL LOGRO DE OBJETIVOS
1. Considera distintos tipos de fraude.

2. Evalúa incentivos y presiones para cometer fraude.
3. Evalúa oportunidades para cometer fraude.
4. Evalúa actitudes y racionalizaciones.
 Considera distintos tipos de fraude.

 La evaluación de fraude considera reporte fraudulento, posible pérdida de
activos y corrupción resultantes de las diversas formas en que el fraude
puede ocurrir.
 Evalúa incentivos y presiones para cometer fraude.

 La evaluación de riesgos de fraude considera incentivos y presiones.
 Evalúa oportunidades para cometer fraude.

Interno COSO III
 La evaluación de riesgos de fraude considera oportunidades para

adquisición, uso o disposición no autorizada de activos, alteración de los
registros de la entidad o comisión de otros actos inapropiados.
 Evalúa actitudes y racionalizaciones.

 La evaluación de riesgos de fraude considera como la administración y otro
personal puede involucrarse en o justificarse actos inapropiados.

PRINCIPIO No. 9:
LA ORGANIZACIÓN IDENTIFICA Y EVALÚA CAMBIOS QUE PUEDEN IMPACTAR

SIGNIFICATIVAMENTE LOS SISTEMA DE CONTROL INTERNO
1. Evalúa cambios en el contexto. (LOS CAMBIOS EXTERNOS)

2. Evalúa cambios en el modelo de negocio. (CAMBIOS INTERNOS)
3. Evalúa cambios en el liderazgo. (CAMBIO INTERNO)
 Evalúa cambios en el contexto.

 El proceso de identificación de riesgos considera cambios en el ambiente
regulatorio, económico y físico en que opera.
 Evalúa cambios en el modelo de negocio.

 La organización considera el impacto potencial en el control interno
producidos por cambios en el modelo de negocio, por nuevas actividades o
variación significativa de las existentes, fusiones y escisiones, operaciones
en el exterior, rápido crecimiento o nuevas tecnologías, entre otras.
 Evalúa cambios en el liderazgo.

 La organización considera cambios en la administración y las respectivas
actitudes y filosofías sobre el sistema de control interno.
III. ACTIVIDADES DE CONTROL.
Actividades de Control son las acciones establecidas por políticas y procedimientos

para ayudar asegurar que las directivas de la administración para mitigar riesgos al
logro de objetivos son llevadas a cabo.EJP. Arqueo de Caja
Las Actividades de Control son realizadas a todos los niveles de la entidad y en varias
etapas del proceso de negocio, y sobre el ambiente de tecnología.
PRINCIPIO No. 10
LA ORGANIZACIÓN SELECCIONA Y DESARROLLA ACTIVIDADES DE CONTROL QUE

CONTRIBUYEN A LA MITIGACION (AMORTIGUACIÓN) DE RIESGOS AL LOGRO DE
OBJETIVOS.
1. Integradas a la Evaluación de Riesgos.

2. Consideran factores específicos de la entidad.
3. Determinadas por los procesos de negocio relevantes.
4. Considera una combinación de distintos tipos de actividades de control.
(preventivos y/o detectivos)
5. Considera a que nivel aplicar las actividades de control.

6. Abordan la separación de funciones. (Registro, autorización, aprobación)

ACTIVIDADES DE CONTROL
 Integradas con la Evaluación de Riesgos.

 Las actividades de control ayudan asegurar que las
respuestas al riesgo que encaran y reducen los riesgos se
llevan a cabo.
 Consideran factores específicos de la entidad.

 La administración considera como el contexto, complejidad,
naturaleza y alcance de sus operaciones, como las
características específicas de la organización, afectan la
selección y desarrollo de las actividades de control.
 Determinadas por los procesos de negocio

relevantes.
 La administración determina cuáles procesos de
negocio relevantes requieren actividades de control.
 Considera una combinación de distintos tipos de actividades de control

(preventivos y/o detectivos).
 Las actividades de control incluyen un rango y variedad de controles y pueden
incluir un conjunto de enfoques para mitigar los riesgos, considerando tanto
controles manuales como automatizados, preventivos como detectivos.
 Considera a que nivel aplicar las actividades de control.

 La administración considera actividades de control a distintos niveles de la
organización.
 Aborda la separación de funciones. (Registro, autorización, aprobación).

 La administración segrega funciones incompatibles ente sí, y, donde dicha
segregación no es práctica selecciona y desarrolla controles alternativos.
PRINCIPIO No. 11
LA ORGANIZACIÓN SELECCIONA Y DESARROLLA

ACTIVIDADES GENERALES DE CONTROL SOBRE LA TECNOLOGÍA PARA
SOPORTAR EL LOGRO DE OBJETIVOS
a. Determina la vinculación entre el uso de la tecnología en los

procesos de negocio y los controles generales de tecnología.
b. Establece las actividades de control de infraestructura de
tecnología pertinentes. (LA INFRAESTRUCTURA SON EL
HAREWARE Y EL SOFWARE)
c. Establece actividades de control pertinentes sobre los procesos de
administración de seguridad.
d. Establece actividades de control pertinentes sobre la adquisición,
desarrollo y mantenimiento de tecnología.
Interno COSO III
 Determina la vinculación entre el uso de la tecnología en los procesos de

negocio y los controles generales de tecnología.
 La administración comprehende y determina la dependencia y
vinculación entre los procesos de negocios, las actividades de
control automatizadas y los controles generales de tecnología.
 Establece las actividades de control de infraestructura de tecnología

pertinentes.
 La administración selecciona y desarrolla actividades de

control sobre la infraestructura de tecnología, las que son
diseñadas e implementadas para ayudar a asegurar la
integridad, exactitud y disponibilidad de la tecnología de
procesamiento
 Establece actividades de control pertinentes sobre los procesos de

administración de seguridad.
 La administración selecciona y desarrolla actividades de control que son

diseñadas e implementadas para restringir el acceso a la tecnología a
usuarios autorizados, adecuados a sus responsabilidades y para proteger
los activos de la entidad de amenazas externas.
 Establece actividades de control pertinentes sobre la adquisición,

desarrollo y mantenimiento de tecnología.
 La administración selecciona y desarrolla actividades de control sobre la
adquisición, desarrollo y mantenimiento de tecnología y su infraestructura
para alcanzar los objetivos.
PRINCIPIO No. 12:
LA ORGANIZACIÓN IMPLEMENTA ACTIVIDADES DE

CONTROL A TRAVÉS DE POLÍTICAS QUE ESTABLEZCAN QUE ES ESPERADO
PROCEDIMIENTOS QUE PONGAN EN SEGURIDAD LAS OPERACIONES
 Establece políticas y procedimientos para soportar la implementación de

las directivas de la gerencia
 Establece responsabilidad y rendición de cuentas por la ejecución de las
políticas y procedimientos.
 Desarrolla – las actividades de control – en forma oportuna.
 Toma acciones correctivas.
 Desarrolla - las actividades de control – utilizando personal competente.
 Reevalúa las políticas y los procedimientos.
 Establece políticas y procedimientos para soportar la implementación de

las directivas de la gerencia
 La administración establece actividades de control que son parte integrante
de los procesos de negocio y actividades diarias del personal, a través de
políticas que establecen que es los esperado y procedimientos pertinentes
que especifican las acciones a realizar.
 Establece responsabilidad y rendición de cuentas por la ejecución de las

políticas y procedimientos.
 La administración establece responsabilidad y rendición de
cuentas por las actividades de control con la administración
(u otro personal designado) de la unidad de negocio o
función en la que los riesgos relevantes residen.
 Desarrolla – las actividades de control – en forma oportuna.

 El personal responsable desarrolla las actividades de control
en forma oportuna y como es definido por las políticas y
procedimientos.
 Toma acciones correctivas.

 El personal responsable investiga y actúa en las cuestiones
identificadas como resultado de la ejecución de las
actividades de control
 Desarrolla - las actividades de control – utilizando personal competente.

 Personal competente, con suficiente autoridad desarrolla las
actividades de control con diligencia y enfoque continuo.
 Reevalúa las políticas y los procedimientos.
 La administración periódicamente revisa las actividades de

control para determinar su continua relevancia, y las
actualiza de ser necesario,
IV. INFORMACIÓN Y COMUNICACIÓN.
La Información es necesaria en la entidad para ejercer las responsabilidades de

Control Interno en soporte del logro de objetivos.
La Comunicación ocurre tanto interna como externamente y provee a la organización

con la información necesaria para la realización de los controles diariamente. La
Comunicación permite al personal comprender las responsabilidades del Control
Interno y su importancia para el logro de los objetivos.
PRINCIPIO No. 13:
LA ORGANIZACIÓN OBTIENE O GENERA Y UTILIZA I N FO RM AC I Ó N

RELEVANTE Y DE CALIDAD PARA SOPORTAR EL FUNCIONAMIENTO
CONTROL I N T E R N O
 Identifica los requerimientos de información.

 Captura fuentes internas y externas de datos.
 Transforma datos relevantes en información.
 Mantiene la calidad en todo el procesamiento.
 Considera la relación costo beneficio.
INFORMACIÓN Y COMUNICACIÓN
 Identifica los requerimientos de información.

Interno COSO III
 Existe un proceso para identificar la información requerida y esperada para

soportar el funcionamiento de los demás componentes del Control Interno
y el logro de los objetivos.
 Captura fuentes internas y externas de datos.

 Los sistemas de información utilizan fuentes de datos internas y externas.
 Transforma datos relevantes en información.

 Los sistemas de información procesan y transforman datos en información
relevante.
 Mantiene la calidad en todo el procesamiento.

 Ver Siguiente
 Considera la relación costo beneficio.

 La naturaleza, cantidad y precisión de la información comunicada se
conmensura con y para soportar el logro de los objetivos
Calidad de la información:
Accesible, Correcta, Actualizada, Protegida, Retenida, Suficiente, Oportuna, Valida y

Verificable.
PRINCIPIO No. 14:
LA ORGANIZACIÓN COMUNICA INTERNAMENTE INFORMACIÓN,

INCLUIDO OBJETIVOS Y ESPONSABILIDADES SOBRE EL CONTROL
INTERNO, NECESARIA PARA SOPORTAR EL FUNCIONAMIENTO DEL
CONTROL INTERNO
 Comunica la información de Control Interno.

 Comunica entre la administración y el directorio.
 Provee líneas de comunicación separadas.
 Selecciona los métodos de comunicación relevantes

INFORMACIÓN Y COMUNICACIÓN.
 Comunica la información de Control Interno.

 Existe un proceso para comunicar la información requerida para permitir
a todo el personal comprender y ejecutar sus responsabilidades de
Control Interno.
 Políticas y procedimientos
 Objetivos específicos
 Importancia, relevancia y beneficios de un Control Interno efectivo.
 Roles y responsabilidades de la administración y otro personal en la
ejecución del Control Interno
 Expectativas de la organización para comunicar en forma ascendente,
descendente y horizontalmente cualquier asunto significativo relativo con
el Control Interno, incluido debilidades, deterioro o incumplimientos.
 Comunica entre la administración y el directorio.

 Existe una comunicación entre la conducción superior y la administración
de tal manera que ambos cuenten con la información necesaria para
cumplir sus roles en relación con el logro de los objetivos de la entidad.
 Canales de comunicación separados, como líneas de denuncia, existen
como mecanismos de salvaguarda para permitir comunicaciones
anónimas o confidenciales, cuando los canales normales son
inoperantes o inefectivos
 Los métodos de comunicación consideran la oportunidad, audiencia y
naturaleza de la información
INFORMACIÓN Y COMUNICACIÓN
o Cuadros de control
o Mails
o Entrenamiento personal ( PRESENCIAL) o en línea (EJP. VIA ZOOM)
o Memorandos
o Discusiones personales
o Evaluaciones de rendimiento
o Políticas y procedimientos
o Presentaciones
o Medios de comunicación social.
o Publicaciones
o Mensajes de texto
o Presentaciones en video, webcast
o Sitios web o colaborativos.
o Etc.
PRINCIPIO No. 15
LA ORGANIZACIÓN COMUNICA A TERCEROS CON RESPECTO A ASUNTOS QUE
AFECTAN EL FUNCIONAMIENTO DE CONTROL INTERNO
 Comunica a terceras partes.

 Permite canales de comunicación entrantes.
 Comunica con el directorio.
INFORMACIÓN Y COMUNICACIÓN.
 Comunica a terceras partes.

 Existen procesos para comunicar información relevante y oportuna a
terceros incluidos accionistas, socios, dueños, reguladores, clientes,
analistas financieros y otros terceros.
 Permite canales de comunicación entrantes.

 Canales de comunicación abiertos permiten obtener información de
clientes, consumidores, proveedores, auditores externos, reguladores,
analistas financieros y otros brindando a la administración y el directorio
información relevante.
Interno COSO III
 Comunica con el directorio.

 La información relevante resultante de evaluaciones externas es
comunicada al directorio.

 Canales de comunicación separados, como líneas de denuncia, existen
como mecanismos de salvaguarda para permitir comunicaciones anónimas
o confidenciales, cuando los canales normales son inoperantes o
inefectivos

 Los métodos de comunicación consideran la oportunidad, audiencia y
naturaleza de la comunicación y los requerimientos y expectativas legales,
regulatorias y fiduciarias.
V. MONITOREO – SUPERVISIÓN.
Son evaluaciones concurrentes o separadas, o una combinación de ambas es

utilizada para determinar si cada uno de los componentes del Control Interno, incluidos
los controles para efectivizar los principios dentro de cada componente, está presente
y funcionando.
Las evaluaciones concurrentes
En tiempo real Ejp. Las evaluciones que el supervisor y el auditoria senior al

auditoror junior, es en tiempo real.
Las evaluaciones concurrentes son las tareas propias del monitoreo. (en tiempo
real)
Las evaluaciones separadas.
Los hallazgos son evaluados y las deficiencias son comunicadas

oportunamente, las significativas son comunicadas a la alta gerencia y al
directorio.
De las evaluaciones sobre hallazgos de auditoria de comunica al nivel

correspondiente.
Las evaluaciones separadas son básicamente los trabajos que efectuar los
auditores externos e internos,
PRINCIPIO No. 16:
LA ORGANIZACIÓN SELECCIONA, DESARROLLA Y

REALIZA EVALUACIONES CONCURRENTES O SEPARADAS PARA DETERMINAR SI
LOS COMPONENTES DE CONTROL INTERNO ESTÁN PRESENTES Y
FUNCIONANDO
 Considera una combinación de evaluaciones concurrentes y separadas.

 Considera la tasa de cambio.
 Establece una base de entendimiento.
 Las evaluciones concurrentes y separadas permiten interrelacioinarse,

para evaluar en una foema mas eficientes los controles internos.
 Usa personal con conocimiento de lo evaluado.
 Integrada a los procesos de negocio.
 Los controles internos están integrados a los sistemas, operaciones,
procesos, actividades, tareas, de la organización, no son aislados
 La organización busca el logro de objetivos y las evaluaciones
concurrente y separadas buscan coadyuvar al logro de objetivos,Ajusta el
alcance y la frecuencia.
 Evaluaciones objetivas
MONITOREO
 Considera una combinación de evaluaciones concurrentes y separadas.

La administración incluye un balance de evaluaciones concurrentes y
separadas
 Considera la tasa de cambio.

La administración considera la velocidad del cambio en la actividad y en los
procesos al seleccionar evaluaciones concurrentes o separadas
 Establece una base de entendimiento.

El diseño y estado actual del sistema de Control Interno es utilizado como base
de las evaluaciones concurrentes y separadas
 Usa personal con conocimiento de lo evaluado.

El personal que efectúa evaluaciones concurrentes o separadas debe tener
suficiente conocimiento para comprender qué es evaluado
 Integrada a los procesos de negocio.

Las evaluaciones concurrentes están integradas en los procesos de negocio y
se ajustan a las condiciones cambiantes
 Ajusta el alcance y la frecuencia.

El alcance a todas las operaciones o parte de ellas dentro de la organización
Permenentemente o periodocamente Ejp. Mensual, trimestral, semenstral o
anual
 La administración varía el alcance y frecuencia de las evaluaciones separadas

dependiendo del riesgo.
 Evaluaciones objetivas
 Las evaluaciones separadas se realizan periódicamente para proveer una
retroalimentación objetiva.
Evaluaciones separadas
 Evaluaciones de Auditoria Interna

 Otras evaluaciones objetivas (Cumplimiento, Riesgo, Seguridad TI, etc.)
 Evaluaciones funcionales inter áreas.
 Benchmarks, evaluaciones de pares.
 Autoevaluaciones.
 Evaluaciones de proveedores de servicios externos.
Interno COSO III
PRINCIPIO No. 17
LA ORGANIZACIÓN SELECCIONA, DESARROLLA Y REALIZA EVALUACIONES
CONCURRENTES O SE PARADAS PARA DETERMINAR SI LOS COMPONENTES DE
CONTROL INTERNO ESTAN PRESENTES Y FUNCIONANDO
 Evalúa los resultados de las evaluaciones.

 Comunica las deficiencias.
 Monitorea las acciones correctivas.
Se determina diferencia entre los R.E. y los R.R. que determinan diferencias (deficiencias)
=
Que a su vez generan ajustes de las diferencias. (acciones correctivas
MONITOREO
 Evalúa los resultados de las evaluaciones.

 La administración y el directorio, según corresponda, evalúan los resultados de
las evaluaciones concurrentes y separadas
 Comunica las deficiencias.
 Las deficiencias son comunicadas a los responsables de tomar acciones

correctivas y a la administración superior y el directorio según corresponda.
 Monitorea las acciones correctivas.
 La administración sigue la remediación de las deficiencias en forma

oportuna.

Capt. - 13

Cargado por

Copyright:

Formatos disponibles

Capt. - 13

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capt. - 13

Cargado por

Copyright:

Formatos disponibles

Marco Integrado del Control

Gestión de Riesgos – COSO II - IV

Control Interno – COSO I – III Gobierno Corporativo

2. COSO MARCO INTEGRADO DE CONTROL INTERNO.

3. DEFINICIÓN DE CONTROL INTERNO SEGÚN EL INFORME COSO.

2 COMMITEE OF SPONSORING ORGANIZATIONS (COSO), Informe COSO (1997), Traducción Copers y

a) Es un proceso compuesto por una cadena de acciones integradas.

b) Bajo la responsabilidad de su consejo de administración, su máximo ejecutivo y el

El control Interno esta bajo la responsabilidad de su consejo de administración y su máximo

c) Diseñado con el objeto de limitar los riesgos.

d) Sólo puede aportar un grado de seguridad razonable.

El Control Interno solo proporciona un grado de seguridad razonable, no la seguridad total, en el

e) Está pensado para facilitar la consecución de objetivos.

OBJETIVOS DE CONTROL INTERNO.

Control Interno es un proceso llevado a cabo por el Consejo de Administración, la

3. OBJETIVOS DE CONTROL INTERNO.

Eficacia y eficiencia de las operaciones:

• Relacionados con la misión y visión de la entidad.

b) Objetivos de reporte (informes)

confiabilidad de la inforemacion financiera y operativa

• Reportes financieros externos

En resumen se refieren a la confiabilidd de la información contable financiera.

Cumplimiento de leyes, decretos, politicas, normas.

• Objetivos relacionados con el cumplimiento de leyes y regulaciones.

4. LIMITACIONES DEL CONTROL INTERNO

• Establecimiento de adecuados objetivos, como precondición para el control

a) Partes responsables internas

b) Partes responsables externas

IV. INFORMACION Y COMUNICACION

El directorio y la alta gerencia establecen el ejemplo en relación con la importancia del

• Enmarca el tono de la organización, influenciando la conciencia del riesgo en

• Es la base del resto de los componentes y provee disciplina y estructura.

LA ORGANIZACIÓN DEMUESTRA COMPROMISO POR LA

• Se establecen estándar de conducta.

• Se evalúa la adhesión a los estándares de conducta.

 Hay procesos establecidos para evaluar el desempeño de individuos y

• Se tratan los desvíos a los estándares en forma oportuna.

 Las desviaciones de los estándares de conducta esperados de la

EL CONSEJO DE ADMINISTRACIÓN - EL DIRECTORIO DEMUESTRA UNA

• El directorio establece sus responsabilidades de supervisión.

• El directorio establece sus responsabilidades de supervisión.

• Aplica los conocimientos especializados pertinentes.

 El directorio define, mantiene y periódicamente evalúa las habilidades y

 El directorio tiene suficientes miembros que son independientes de la

• Supervisa el funcionamiento del sistema de Control Interno.

 El directorio retiene responsabilidad de supervisión sobre el diseño, la

evaluación y remediación de las deficiencias efectuada por la

LA GERENCIA ESTABLECE, CON LA VIGILANCIA DEL DIRECTORIO,

 Considera todas las estructuras de la entidad.

 Considera todas las estructuras de la entidad.

 Establece líneas de reporte.

 Define, asigna y fija los límites de las autoridades y

 Directorio – Retiene autoridad ante decisiones

 Personal – Comprende las normas de conducta de

LA ORGANIZACIÓN DEMUESTRA UN COMPROMISO PARA ATRAER,

 Establece políticas y prácticas SOBRE LOS RECURSOS HUMANOS.

 Establece políticas y prácticas.

 Evalúa competencias y encara las deficiencias