Control interno coso

UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONOMICAS

ESCUELA DE CONTADURIA PÚBLICA

ENFOQUE DEL CONTROL INTERNO DEL COMITÉ DE LA ORGANI ZACIÓN

DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).

ASIGNATURA: AUDITORIA I

CATEDRÁTICO: LIC. YOVANY ELISEO SANCHEZ

GRUPO TEORICO: 01

GRUPO DE TRABAJO: 14

INTEGRANTES: CARNET No. :

MENDEZ AGUILAR, MARIO ENRIQUE MA03052

MARIA ERNESTINA,

NERIO GUEVARA, MARIA ELENA NG94005

TOBAR SARAVIA, BERTA PATRICIA TS03003

CICLO II-2006

CIUDAD UNIVERSITARIA, 20 DE SEPTIEMBRE DE 2006

Auditoria I Enfoque del Control Interno (COSO)

2

INDICE

CONTENIDO PAG.

� Introducción . . . . . . . . . i

� Objetivos . . . . . . . . . . ii

ENFOQUE DEL CONTROL INTERNO (COSO) . . . . . 6

ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA

ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO) 7

1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO

DE LA COMISIÓN DE MARCAS (COSO) . . . . . . 7

1.1. Antecedente del Informe del Comité de la Organización de patrocinio de la

Comisión de Marcas (COSO) . . . . . . . . 7

1.2. Definiciones. . . . . . . . . . 8

1.2.1. Control Interno. . . . . . . . . 8

1.2.2. Definición del Control Interno según el Informe del Cómite de la Organización

de Patrocinio de la Comisión de Marcas (COSO). . . . . 9

1.3. Objetivos del Informe COSO . . . . . . . 9

1.4. Importancia del COSO . . . . . . . 10

1.5. Beneficios del control interno . . . . . . . 11

1.6. Naturaleza del Control Interno . . . . . . . 11

1.7. Clasificación del Control Interno . . . . . . 11

1.8. Características del Control Interno . . . . . . 11

1.9. Participantes y Responsables de la Implementación del Control Interno . 13

1.10. Tipos de Control . . . . . . . . 14

1.11. Auditoria y Control Interno . . . . . . . 14

1.11.1. Tipos de Riesgos del Auditor . . . . . . . 15

1.11.2. Objetivos de la Auditoria Interna . . . . . . 16

1.12. Normativa Técnica del Control Interno (COSO) . . . . 16

2. COMPONENTES DEL CONTROL INTERNO . . . . . 17

2.1. Ambiente de Control . . . . . . . . 18 2.1.1. Integridad y Valores Éticos . . . . . . . 19 2.1.2. Competencia Profesional . . . . . . . 19 2.1.3. Atmósfera de Confianza Mutua . . . . . . 20

2.1.4. Filosofía y Estilo de la Dirección . . . . . . 20

2.1.5. Misión, Objetivos y Políticas . . . . . . . 21

2.1.6. Organigrama . . . . . . . . . 21

2.1.7. Asignación de Autoridad y Responsabilidad . . . . . 22


3

2.1.8. Políticas y Practicas En Personal . . . . . . 23

2.1.9. Comité de Control . . . . . . . . 23

2.2. Evaluación del Riesgo . . . . . . . . 24

2.2.1. TIPOS DE RIESGOS . . . . . . . . 26

2.2.2. Factores de Riesgo . . . . . . . . 26

2.2.3. Estimación del Riesgo . . . . . . . . 28

2.2.4. Determinación de los Objetivos de Control . . . . . 29

2.2.5. Detección del Cambio . . . . . . . . 29

2.3. Actividades de Control . . . . . . . . 30

2.3.1. Tipos de actividades de control . . . . . . 30

2.3.2. Políticas y procedimientos. . . . . . . . 32

2.3.3. Evaluación de riesgos por medio de las actividades de control. . . 33

2.3.4. Controles sobre los sistemas de información. . . . . 33

2.4. Información y Comunicación . . . . . . . 35

2.4.1. Comunicación interna. . . . . . . . 37

2.4.2. Comunicación externa. . . . . . . . 37

2.5. Monitoreo (Supervisión o Vigilancia) . . . . . . 37

2.5.1. Actividades de supervisión continuada . . . . . 38

2.5.2. Evaluaciones puntuales . . . . . . . 38

2.5.3. Alcance y frecuencia . . . . . . . . 38

2.5.4. Implementación del Control Interno . . . . . . 38

3. EL INFORME . . . . . . . . . 40

3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso . 41

3.1.1. Revisión Del Sistema . . . . . . . . 43

3.1.2. Evaluación . . . . . . . . . 44

3.1.3. Obtención de Información para la Evaluación de Control Interno . . 44

3.1.4. Evaluación Definitiva del Control Interno . . . . . 45

4. EVOLUCIÓN DEL COSO . . . . . . . 46

4.1. Concepto COSO según la Administración de Riesgos Corporativos de

acuerdo al Marco Gestión Integral de Riesgo (ERM). . . . . 47

4.2. Componentes del Informe COSO según el Marco Integrado de Administración

de Riesgos Corporativos (ERM) . . . . . . 48

4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno . 55

� Conclusiones . . . . . . . . . iii

� Bibliografía . . . . . . . . . iv

� Anexos . . . . . . . . . . v

• Anexo 1 . . . . . . . . vi


4

INTRODUCCION

El control interno es parte integral de una empresa para que esta pueda desarrollarse en el medio

ambiente que la rodea y a la vez pueda tener cierto grado de control sobre una diversidad de

factores que podrían influir en su desempeño.

En el mundo existen diversos enfoques sobre el control interno, pero uno de los que actualmente

esta tomando un mayor auge es el diseñado por el COMMITTEE OF SPONSORING

ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), integrado por cinco

organizaciones.

El control interno COSO se fundamenta en un proceso efectuados por personas en todos los

niveles de la organización.

La implementación de este control interno busca que los objetivos de la empresa se cumplan de la

mejor manera posible, ayudando a aumentar la eficiencia, la confiabilidad de los estados

financieros y al cumplimiento de las leyes.

El presente trabajo esta basado en El control interno COSO versión 1992, el cual está integrado

por cinco elementos que interactúan entre sí, los cuales son ambiente de control, evaluación de

riesgos, actividades de control, información y comunicación y monitoreo. Al final se tocarán

algunos aspectos importantes de la nueva versión del COSO de 2004 para un mayor

conocimiento para la profesión de Auditoria.


5

OBJETIVOS.

GENERAL

• Dar a conocer los aspectos más importantes del control diseñado por el Comité de la

Organización de Patrocinio de la Comisión de Marcas (COSO).

ESPECIFICOS

• Definir el control interno COSO, así como la importancia que este tiene en las empresas.

• Explicar los objetivos básicos que tiene el control interno COSO.

• Desarrollar los cinco elementos que conforman la estructura del control interno COSO.

• Identificar las partes que componen la estructura básica del informe COSO.

• Mostrar la evolución del control interno COSO de 1992 a su última versión de 2004.


6


7

ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA

ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).

1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROC INIO DE LA

COMISIÓN DE MARCAS (COSO).

1.1.Antecedente del Informe del Comité de la Organización de patrocinio de la Comisión de

Marcas (COSO).

Durante mucho tiempo se ha considerado la importancia del Control Interno para la

administración y auditores independientes. En octubre de 1987 la National Comission on

Fraudulent Financial (Treadway Comisión) Publico un informe en el que enfatiza la importancia

del control Interno para producir la incidencia de información financiera fraudalenta.

Posteriormente el ASB emitió el SAS 55 “Evaluación de la Estructura del Control Interno en una

auditoria de Estados financieros. Este SAS amplia el concepto de Control interno mas allá del

comprendido en anteriores SAS y explica las responsabilidades del auditor en un trabajo de

auditoria.

El SAS 55 fue corregido por el SAS 78 que entro en vigencia el 1 de enero de 1997, debido a que

el ASB pensó que es apropiado conocer la definición y descripción del control interna contenida

en el informe de COSO, para proporcionar adecuadamente y en tiempo, una guía útil a los

auditores.

El informe de COSO sobre control interno, surgió como una respuesta a las inquietudes que

planteaban la diversidad de conceptos, definiciones e interpretaciones existente en toro a la

temática referida.

Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que

la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT

FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE

OF SPONSORING ORGANIZATIONS).


8

El grupo estaba constituido por representantes de las siguientes organizaciones:

� Asociación Americana de Contabilidad (American Accounting Association) (AAA)

� Instituto Americano de Contadores Publico (American Institute of Certified Public

Accountants) (AICPA)

� Instituto de ejecutivos Financieros (Financial Executive Institute) (FEI)

� Instituto de Auditores Internos (Institute of Internal Auditors) (IIA)

� Instituto de Administración y Contabilidad (Institute of Management Accountants) (IMA)

La redacción del informe fue encomendada a Coopers & Lybrand.

Fue Publicado en 1992, hace recomendaciones a los contables de gestión de cómo evaluar,

informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y

eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones

que explica en los componentes del ambiente de control, valoración de riesgos, actividades de

control, información y comunicación, y el monitoreo.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del

2004. La Versión 2004, no es otra cosa que una ampliación del Informe original, para dotar al

Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestión del riesgo.

Para este trabajo se tomara como base a la versión 1992, pero se tocaran algunos puntos de la

versión 2004, para ver cuales han sido los cambios o ampliaciones que se han dado del informe

COSO.

1.2. Definiciones

1.2.1. Control Interno

� Es un proceso efectuado por el consejo de administración, la dirección y el resto de personal

de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable sobre

el logro de los objetivos de la organización.

� El control interno constituye una serie de acciones que se extienden por todas las actividades

de las dependencias y entidades, el cual permite un funcionamiento adecuado de los procesos.


9

� Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos

y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.

1.2.2. Definición del Control Interno según el Informe del Comité de la Organización de

Patrocinio de la Comisión de Marcas (COSO).

Se define como un proceso efectuado por el Consejo de la Administración, la dirección y el resto

del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad

razonable en cuanto a la consecución de objetivos.

Este es un Modelo internacional de Control Integral, diseñado para apoyar a la dirección en un

mejor control de su organización. Provee un estándar, como fundamento para la evaluación del

control interno e identificar las “mejores prácticas” aplicables.

La definición proporciona una base para evaluar la efectividad del control interno. Esta

definición refleja ciertos conceptos fundamentales.

� El control interno es un proceso. Constituye un medio para un fin, no un fin en si mismo.

� El control interno es ejecutado por personas. No son solamente manuales de políticas y

formas, sino personas en cada nivel de una organización.

� Del control interno pueden esperarse que proporcione solamente seguridad razonable, no

seguridad absoluta, a la administración y al concejo de una entidad.

� El control interno esta engranado para la consecución de objetivos en una o mas categorías

separadas pero interrelacionadas.

1.3. Objetivos del Informe COSO

El Informe COSO alcanzan los 3 objetivos principales siguientes:

1. Eficacia y eficiencia de las operaciones

2. Fiabilidad de la información financiera

3. Cumplimiento de las leyes y normas que sean aplicables.

Al realizar una auditoria es conveniente descomponer los 3 objetivos anteriores en los

siguientes:

� Eficacia de las operaciones

� Eficiencia de las operaciones


10

� Fiabilidad de la información financiera

� Fiabilidad de la información operativa y de gestión

� Salvaguardia de los activos

� Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.

El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en

términos de rentabilidad y rendimiento de las operaciones de la empresa u organización.

El segundo objetivo pretende garantizar que la empresa disponga de información financiera

cierta, fiable y, muy importante, que esta información se obtenga tempestivamente, eso es,

cuando sea necesaria y útil. En este sentido, la fiabilidad de la información no es solo una

garantía frente a tercero, sino una exigencia de la dirección, ya que sin esta información, no seria

posible tomar decisiones empresariales acertadas.

El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se

encuentre sujeta la empresa.

El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad,

rendimiento y minimice las perdidas de recursos; favorece que la empresa disponga de

información fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras

normas que le son de aplicación.

Para lograr estos 3 objetivos, el sistema de Control Interno se basa (según la propuesta del

Informe COSO) en 5 elementos o componentes, que representan lo que se necesita para

garantizar el éxito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los

componentes deben estar funcionando correctamente.

1.4. Importancia del COSO

� Incorporo en una sola estructura conceptual los distintos enfoques existentes en el ámbito

mundial y genero un consenso entre los empresarios, los legisladores, los reguladores y otros.

� Actualiza la practica del control interno, lo mismo que los procesos de diseño, implantación y

evaluación.

� Ayuda a evitar peligros y sorpresas (riesgos) en el camino.


11

1.5. Beneficios del control interno

� Es necesario que exista una cultura de control interno en toda la organización, que permita el

cumplimiento de los objetivos generales de control.

� Sus beneficios incluyen:

� Ayudar a los directivos al logro razonable de las metas y objetivos institucionales

� Integrar e involucrar al personal con los objetivos de control

� Ayudar al personal a medir su desempeño y por ende, a mejorarlo

� Contribuir a evitar el fraude

� Facilitar a los directivos la información de cómo se han aplicado los recursos y cómo se han

alcanzado los objetivos

1.6. Naturaleza del Control Interno

El Control Interno abarca el plan de Organización y los métodos coordinados y medidas

adoptadas dentro de la empresa para salvaguardar sus activos, verificar la adecuación y fiabilidad

de la información de la contabilidad, promover la eficacia operacional y fomentar la adherencia a

las políticas establecidas de dirección.

1.7. Clasificación del Control Interno

a. Control Interno Administrativo

Esta constituido por el plan de organización, los procedimientos y registros que conciernen a los

procesos de decisión, que conducen a la autorización de las transacciones por parte de los niveles

jerárquicos superiores, de tal manera que fomenten la eficiencia en las operaciones, la

observancia de políticas y normas prescritas y el logro de las metas y objetivos programados.

b. Control Interno Contable

Comprende el plan de organización, procedimientos y registros concernientes a la custodia de

recursos financieros, la verificación de la exactitud, confiabilidad y oportunidad de los registros e

informes financieros.

1.8. Características del Control Interno

El Control Interno cuenta con cinco características:


12

1. Plan de Organización

La estructura de una Organización variara dependiendo de la naturaleza de la naturaleza de la

empresa, su método de funcionamiento, tamaño, número de componentes de la Organización y su

distribución geográfica, pero lo que tiene en común éstas es que aspiran a contar con unos planes

de organización satisfactorios.

Para que esto se cumpla debe contar con dos requisitos básicos los cuales se describen de la

siguiente manera:

� Independencia de la Organización

Un plan de organización satisfactorio permitirá una separación adecuada de las funciones

operacionales, de custodia, contabilidad y auditoria interna. Debería existir una distribución de

responsabilidades de forma que los registros que se mantienen fuera de cada departamento sirvan

de control sobre las actividades de los mismos. Además, contempla la custodia de los activos, y

la contabilización o el registro de las transacciones relacionadas con ellos.

� Líneas de Responsabilidad

Dentro de los departamentos deben de existir definiciones inequívocas de las responsabilidades,

de acuerdo con las normas y procedimientos globales establecidos por la dirección. Además debe

existir una correcta delegación de autoridad a individuos específicos con el fin de que éstos

cumplan con sus responsabilidades de una forma eficiente y eficaz.

2. Sistema de Procedimientos de Autorización y Registro

Esta característica consiste en que al diseñar el sistema, es importante que los formatos y

procedimientos establecidos permitan la revisión y autorización de todas las transacciones antes

de que éstas queden registradas en los libros de contabilidad de la empresa. Los formatos

utilizados por ésta deben estar prenumerados y contabilizados para asegurarse de que queden

incluidas todas las transacciones ejecutadas en el sistema contable.

El catálogo de cuentas y el manual de contabilidad constituyen también unos componentes

esenciales del sistema. Las cuentas incluidas en el catálogo constituyen el marco básico de todo

el sistema de contabilidad y facilitan la recopilación y clasificación de las diversas transacciones.

El manual de contabilidad describe los conceptos de autoridad, responsabilidad y obligaciones,


13

así como perfila el método con que realizarse el trabajo de contabilidad para alcanzar los

objetivos de la empresa de la forma más eficaz y económica.

3. Prácticas de Sondeo

Consiste en incluir la división de obligaciones y el sistema de procedimientos de autorización y

registro, se incluye también los diversos procedimientos, de comprobación de errores que deben

realizarse en relación con el mantenimiento de los registros de la empresa.

4. Calidad del Personal

Esta consiste en que las anteriores características para que sean eficaces, los empleados claves y

la gerencia de una empresa deben ser competentes para cumplir con sus obligaciones de manera

eficaz. Por lo tanto, la calidad debe incluir la ética, inteligencia, dedicación y responsabilidad de

un individuo.

5. Sistema Fiable

Consiste en diseñar sin ningún problema cualquier sistema mediante organigramas complejos,

manuales voluminosos y declaraciones detalladas de los procedimientos operacionales, pero si la

gerencia no hace que funcione como se había proyectado, entonces este sistema tan laborioso

existe únicamente sobre el papel.

1.9. Participantes y Responsables de la Implementación del Control Interno

Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente:

Consejo de Administración. Establece no sólo la misión y los objetivos de la organización, sino

también las expectativas relativas a la integridad y los valores éticos. Son responsables de

diseñar, instalar e implementar los controles, así como de mantenerlos y modificarlos, cuando sea

necesario.

Gerencia: Debe asegurar que existe un ambiente propicio para el control.

Área financieros. entre otras cosas, apoyan la prevención y detección de reportes financieros

fraudulentos.

Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en

relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las

medidas correctivas necesarias.


14

Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia

de los presupuestos con los planes operativos. auditoria Interna:

A través del examen de la efectividad y adecuación del sistema de control interno y mediante

recomendaciones relativas a su mejoramiento.

Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin

de salvaguardar los bienes de la Empresa.

Personal de la Organización: Mediante la ejecución de las actividades que tiene cotidianamente

asignadas y tomando las acciones necesarias para su control. También siendo responsable de

comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o

posibles faltas al código de conducta y otras violaciones.

Extremadamente la participación de las entidades externas consiste en lo siguiente:

Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto

de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de

los reportes financieros, entre otros.

Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de

requerimientos de control interno, así como en el examen directo de las operaciones de la

Organización, haciendo recomendaciones que lo fortalezcan.

1.10. Tipos de control

Se diseñan para cumplir varias funciones:

� Preventivos

Anticipan eventos no deseados antes de que sucedan

� Detectivos

Identifican los eventos en el momento en que se presentan

� Correctivos

Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado

1.11. Auditoria y Control Interno

La Auditoria Interna se centra en los siguientes aspectos de control interno:

� Confiabilidad, integridad y oportunidad de la información,

� Cumplimiento de las disposiciones legales vigentes,


15

� Protección de Activos

� Uso eficiente y económico de los recursos

� Logro de Objetivos y Metas de operaciones o programas

De aplicarse el Enfoque COSO la Auditoria Interna dejaría de ser una función de informe sobre

hechos pasados, pasando a ser una función proactiva.

1.11.1. Tipos de Riesgos del Auditor

El riesgo que el auditor dé una opinión de auditoria inapropiada cuando los estados financieros

estén elaborados en forma errónea de una manera importante.

Los Componentes del riesgo del auditor están: riesgo inherente, riesgo de control y riesgo de

detección.

Riesgo inherente

Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación

errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con

representaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos

relacionados.

Riesgo de Control

Es el riesgo de que una representación errónea que pudiera ocurrir en el saldo de cuenta o clase

de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega

con representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido

con oportunidad por los sistemas de contabilidad y de control interno.

Riesgo de detección

Es el riesgo de que los procedimientos sustantivos de un auditor no detecten una representación

errónea que existe en un saldo de una cuenta o clase de transacciones que podría ser de

importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otros

saldos o clases.


16

1.11.2. Objetivos de la Auditoria Interna

� Creación de valor en forma constante.

� Identificación de riesgos, evaluación de los mismos y buscar mecanismos que los reduzcan a

su mínima expresión.

� Promover dentro de la empresa el entendimiento y aprendizaje de estos mecanismos.

� Los Auditores Internos son quienes deben asesorar sobre “la mejor forma de hacer las

cosas” y controles a aplicar en cada caso.

1.12. Normativa Técnica del Control Interno (COSO):

La normativa técnica en el cual esta regulado el informe COSO Control Interno tenemos:

a. Planeación (NIA’s Sección 300)

Comprensión de los sistemas de contabilidad y de control interno

Políticas contables adoptadas por la entidad y los cambios en esas políticas

El efecto de pronunciamientos nuevos de contabilidad y auditoria

El conocimiento acumulable del auditor sobre los sistemas de contabilidad y de control interno y

el relativo énfasis que se espera se ponga en las pruebas de procedimientos de control y otros

procedimientos sustantivos

b. Evaluación del Riesgo y Control Interno (NIA’s Sección 400)

En esta NIA su finalidad es proporcionar lineamientos para obtener una comprensión de los

sistemas de contabilidad y de control interno y sobre el riesgo de auditoria y sus componentes:

riesgo inherente, riesgo de control y riesgo de detección, además de lo siguiente:

� El sistema de control interno

� El ambiente de control. Actitud global, conciencia y acciones de los directores y a su

administración respecto del sistema de control interno y su importancia en la entidad

� Procedimientos de control. Aquellas políticas y procedimientos además del ambiente de

control que la administración ha establecido para lograr los objetivos específicos de la entidad

c. Las Normas Técnicas de Control Interno Emitidas Por la Corte de cuentas de La

Republica de El Salvador; Organismo Rector Del Sistema De Control Y Auditoria De La

Gestión Pública. Que Fue Publicado En 29 De Septiembre De 2004.


17

AAMM BBII EENNTTEE DDEE CCOONNTTRROOLL

EVALUACION DE RIESGOS

ACTIVIDADES DE CONTROL

MM OONNII TTOORREEOO INFORMACIÓN

Las normas técnicas de control interno constituyen el marco básico que establece la Corte de

Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones,

entidades, sociedades y empresas del sector público y sus servidores. (De ahora en adelante

“Instituciones del Sector Público” .(Para el resumen de esta norma ver Anexo 1)

2. COMPONENTES DEL CONTROL INTERNO

Los componentes del control interno según el enfoque COSO son los siguientes:

El sistema de control interno definido por el informe de COSO ésta basado en cinco

componentes:

� Ambiente de Control

� Valoración de Riesgos

� Actividades de Control

� Información y Comunicación

� Monitoreo o Vigilancia

A continuación se presenta un esquema de cómo esta estructurado los componente del informe

COSO:

COMUNICACION


18

Breve explicación del esquema.

El control del medio ambiente. Establece el tono de la organización, influenciando la conciencia

del control de su gente. Es la base para el resto de los componentes del Control Interno,

proporcionando disciplina y estructura.

La valoración de riesgos. Es la identificación y el análisis de los riesgos relevantes que puedan

afectar el cumplimiento de los objetivos establecidos, con el fin de diseñar un plan que permita

decidir como se deben administrar dichos riesgos

Las actividades de control. Son las políticas y procedimientos que ayudan a asegurar que las

directrices de la gerencia son llevadas a cabo. Estas ayudan a asegurarse que son tomadas las

acciones necesarias para controlar los riesgos y que se logren los objetivos de la entidad.

Información y comunicación. La información pertinente se debe identificar, capturar y

comunicar en forma y tiempo que permita a los empleados llevar a cabo sus responsabilidades.

Los sistemas de información producen reportes, sobre la operación, situación financiera y el

cumplimiento con leyes y regulaciones, que hacen posible el operar y controlar el negocio

El monitoreo. Es el proceso de evaluación del diseño y operación de los controles por parte del

personal apropiado, siendo en tiempo y tomando acciones necesarias.

Esto aplica a todas las actividades dentro de la organización y algunas veces también a los

contratistas externos.

2.1. AMBIENTE DE CONTROL

El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y

cumple con sus responsabilidades. Además sirve de fundamento para los otros componentes.

Este componente tiene incidencia generalizada en la estructuración de las actividades

empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos, asimismo

influye en las actividades de control, los sistemas de información y comunicación y alas

actividades de supervisión.


19

El ambiente de control considera una serie de factores que se comenta a continuación:

2.1.1. Integridad y Valores Éticos

La autoridad superior del organismo debe procurar , difundir, internalizar y vigilar la practica de

valores éticos aceptados, que constituyan un sólido fundamento moral para su conducción y

operación.

Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad

y compromiso personal.

Los valores éticos son esenciales para el Ambiente de Control. El sistema de Control Interno se

sustenta en los valores éticos, que definen la conducta de quienes lo operan. Estos valores éticos

pertenecen a una dimensión moral y, por lo tanto, van más allá del mero cumplimiento de las

Leyes, Decretos, Reglamentos y otras disposiciones normativas.

El comportamiento y la integridad moral encuentran su red de sustentación y su caldo de cultivo

en la cultura del organismo. Esta determina, en gran medida, cómo se hacen las cosas, que

normas y reglas se observan. Si se tergiversan o se eluden. En la creación de una cultura

apropiada a estos fines juega un papel principal la Dirección Superior del organismo, la que con

su ejemplo contribuirá a construir o destruir diariamente este requisito de control interno.

2.1.2. Competencia Profesional

Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les

permita comprender la importancia del desarrollo, implantación y mantenimiento de controles

internos apropiados.

Tanto directivos como empleados deben:

� Contar con un nivel de competencia profesional ajustado a sus responsabilidades

� Comprender suficientemente la importancia, objetivos y procedimientos del control

interno.

Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de

preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el


20

personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y

metódica.

El Sistema de Control Interno operará más eficazmente en la medida que exista personal

competente que comprenda los principios del mismo.

2.1.3. Atmósfera de Confianza Mutua

Debe fomentarse una atmósfera de mutua confianza para respaldar el flujo de información entre

la gente y su desempeño eficaz hacia el logro de los objetivos de la organización.

La confianza mutua respalda el flujo de información que la gente necesita para tomar decisiones

y entrar en acción. Respalda, además, la cooperación y la delegación que se requieren para un

desempeño eficaz tendiente al logro de los objetivos de la organización. La confianza está basada

en la seguridad respecto de la integridad y competencia de la otra persona o grupo.

La comunicación abierta crea y depende de la confianza dentro de la organización. Un alto nivel

de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de

conocimiento de más de una persona. El compartir tal información fortalece el control reduciendo

la dependencia de la presencia, el juicio y la capacidad de una única persona.

2.1.4. Filosofía y Estilo de la Dirección

La Dirección Superior debe transmitir a todos los niveles de la organización, de manera explícita,

contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los

valores éticos.

La Dirección Superior y las Gerencias deben hacer comprender, a todo el personal, que las

responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un

rol importante dentro del Sistema de Control y que cada rol está relacionado con los demás.

La filosofía y el estilo de la Dirección influencian y traducen la manera en la que el organismo es

conducido. Son ejemplos: la transparencia de la gestión, la postura ante las innovaciones y el

aprendizaje, la forma de resolver los problemas y medir los desempeños y resultados.


21

La actitud de interés de la Dirección, por un control interno efectivo, debe penetrar la

organización. Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y

actitudes concretas.

De esta forma los empleados se desempeñarán en un ambiente que les facilite tanto la

comprensión y respeto por el control interno, como la motivación para la sugerencia de medidas

que fomenten su perfeccionamiento.

2.1.5. Misión, Objetivos y Políticas

La Misión, los Objetivos y las Políticas de cada organismo deben estar relacionados y ser

consistentes entre sí, debiendo estar especificados en documentos oficiales.

Dichos documentos deberán ser adecuadamente difundidos a la comunidad y a todos los niveles

organizacionales. En el primer caso, como antecedente para la posterior rendición de cuenta. En

el segundo, como medio de conseguir el cumplimiento de las acciones organizacionales en la

persecución de aquellos.

Una organización qué desconoce que es, hacia donde va, y que medios utilizará en el camino,

marcha a la deriva y con pocas posibilidades de éxito. En esta condición el control interno

carecería de sus más importantes fundamentos y tan sólo se limitaría a la verificación del

cumplimiento de ciertos aspectos formales.

La Misión indica: ¿Qué somos? ¿Para qué estamos? ¿Qué necesidades servimos? Generalmente

esta fijada en las Leyes, Decretos, Cartas Orgánicas o Estatutos.

Los objetivos indican: ¿Hacia dónde se va? ¿Cuál es nuestro propósito? Son definidos

periódicamente en los planes de acción y presupuestos.

Las Políticas delimitan la acción. Definen: ¿Cuáles son los medios preferidos? ¿Qué valoramos?

¿Qué restricciones les imponemos?

2.1.6. Organigrama

Todo organismo debe desarrollar una estructura organizativa qué atienda el cumplimiento de la

misión y objetivos, la que deberá ser formalizada en un Organigrama.


22

La estructura organizativa, formalizada en un organigrama, constituye el marco formal de

autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los

objetivos del organismo, son planeadas, efectuadas y controladas.

Lo importante es que su diseño se ajuste a sus necesidades, esto es que proporcione el marco

organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos

fijados. Lo apropiado de la estructura organizativa podrá depender, por ejemplo, del tamaño del

organismo

2.1.7. Asignación de Autoridad y Responsabilidad

Todo organismo debe complementar su Organigrama, con un Manual de Organización, en el cual

se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes

relaciones jerárquicas y funcionales para cada uno de estos.

El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen

claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y

solucionar los problemas, actuando siempre dentro de los límites de su autoridad.

Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las

decisiones queden en manos de quienes están más cerca de la operación. Un aspecto crítico de

esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario pero

solamente para mejorar la probabilidad de alcanzar los objetivos.

Toda delegación conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el

trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus

responsabilidades y tareas.

Para que sea eficaz un aumento en la delegación de autoridad se requiere un elevado nivel de

competencia en los delegatarios, así como un alto grado de responsabilidad personal. Además, se

deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la

Dirección.


23

2.1.8. Políticas y Practicas En Personal

La conducción y tratamiento del personal del organismo debe ser justa y equitativa, comunicando

claramente los niveles esperados en materia de integridad, comportamiento ético y competencia.

Los procedimientos de contratación, inducción, capacitación y adiestramiento, calificación,

promoción y disciplina, deben corresponderse con los propósitos enunciados en la política.

El personal es el activo más valioso que posee cualquier organismo. Por ende, debe ser tratado y

conducido de forma tal que se consigna su más elevado rendimiento. Debe procurarse su

satisfacción personal en el trabajo que realiza, propendiendo a que en este se consolide como

persona, y se enriquezca humana y técnicamente. La Dirección asume su responsabilidad en tal

sentido, en diferentes momentos:

� Selección: al establecer requisitos adecuados de conocimiento, experiencia e integridad para

las incorporaciones.

� Inducción: al preocuparse para que los nuevos empleados sean metódicamente

familiarizado con las costumbres y procedimientos del organismo.

� Capacitación: al insistir en que sean capacitados convenientemente para el correcto

desempeño de sus responsabilidades.

� Rotación y promoción: al procurar que funcione una movilidad organizacional que

signifique el reconocimiento y promoción de los más capaces e innovadores.

� Sanción: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con

rigurosidad que no se tolerarán desvíos del camino trazado.

2.1.9. Comité de Control

En cada organismo deberá constituirse un Comité de Control integrado, al menos, por un

funcionario del máximo nivel y el auditor interno titular.

Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno

y el mejoramiento continuo del mismo.

La existencia de un Comité con tal objetivo refuerza el Sistema de Control Interno y contribuye

positivamente al Ambiente de Control.


24

Para su efectivo desempeño debe integrarse adecuadamente, esto es, con miembros que generen

respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y

experiencia que les permita apoyar a la dirección del organismo mediante su guía y supervisión.

2.2. Evaluación del Riesgo

Consiste en la identificación y análisis de los riesgos relevantes que enfrenta un organismo en la

persecución de sus objetivos, ya sean de origen interno como externo. Formando una base para la

determinación de cómo estos deben administrarse.

Antes que todo, deben definirse los objetivos a fin de que la administración pueda identificar los

riesgos ay tomar las acciones necesaria para administrarlos.

La identificación del riesgo es un proceso interativo, y generalmente integrado a la estrategia y

planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema

de riesgos identificados en estudios anteriores.

Su desarrollo debe comprender la realización de un "rastreo" del riesgo, que incluya la

especificación de los dominios o puntos claves del organismo, la identificación de los objetivos

generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar.

Un dominio o punto clave del organismo, puede ser:

� Un proceso que es crítico para su sobrevivencia;

� Una o varias actividades que sean responsables de la entrega de porciones importantes de

servicios a la ciudadanía;

� Un área que esta sujeta a Leyes, Decretos o Reglamentos de estricto cumplimiento, con

amenazas de severas sanciones por incumplimiento;

� Un área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones

tecnológicas de avanzada).


25

Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos del

organismo, debe tenerse en cuenta que pueden existir algunos de éstos que no están formalmente

expresados, lo cual no debe ser impedimento para su consideración.

Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se

pueden mencionar, entre las externas:

� Desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia

organizacional;

� Cambios en las necesidades y expectativas del cliente o usuario;

� Modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos

en la estrategia y procedimientos;

� Alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus

fuentes de financiamiento y su posibilidad de expansión.

Entre las internas, podemos citar:

� La estructura organizacional adoptada, dado la existencia de riesgos inherentes típicos tanto

en un modelo centralizado como en uno descentralizado;

� La calidad del personal incorporado, así como los métodos para su instrucción y

motivación;

� La propia naturaleza de las actividades del organismo.

Una vez identificados los riegos a nivel del organismo, deberá practicarse similar proceso al nivel

de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a

los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo.

Los pasos siguientes al diagnóstico realizado son los de la estimación del riesgo y la

determinación de los objetivos de control


26

2.2.1. TIPOS DE RIESGOS

2.2.2. Factores de Riesgo

Medio Ambiente

� Grado de comunicación, interacción y consulta que tiene el negocio

� Estilo de administración.

� Presión de la competencia.

� Velocidad en que se abren nuevos mercados.

� Presión que ejercen los superiores para el logro de objetivos.

� Riesgos de mercado por tipos de cambio, tasas de interés,

Capacidad del Personal

� Grado de especialidad requerida.

� Grado de conocimiento que tiene el personal operativo, acerca de las funciones y necesidades

del puesto.

Riesgos de mercado

� Exposición en términos de

intervalos de confianza

� Simulación de

administración de

portafolios por cambios en

moneda y tasas de interés

� Desarrollo de pruebas de

contingencia

Riesgo Operacional

� Tamaño y estructura de la

organización de la oficina

de enfrente (donde se

realiza la transacción)

� Tamaño y estructura de la

organización de la oficina

de atrás (donde se

procesan, controlan,

confirman y se evalúan las

transacciones)

Riesgos de Liquidez o

Financiación

� Habilidad de la entidad

para obtener fondos

� Estrategia para manejar

circunstancias

� Elaboración de

presupuestos

� Sistemas de información

Riesgos Legal

� Se identifica tipos y

fuentes de riesgo legal

� Capacidad legal

� Revisión de contratos

� Cumplimiento de leyes

Riesgos de Crédito

� Valoración de garantías

� Políticas de aprobación de

créditos (limites)

� Recuperación efectiva

� Revisión ongoin

Riesgos de Liquidez del

mercado

� Amplitud oferta /

demanda

� Oportunidades de

liquidación o liberación de

transacciones


27

Integridad del Personal

� Calidad moral de los responsables del negocio / actividad.

� Cultura, costumbres, idiosincrasia de la región, etc.

� Proceso de selección y reclutamiento del personal.

� Actitud y disponibilidad de acuerdo a las necesidades del trabajo.

Tamaño y liquidez de los activos

� Cercanía y facilidades reales que tienen los activos del negocio / actividad de convertirse en

efectivo.

� Importancia de los activos en cada área.

Volumen de transacciones

� Grado de Sistematización.

� Incremento de operaciones.

� Complejidad o volatilidad de las operaciones.

Condiciones económicas

� Nivel de resultados cuantitativos y cualitativos del negocio, unidad, región y actividad.

� Oportunidades de disponer de recursos para adquirir las herramientas necesarias para

desarrollar sus trabajos.

Dispersión geográfica

� Ubicación del negocio / actividad con respecto a la localización geográfica de la oficina

matriz.

Adecuación y efectividad de los sistemas de control interno

Cambios en la operación

� Cambios recientes en personal clave.

� Crecimiento acelerado.

� Cambios de procedimientos.


28

Cambios en la tecnología

� Nueva tecnología.

� Presión por la dirección para ser punta de lanza.

2.2.3. Estimación del Riesgo

Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como también

se debe cuantificar la probable pérdida que ellos pueden ocasionar.

Una vez identificados los riegos al nivel de organismo y de programa de actividad, debe

procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los

riesgos pueden ser diversos, e incluirán como mínimo:

� Una estimación de su frecuencia, o sea la probabilidad de ocurrencia.

� Una valoración de la perdida que podría resultar.

En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican

preocupaciones mayores. Por el contrario, los que se estima de alta frecuencia deben merecer

preferente atención. Entre estos extremos se encuentran casos que deben ser analizados

cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.

Existen muchos riesgos dificultosos de cuantificar, que como máximo se prestan a calificaciones

de "grande", "moderado" o "pequeño". Pero no debe cederse a la difundida inclinación de

conceptuarlos rápidamente como "no medibles". En muchos casos, con un esfuerzo razonable,

puede conseguirse una medición satisfactoria.

Esto se puede expresar matemáticamente en la llamada Ecuación de la Exposición:

En donde:

PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual.

F = Frecuencia, veces probables en que el riesgo se concrete en el año.

V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.

PE = F x V


29

2.2.4. Determinación de los Objetivos de Control

Luego de identificar, estimar y cuantificar los riesgos, la Dirección Superior y las Gerencias

deben determinar los objetivos específicos de control y, con relación a ellos, establecer los

procedimientos de control más convenientes.

Una vez que la Dirección Superior y las Gerencias han identificado y estimado el nivel de riesgo,

deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible.

Se deberán establecer los objetivos específicos de control del organismo, que estarán

adecuadamente articulados con sus propios objetivos globales y sectoriales.

En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas

que se estimen más efectivas al menor costo, para minimizar la exposición.

2.2.5. Detección del Cambio

Todo organismo debe disponer de procedimientos capaces de captar e informar oportunamente

los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar

contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.

Una etapa fundamental del proceso de Evaluación del Riesgo es la identificación de los cambios

en las condiciones del medio ambiente en que el organismo desarrolla su acción. Un sistema de

control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera.

A este proceso de identificar cambios efectivos o potenciales con vistas a adoptar las decisiones

oportunas, se lo denomina gestión de cambio. Requiere un sistema de información apto para

captar, procesar y transmitir información relativa a los hechos, eventos, actividades y condiciones

que originan cambios ante los cuales el organismo debe reaccionar.

Esto es identificar causas potenciales que faciliten o impidan alcanzar los objetivos, calcular la

probabilidad de su ocurrencia, evaluar sus probables efectos, y considerar el grado en que el

riesgo puede ser controlado o la oportunidad aprovechada.

A título de ejemplo se señalan algunas condiciones que deben merecer particular atención:


30

� Cambios en el contexto externo: legislación, reglamentos, programas de ajuste, tecnología

cambios de autoridades, etc.

� Crecimiento acelerado: un organismo que crece a un ritmo demasiado rápido está sujeto a

muchas tensiones internas y a presiones externas.

� Nuevas líneas de productos o servicios: la inversión en la producción de nuevos bienes o

servicios generalmente ocasiona desajustes en el Sistema de Control Interno, el que debe ser

revisado.

� Reorganizaciones: generalmente significan reducciones de personal que ocasionan, si no son

racionalmente practicadas, alteraciones en la separación de funciones y en el nivel de

supervisión.

� Creación del sistema de información o su reorganización: puede llegar a generar un

período de exceso o defecto en la información producida, ocasionando en ambos casos la

probabilidad de decisiones incorrectas.

El proceso de gestión de cambio es crítico para el Sistema de Control Interno y no debe ser

obviado en ninguna circunstancia.

2.3. Actividades de Control

Las actividades de control consisten en las políticas y los procedimientos que aseguran que se

cumplen las directrices de la administración. También tienden a que se tomen las medidas

necesarias para hacerle frente a los riesgos que ponen en peligro la consecución de los objetivos

de la entidad.

Las actividades de control se llevan a cabo en cualquier parte de la organización, en todas las

funciones de cada uno de los niveles y comprende una serie de actividades tan diferentes como

pueden ser aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los

resultados de las operaciones, la salvaguarda de activos y la segregación de funciones.

2.3.1. Tipos de actividades de control

Existen muchas descripciones de tipos de actividad de control que incluye desde controles

preventivos, defectivos, manuales, informativos y de dirección.


31

Algunas de las actividades de control que son desarrolladas por el personal de todos los niveles

de organización son los siguientes:

a) Análisis efectuados por la dirección.

Este trata de realizar un análisis de los resultados obtenidos de las operaciones económicas de una

entidad, comprobándolos con los presupuestos, las previsiones, los resultados de ejercicios

anteriores y de los competidores, con el fin de evaluar en que medida se están alcanzando los

objetivos.

Para esto, la dirección realiza un seguimiento de las iniciativas principales como campaña

b) Gestión directa de funciones por actividades.

Los responsables de las diversas funciones o actividades revisan los informes sobre los

resultados alcanzados. En el caso de un banco por ejemplo, el responsable de los prestamos para

consumo analiza los informes obtenidos por: región, sucursal, y tipo de prestamos; Además

también verifica resúmenes, identifica las tendencias y relaciona los resultados con las

estadísticas económicas y los objetivos.

c) Proceso de información.

Se realiza una serie de controles para comprobar la exactitud, totalidad y autorización de las

transacciones. Por ejemplo, el pedido de un cliente no se acepta hasta después de su

comprobación a través del archivo de clientes y del límite de crédito aprobado. Las anomalías

que requieren un seguimiento son analizadas por el personal administrativo y son transmitidas a

los responsables cuando resulta necesario.

d) Controles físicos.

Los equipos de fabricación, las inversiones financieras, la tesorería y otros activos son objeto de

protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las

cifras que figuran en los registros de control.

e) Indicadores de rendimientos.

El análisis combinado de diferentes conjuntos de datos (operativos o financieros) junto con la

puesta en marcha de acciones correctivas, constituye actividad de control. Los indicadores de


32

rendimiento incluyen por ejemplo, las fluctuaciones de los precios de compra, el porcentaje de

pedidos urgente y la proporción de las devoluciones sobre el total de pedidos.

Mediante la investigación de los resultados inesperados o las tendencias anormales, la dirección

identifica las circunstancias en la que existe el peligro de que no se consigan los objetivos

establecidos.

f) Segregación de funciones.

Esta consiste en repartir las tareas entre los empleados con el fin de reducir el riesgo de que se

cometan errores o irregularidades. Por ejemplo, se separan las responsabilidades de autorizar

transacciones, de registrarlas y de gestionar los activos correspondientes.

La persona que autoriza la venta a crédito no será responsable de los registros contables de la

cuenta de clientes o de gestionar los ingresos en efectivo.

2.3.2. Políticas y procedimientos.

Las actividades de control generalmente se apoyan en dos elementos: las políticas que determinan

lo que debería de hacerse (constituyen la base del segundo elemento) y los procedimientos

necesarios para llevar a cabo las políticas.

A menudo las políticas se comunican verbalmente. Las políticas pueden ser eficaces aunque no

estén escritas en situaciones donde hacen referencias a prácticas muy asimiladas y conocidas y en

pequeñas empresas donde las vías de comunicación solo implican un número limitado de

responsabilidad, lo cual facilita la interacción y supervisión del personal. Con independencia de

que una política se establezca o no por escrito, hay que implantarla de forma seria, concienzuda y

coherente. Un procedimiento no será útil si se lleva a cabo de forma mecánica, sin concentrarse

en el objetivo por el que se ha establecido la política.

Asimismo, es importante que las condiciones identificadas como resultados de la aplicación de

los procedimientos se investiguen y que se lleven a cabo las acciones correctivas apropiadas.


33

2.3.3. Evaluación de riesgos por medio de las actividades de control.

La dirección debe de elaborar planes para afrontar los riesgos. Una vez que sean identificados,

estas acciones también serán útiles para definir las operaciones de control que se aplicaran para

garantizar su ejecución de forma correcta, y en el tiempo deseado.

Dichas acciones son parte esencial del proceso mediante el cual una empresa intenta lograr sus

objetivos de explotación. Estas actividades de control sirven como mecanismos para asegurar el

cumplimiento de los objetivos.

Por ejemplo, las actividades podrían incluir tanto el seguimiento del desarrollo de las ventas por

cliente comparándolo con el calendario previsto como las medidas adoptadas para garantizar la

exactitud de la información obtenida. En este sentido, el control es un elemento integrado en el

proceso de gestión.

2.3.4. Controles sobre los sistemas de información.

Los sistemas de información desempeñan un papel fundamental en la gestión de las empresas,

deben necesariamente estar controladas, independientemente de su tamaño o de la información

que generan, sean estas de naturaleza financiera o relativas a las actividades.

Las actividades de control pueden agruparse en dos relativas categorías. La primera abarca los

controles generales, que son aplicables a muchas o a todas las operaciones y que ayudan a

asegurar el correcto funcionamiento. La segunda incluye controles de aplicación que incluye los

procedimientos programados en el seno de las aplicaciones y los procedimientos manuales

asociados para asegurar el control del proceso de los diferentes tipos de transacciones.

Estos controles pueden ser:

a) Controles generales.

Estos controles habitualmente incluyen:

1. Controles sobre las operaciones del centro de proceso de datos.

Estos incluyen la organización y la planificación de trabajos, las intervenciones del operador, los

procesos de salvaguarda y de recuperación de datos, así como los planes de emergencia.


34

En un entorno sofisticado, estos controles también incluyen la planificación de la capacidad

productiva y la distribución y el uso de los recursos. En un ambiente de una tecnología de punta,

la planificación de trabajos se efectúa de forma automática, pero el operador puede intervenir en

todo momento.

b) Controles de aplicación.

Estos controles están diseñados para controlar el funcionamiento de las aplicaciones. Permiten

asegurar la totalidad y exactitud en el proceso de transacciones, su autorización y su validez. Hay

que prestar especial atención a las interfaces de las aplicaciones, ya que, a menudo, están

conectadas con otros sistemas que a su vez, requieren controles para asegurar que se procesan

todos los datos y que todas las salidas de datos se distribuyen adecuadamente.

Una de las contribuciones más importantes de los ordenadores a los sistemas de control es su

capacidad de evitar que se introduzcan errores en el sistema, además de detectarlos y corregirlos

una vez dentro.

Muchos controles de aplicación dependen de comprobaciones de edición informatizadas, que

consisten en comprobaciones de formato, existencia, razón habilidad de datos y otras

comprobaciones que se incorporan en cada aplicación durante su desarrollo. Si estas

comprobaciones están diseñadas correctamente, pueden ayudar a controlar los datos que se

introduzcan en el sistema.

c) Relación entre controles generales y controles de aplicación.

Los controles de sistemas generales y de aplicación están relacionados entre sí. Los controles

generales con necesarios para asegurar el funcionamiento adecuado de los controles de aplicación

que dependen de los procesos informáticos.

La relación entre los controles de aplicación y los generales consiste en que estos son

indispensables para el funcionamiento de los controles de aplicación, y que ambos son necesarios

para garantizar el proceso completo y correcto de la información.


35

d) Evaluación de las actividades de control.

Estas actividades tienen que evaluarse en el contexto de las directrices establecidas por la

dirección para afrontar los riesgos relacionados con los objetivos de cada actividad importante.

La evaluación por lo tanto, tendrá en cuenta si las actividades de control están relacionadas con el

proceso de evaluación de riesgo y si son apropiadas para asegurar que las directrices de la

administración se cumplen. Dicha evaluación se efectuara para cada actividad importante,

incluidos los controles generales de los sistemas informáticos. Las personas encargadas de

efectuar la evaluación tendrán en cuenta no solamente si las actividades de control empleadas son

relevantes en base al proceso de evaluación de riesgos realizados, sino también si se aplican de

manera correcta.

2.4. Información y Comunicación

La información se requiere en todos los niveles de una organización, para llevar a cabo la gestión

de la empresa y el progreso hacia los objetivos en todas las categorías, operaciones, información

financiera y de cumplimiento.

Es imprescindible que la dirección disponga de datos fiables a la hora de efectuar la

planificación, preparar presupuestos, fijar precios, etc.

Los datos relativos a las operaciones son fundamentales para la formulación de los estados

financieros; ya sea que tengan origen interno como externo, o si es de carácter financiero o no es

relevante para todas las categorías de objetivos.

Los sistemas de información le permiten identificar, recoger, procesar y divulgar datos.

Generalmente se utiliza dicho término para denominar el procesamiento de datos generados

internamente relativos a las transacciones y a las actividades operarias internas. Sin embargo este

componente incorpora además la información sobre hechos, actividades y factores externos.

Los sistemas de información pueden ser formales e informales, pues las conversiones con

clientes, proveedores, organismos de control y empleados proporcionan parte de la información

más vital para poder identificar riesgos y oportunidades.


36

Para ser eficiente, no deben únicamente identificar y recoger la información necesaria (financiera

y no financiera), sino que también ha de procesarla y comunicarla en forma y plazo oportuno para

que sea útil en el control de las actividades de la entidad.

Estrategias y sistemas integrados.

Los sistemas de información generalmente constituyen una parte integral de las actividades

operativas, permitiendo recoger información necesaria para tomas las decisiones en cuanto a la

implementación de controles y además considera llevar a cabo iniciativas estratégicas, como algo

nuevo.

Las empresas utilizan la tecnología para comprender y satisfacer las necesidades del mercado

haciendo caso de sistemas para apoyar estrategias empresariales preactivas más que reactivas.

Se debe considerar al momento de seleccionar e implantar la tecnología varios elementos:

objetivos organizativos, las necesidades del mercado, las exigencias competitivas y el soporte que

proporcionara en los controles.

La calidad de la información que se genera por un sistema afecta la capacidad de tomar

decisiones adecuadas al gestionar y controlar las actividades de una entidad, los sistemas

modernos incorporan una opción para que se pueda obtener en todo momento datos actualizados.

Para que la información se considere con calidad debe comprender las siguientes características:

� Utilidad. Se refiere a que la información puede ser efectivamente usada en la toma de

decisiones de los usuarios, dado que es importante y que ha sido presentada en forma

oportuna.

� Confiabilidad. Consiste en que el usuario la acepte y la utiliza para tomas decisiones en ella,

la confianza que este le otorga requiere que las operaciones del sistema sean estables, objetiva

y confiable.

� Provisionalidad. Significa que la información no reporta hechos totalmente terminados.


37

La comunicación es inherente a los sistemas de información, por lo que debe ser amplia para que

pueda abordar las expectativas y responsabilidades de las personas, grupos y otras situaciones

importantes.

2.4.1. Comunicación interna.

Se debe dar a conocer la información necesaria para llevar a cabo las actividades de todo el

personal, específicamente los empleados con responsabilidades importantes en la gestión, deben

de recibir el mensaje claro desde la alta dirección y tomar en serio las funciones afectas al control

interno, ya que la claridad del mensaje como la eficacia de la comunicación es muy importante

especificando cada función concretamente, porque cada persona tiene que entender los aspectos

relevantes del sistema de control interno, como funcionan los mismos y saber cual es su papel y

responsabilidad en el sistema.

2.4.2. Comunicación externa.

La comunicación recibida de terceros (accionistas, instituciones de control, analistas financieros,

etc.), proporciona información importante y acorde a las necesidades sobre el funcionamiento del

control interno; de modo que se pueda entender el entorno y los riesgos de la entidad,

presentando datos significativos que son pertinentes y oportunos, cumpliendo con los

correspondientes registros legales.

Medios de comunicación.

Existen diversos medios para transmitir la comunicación dentro de una entidad:

a. Manuales de políticas, memorias, avisos en pizarras o mensajes de video; materializándose en

estas formas.

b. Mensajes que se transmiten verbalmente; la entonación y el lenguaje corporal sirven para dar

énfasis.

c. La actuación de la dirección al tratar con sus subordinados.

2.5. Monitoreo (Supervisión o Vigilancia)

El proceso de supervisión garantiza que el control interno continua funcionando adecuadamente,

comprendiendo la evaluación, la manera en que se han diseñando, el funcionamiento y la forma


38

en que se adaptan las medidas necesarias, aplicándose a todas las actividades dentro de la entidad

y muchas veces también a externos contratados.

Las operaciones de supervisión se materializan en dos formas:

� Actividades de supervisión continua

� Evaluaciones puntuales

Normalmente los sistemas de control interno, aseguran en mayor o menor medida su propia

supervisión, por lo que cuando mayor sea el nivel y la eficacia de supervisión continua, menor

será la necesidad de evaluaciones puntuales.

2.5.1. Actividades de supervisión continuada

La variedad de actividades que permiten efectuar un seguimiento de la eficacia del control

interno en el desarrollo normal del negocio, comprende actividades corrientes de gestión,

supervisión comparaciones, conciliaciones y otras tareas rutinarias.

2.5.2. Evaluaciones puntuales

Al realizar un replanteamiento del sistema de control interno, muchas veces, resulta útil ya que se

verifica la continuidad de la eficacia de los procedimientos que se llevan a cabo en la supervisión

continuada.

2.5.3. Alcance y frecuencia

Dentro de las evaluaciones del control interno varían según la magnitud de los riesgos objeto de

control y la importancia para la reducción de aquellos, por lo que los controles que actúan sobre

los riesgos de mayor prioridad y los mas críticos para a redacción de un determinado riesgo serán

objeto de evaluación con mas frecuencia. El alcance de la evaluación dependerá de cual de las

categorías de objetivos van enfocados (operacionales, de información financiera o de

cumplimiento)

2.5.4. Implementación del Control Interno

Es el proceso que evalúa la calidad del funcionamiento del control interno en el tiempo y permite

al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran.


39

Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para promover

su reforzamiento. El monitoreo se lleva a cabo de tres formas:

� Durante la realización de las actividades diarias en los distintos niveles de la entidad.

� De manera separada, por personal que no es el responsable directo de la ejecución de las

actividades (incluidas las de control).

� Mediante la combinación de ambas modalidades.

Los elementos que conforman el monitoreo de actividades son:

� Monitoreo del rendimiento;

� Revisión de los supuestos que soportan los objetivos del control interno;

� Aplicación de procedimientos de seguimiento; y,

� Evaluación de la calidad del control interno.

Monitoreo del rendimiento- El rendimiento debe ser monitoreado comparando las metas e

indicadores identificados con los objetivos y planes de la entidad. El monitoreo del rendimiento

de las operaciones ofrece una oportunidad para aprender de la experiencia. El logro de los

objetivos en forma rápida o lenta con relación a lo planeado, puede indicar la necesidad de revisar

los objetivos o modificarlos por la propia entidad.

Revisión de los supuestos que soportan los objetivos - Los objetivos de la entidad y los

elementos del control interno necesarios para obtener su logro apropiado, descansan en supuestos

fundamentales acerca de como se realiza el trabajo. Si los supuestos de la entidad son incorrectos,

el control puede ser inefectivo. Por ello, tales supuestos que sustentan los objetivos de una

entidad deben revisarse periódicamente.

Aplicación de procedimientos de seguimiento - Los procedimientos de seguimiento deben ser

establecidos y ejecutados para asegurar que cambios o acciones apropiadas ocurren.

Evaluación de la calidad del control interno - La gerencia debe monitorear periódicamente la

efectividad del control interno en su entidad para retroalimentar el proceso de gestión de la

entidad. Adicionalmente, utiliza los Informes de auditoria Interna como un insumo que le permite

disponer la corrección de las desviaciones afectan el logro de los objetivos del control interno.


40

3. El Informe del Control Interno COSO

Las estructura del informe COSO, esta formado por los siguiente elementos:

� Resumen Ejecutivo

� Objetivo de la Auditoria


� Valorización del Riesgo


� Información / comunicación

� Monitoreo

Los elementos del Informe esta compuesto por:

a. OBJETIVO

� OPERACIONES, Uso del efectivo y eficiente uso de los recursos

� INFORMACIÓN FINANCIERA, Preparación de Estados Financieros

� CUMPLIMIENTO, La entidad en cuanto a las leyes y regulaciones aplicables

b. ANALISIS DE LOS COMPONENTES A CADA UNA DE LAS ÁREAS DE LA ENTIDAD


� Valoración del Riesgo


� Información y Comunicación

� Monitoreo o Vigilancia

c. RELACIONES ENTRE OBJETIVOS Y COMPONENTES

d. CUALIFICAR EN CUANTO A:

� Eficiencia

� Eficacia

e. OPINIONES


41

3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso

A continuación se presentan los puntos principales en los cuales el auditor debe de enfocarse

para evaluar el control interno según COSO.

Entorno Interno

El auditor debe de considerar cada factor del entorno interno para determinar cuando existe un

entorno interno de control positivo. Se presentan a continuación Varios aspectos a tener en

cuenta, la lista no es completa, no todos los ítem se aplica a todas las entidades, pero sirven como

punto de partida. Si bien algunos de los ítem son Altamente subjetivos y requieren un juicio

considerable, generalmente son relevantes para la efectiva del entorno interno del control.

Integridad y valores éticos

• Existen e implementan códigos de conducta y otras políticas mirando las prácticas de

negocios aceptables, los conflictos de interés o los estándares esperados de

comportamiento ético y moral.

• Relaciones con los empleados, proveedores, clientes, inversionistas, acreedores, auditores,

etc.(Insisten en que estos tengan un plano de alta ética)

• Presión por cumplir objetivos de desempeño irreales

Compromiso por la competencia

• Descripciones formales o informales de trabajo u otras maneras de definir tareas que

comprenden trabajos particulares.

• Análisis del conocimiento y de las habilidades necesarias para desempeñar

adecuadamente los trabajos.

Consejo de directores o comité de auditoria

• Independencia frente a la administración

• Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero

auditores internos y externos.

• Suficiencia y oportunidad para permitir monitoreo de los objetivos y estrategias de la

administración.


42

• Suficiencia y oportunidad de recibir información sensitiva, investigaciones y actos

impropios.

Filosofía y estilo de operación de la administración

• Naturaleza de los riegos de negocios aceptados

• Frecuencia de interacción de la administración principal y la administración operativa.

• Actitudes y acciones así la información financiera incluyen las disputas de aplicación de

acuerdos contables.

Estructura organizacional

• Conveniencia de la estructura organizacional de la entidad y su habilidad para

proporcionar el flujo de información necesaria para administrar sus actividades.

• Claridad en la definición de las responsabilidades calves de los administradores, y su

entendimiento de esas responsabilidades.

• Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus

responsabilidades.

Valoración de autoridad y responsabilidad

• Asignación de responsabilidad y delegación de responsabilidad para cumplir con metas y

objetivos organizacionales, la funciones de operación y los requerimientos reguladores.

• Conveniencia de estándares y procedimientos relacionados con el control, incluyendo

descripciones del trabajo de los empleados.

• Numero apropiado de gente, particularmente con respecto al procesamiento de datos y a

las funciones de contabilidad, con los niveles de habilidades requeridos, relativos al

tamaño de ella entidad y a la naturaleza y complejidad del las actividades y sistemas.

Políticas y prácticas de recursos humanos

• Forma de aplicación de las políticas y los procedimientos para vinculación,

entrenamiento, promoción, y compensación de empleados.

• Conveniencia de las acciones remédiales desarrolladas en respuesta a desviaciones de las

políticas y los procedimientos aprobados.


43

• Si el chequeo de la experiencia de los candidatos a empleo es adecuado, particularmente

en relación con las acciones o actividades principales consideradas como inaceptables

por la entidad.

Si son adecuados los criterios de retención y promoción de empleados y técnicas de recolección

de información. Y relación con el código de conducta u otras orientaciones de comportamiento.

La revisión del Control Interno por parte del auditor le ayuda a determinar otros procedimientos

de auditoria para formular su opinión sobre la razonabilidad de los saldos finales.

Un planteamiento conceptual lógico de la evaluación que hace el Contador Público del control

interno contable que se enfoca a prevenir o detectar errores o irregularidades importantes en los

saldos de las cuentas, consiste en aplicar a cada tipo importante de transacciones y a los

respectivos activos involucrados en la auditoria, los siguientes criterios:

a) Considerar entre otros los tipos de errores e irregularidades que puedan ocurrir.

b) Determinar los procedimientos de control interno contable que puedan prevenir o detectar

errores o irregularidades.

c) Determinar si los procedimientos necesarios están establecidos y si se han seguido

satisfactoriamente.

d) Evaluar cualquier deficiencia, es decir cualquier tipo de error o irregularidad potencial no

contemplada por los procedimientos de control interno existente para determinar su efecto

sobre: la naturaleza, momento de ejecución o extensión de los procedimientos de auditoria a

aplicar.

3.1.1. Revisión Del Sistema

La revisión del sistema es principalmente un proceso de obtención de información respecto a la

organización y de los procedimientos prescritos y pretende servir como base para las pruebas de

cumplimiento y para la evaluación del sistema.

La información requerida para este objeto normalmente se obtiene a través de entrevistas con el

personal apropiado del cliente y referencia a la documentación tal y como manuales de

procedimientos, descripción de puestos, diagramas de flujos y cuadros de decisión


44

3.1.2. Evaluación

Evaluación preliminar

Al terminar la revisión del sistema, el auditor debe ser capaz de hacer una evaluación preliminar

presumiendo un satisfactorio cumplimiento con el sistema prescrito y normalmente es

conveniente hacerlo de inmediato.

Evaluación de control interno

La evaluación de los controles internos contables hecha por el auditor externo o auditor para

cada tipo importante de transacciones, debe dar lugar a una conclusión respecto a sí los

procedimientos establecidos y su cumplimiento deben considerarse satisfactorios si la revisión

del contador público y sus pruebas no revelan ninguna situación que se considere importante

para su objetivo.

En este contexto una deficiencia importante significa una situación en la cual el auditor estima

que los procedimientos establecidos o el grado de cumplimiento de los mismos no proporciona

una seguridad razonable de que errores o irregularidades por importantes significativos con

respecto a las cuentas anuales que están siendo auditadas pudieran prevenirse o detectarse

fácilmente por los empleados del ente en el curso normal de la ejecución de las funciones que le

fueron asignadas.

La revisión y evaluación del control Interno incluye dos fases que son:

1. La revisión preliminar del sistema con objeto de conocer y comprender los procedimientos y

métodos establecidos por la entidad

2. La realización de pruebas de cumplimiento para obtener una seguridad razonable de que los

controles se encuentran en uso y que están operando tal como se diseñaron

3.1.3. Obtención de Información para la Evaluación de Control Interno

Obtener la información básica de las principales actividades de la empresa es muy importante,

debido a que constituye la base para plantear efectiva y eficientemente la

Evaluación del sistema de control interno.


45

El auditor debe determinar los sistemas y sub-sistemas, con la finalidad de diseñar los

flujogramas, que finalmente le permitirán determinar las áreas débiles del sistema de control

interno, no sólo para presentar las recomendaciones a la gerencia, sino para seleccionar los

procedimientos de auditoria que serán necesarios para completar su examen sobre los estados

financieros.

Técnicas de obtención de información

El análisis de técnicas de obtención de información se debe efectuar bajo:

� Análisis por puesto de trabajo

� Análisis por procedimiento o sistemas de información.

Las técnicas de obtención de información más frecuentemente utilizadas son las siguientes: � La entrevista

� Observación personal y directa

� Revisión, lectura y estudio de documentación o antecedentes Cuestionados

Estas técnicas pueden utilizarse en forma independiente o combinada. Dependerá del criterio del

auditor y de la naturaleza de las operaciones de la empresa auditada.

3.1.4. Evaluación Definitiva del Control Interno

Esta es la etapa final dela evaluación del control interno, la cual realiza el auditor luego de haber

revisado la información respectiva al control interno en base a sus transacciones y de haber

efectuado las respectivas pruebas de cumplimiento. El auditor en base a los componentes de la

estructura del control interno, considerara si cumplen con los criterios del enfoque coso.

El auditor, por ejemplo puede llegar a la conclusión siguiente:

El sistema de control interno de la empresa xxx, es efectivo al 31 de diciembre de 2002,

suministra información y asesoria especial a los reportes financieros de la compañía. Esta

compañía es efectiva en la aplicación de las leyes y regulaciones, y la dirección esta al tanto de la

extensión que la compañía a tenido en cuanto a los objetivos operacionales.

� Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,

Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel

Alberto Mantilla B. (Traductor). Tercera Edición

� Normas Internacionales de Auditoria


46

� SAS 78

� Guía Básica para Evaluar el Control Interno Bajo un Enfoque Integral, Fundamentada en

el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas

(COSO). Carlos Alberto Contreras Martínez y Otros.

4. Evolución Del COSO

Al principio de este trabajo se menciono que como base de este trabajo se tomaría la versión del

COSO 1992; pero bien es cierto como todo contador publico tiene que ir a la vanguardia a los

cambios que se produzca en relación al entorno de su desempeño profesional, por ello se ha

considerado tomar aquellos aspectos mas relevantes ya que la información es muy amplia.

Creación.

El nuevo informe COSO fue finalizado en septiembre de 2004, el cual fue nominado como el

Marco Integrado de Administración de Riesgos Corporativos (ERM)

Esta nueva versión de COSO contiene los siguientes aspectos:

� Ha concluido sobre la necesidad de un marco reconocido sobre gerenciamiento del riesgo a

pesar de la abundancia de literatura sobre la materia.

� Sostiene que existe consenso a nivel mundial de que todas las organizaciones pueden

beneficiarse de los mejores procedimientos de identificación y análisis de riesgos.

� Reconoce que el riesgo y el gerenciamiento del riesgo son componentes que están presentes

en todas las actividades de una organización.

� Considera que este marco contribuirá a la identificación y coordinación de todos los

aspectos que deben estar presentes para una efectiva administración del riesgo.

El marco en el cual esta compuesto es:

� La definición de administración de riesgos corporativos.

� Los principios críticos y componentes de un proceso de administración de riesgos

corporativos efectivo.

� Pautas para las organizaciones sobre como mejorar su administración de riesgos

� Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se

necesita para que lo sea.


47

Las técnicas de aplicación proveen:

Ejemplos sobre cómo principios críticos deben ser vistos dentro de la organización.

Una vista general de un proceso de implementación.

Ejemplos que consideran diferentes tipos de empresas:

� Tamaño

� Estrategia

� Industria

� Complejidad

4.1. Concepto COSO según la Administración de Riesgos Corporativos de acuerdo al

Marco Gestión Integral de Riesgo (ERM).

Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el

establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos

potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo

de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.

Es un proceso

� Efectuado por el directorio, gerencia y otros miembros del personal

� Aplicado en el establecimiento de la estrategia a lo largo de la organización

� Diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de

acuerdo a su apetito de riesgo de modo de proveer seguridad razonable en cuanto al logro de

los objetivos de la organización

Administración del Riesgo en la Determinación de la Estrategia

� Eventos y Riesgos

� Apetito de Riesgo

� Tolerancia al Riesgo

� Visión de Portafolio de Riesgos


48

COSO I: Control Interno – Marco Conceptual COSO II: ERM: Marco de Gestión

Integrado (1992) Integral de Riesgo (Enterprise Risk

Management). (2004)

Con la versión del COSO 1992 el informe estaba constituido por 5 componentes que son:

Monitoreo, información y comunicación, actividades de Control, Evaluación de Riesgo y

Ambiente de Control. La nueva versión de COSO de 2004, esta compuesto por los mismo cinco

componentes anteriormente mencionado pero además se han agregado otro tres mas que son:

Respuesta de Riesgo, Identificación de Eventos y establecimiento de Objetivos.

Además se ha incorporado un nuevo objetivo que son las estrategias.

4.2. Componentes del Informe COSO según el Marco Integrado de Administración de

Riesgos Corporativos (ERM)

El control interno esta compuesto por ocho componentes interrelacionados. Se derivan de la

manera como la administración dirige un negocio y están integrados en el proceso de

administración. Tales componentes son:

� Monitoreo

� Información y

Comunicación


� Respuesta de Riesgo

� Evaluación de Riesgo

� Identificación de Eventos

� Establecimiento de

Objetivos


� Monitoreo

� Información y

Comunicación


� Evaluación de Riesgo



49

a. Ambiente Interno

Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.

Medio La esencia de cualquier negocio es su fuente – sus atribuciones individuales, incluyendo la

filosofía de la administración de riesgos, cultura de riesgo, junta de directores, integridad y

valores éticos, compromiso con la competencia, estructura organizacional, asignación de

autoridades y responsabilidad, políticas y practicas de recursos humanos.

Incide en:

� La concientización del personal respecto del riesgo y el control

� El modo en que las estrategias y objetivos son establecidos, las actividades de negocio son

estructuradas y los riesgos son identificados, evaluados y gerenciados.

Los Factores que influyen son:

� Filosofía de la administración de riesgos

� Apetito al riesgo

� Integridad y valores éticos

� Visión del Directorio

� Compromiso de competencia profesional

� Estructura organizativa

� Asignación de autoridad y responsabilidad

� Políticas y prácticas de recursos humanos

FFii lloossooffííaa ddee llaa AAddmmiinniissttrraacciióónn ddee RRiieessggooss

� Representa las creencias compartidas y las actitudes que caracterizan cómo la entidad

considera el riesgo en todas las actividades.

� Refleja los valores de la entidad, influenciando su cultura y estilo de operar.

� Afecta cómo los componentes del ERM son aplicados, incluyendo cómo son identificados los

eventos, los tipos de riesgos aceptados, y cómo son administrados.

� La Dirección debe reforzar la filosofía no sólo con palabras sino con acciones de todos los

días.


50

AAppeettii ttoo aall rriieessggoo

� El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está

dispuesta a aceptar para generar valor.

� Se considera en el establecimiento de la estrategia.

� Permite el alineamiento de la organización, las personas, procesos e infraestructura.

� Expresado en términos cualitativos o cuantitativos

Integridad y Valores Éticos

La estrategia y los objetivos de una organización y la forma en que se implementan se basan en

juicios, preferencias y estilos. La integridad y el compromiso con los valores éticos influencian

esas preferencias y los juicios.

Los valores éticos deben ser comunicados y acompañados de guías explícitas detallando lo que

está bien y lo que está mal. Código formal de conducta:

� Carta del CEO

� Objetivos y filosofía

� Conflictos de interés

� Regalos

� Transparencia

� Recursos corporativos

� Responsabilidad social

� Otros temas relacionado

b. Establecimiento de Objetivos

La entidad debe de señalar los objetivos integrados con ventas, producción, mercadeo como los

son los siguientes. Objetivos operacionales, objetivos estratégicos y objetivos seleccionados.

Objetivos Seleccionados

� Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo

Objetivos estratégicos

� Consiste en metas de alto nivel que se alinean con y sustentan la misión/visión

� Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear

valor para sus grupos de interés


51

Objetivos relacionados

� Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado

� Se categorizan en forma amplia en: operativos, confiabilidad de la información y

cumplimiento

� Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de

cascada

Tolerancia al Riesgo

� La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los

objetivos

� Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia)

� Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los

objetivos relacionados

c. Identificación de Eventos

Los eventos son factores que influyen en la estrategia y objetivos planteadas por la entidad,

dentro de los cuales se identifican eventos relacionados con las metodologías y técnicas,

interdependencia entre los eventos, categoría de eventos, riesgos y oportunidades.

Eventos

Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro

de los objetivos, con impacto positivo, negativo o ambos

Distinguiendo Riesgos y Oportunidades

Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y

administrados Los eventos con un impacto positivo representan oportunidades, las cuales son

recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos

Factores a considerar.

Los eventos pueden provenir de factores internos y externos. La Gerencia debe reconocer la

importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los

mismos


52

Técnicas de Identificación de Eventos

Existen técnicas focalizadas en el pasado y otras en el futuro

Existen técnicas de diverso grado de sofisticación

Ejemplos:

� Inventarios de eventos

� Análisis de información histórica (de la empresa/sector)

� Indicadores de excepción

� Entrevistas y cesiones grupales guiadas por facilitadores

� Análisis de flujos de procesos

� Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en

el logro de los objetivos.

d. Valoración del riesgo.

Es la identificación y análisis de los riesgos relevantes para la consecución de los objetivos,

formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las

condiciones económicas, industriales, reguladoras y de operación continuaran cambiando, se

necesitaran mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.

La valuación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e

impacto.

Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales.

La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y

cuantitativas

e. Repuesta de Riesgo

La entidad es la responsable de identificar los mecanismos necesarios para realizar la

identificación de las respuestas al riesgo, de la evaluación de las posibles respuestas al riesgo,

seleccionando la respuesta más idónea desde el punto de vista de portafolio.

Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en

relación al apetito de riesgo de la entidad.

Evaluando Posibles Respuestas


53

� Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el

nivel de tolerancia definido

� En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos

Categorías de respuesta al riesgo:

Evitarlo : Se toman acciones de modo de discontinuar las actividades que generan riesgo

Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del

riesgo o ambos

Compartirlo : Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia

al transferir o compartir una porción del riesgo

Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo

Visión de Portafolio de Riesgos

� ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su

conjunto o de portafolio de riesgos

� Permite desarrollar una visión de portafolio de riesgos tanto en el ámbito de unidades de

negocio como en el ámbito de la entidad

� Es necesario considerar como los riesgos individuales se interrelacionan

� Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de

riesgo global

ff .. AAccttiivviiddaaddeess ddee CCoonnttrrooll

Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están

aplicando efectivamente las acciones necesarias para manejar los riesgos en la consecución de los

objetivos de la entidad. Estas actividades se dan a lo largo y ancho de la organización, en todos

los niveles y en todas las funciones. Incluyendo un rango de actividades tan diversas como

aprobaciones, autorizaciones, verificaciones, revisión del desempeño de operaciones, así como la

integración con las respuestas al riesgo, generándose tres tipos de controles los cuales son.

Controles generales, de aplicación y específicos de la entidad.

Integración con Respuesta al Riesgo

� Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se

llevan a cabo de manera adecuada y oportuna.


54

� La selección o revisión de las actividades de control comprende la consideración de su

relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado

� Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones

� Tipos de Actividades de Control Preventivas, detectivas, manuales, computarizadas y

controles gerenciales

gg.. II nnffoorrmmaacciióónn yy CCoommuunniiccaacciióónn

Debe identificarse, capturarse y comunicarse información pertinente en una forma y oportunidad

que facilite a la gente cumplir sus responsabilidades. El sistema de información produce

documentos que contienen información operacional, financiera y relacionada con el

cumplimiento, la cual hace posible operar y controlar el negocio. También debe darse una

comunicación efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la

organización. Todo el personal deberá tener un mensaje claro por parte de la alta administración

respecto a sus responsabilidades de control, deben entender su propio papel en el sistema de

control interno, así como de sus actividades individuales se relacionan con el trabajo de los

|demás. Ellos también necesitan comunicación efectiva con las partes externas, tales como

clientes, proveedores, reguladores y accionistas.

La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar

una respuesta al riesgo.

Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que

permita a los miembros de la organización cumplir con sus responsabilidades.

La información relevante es obtenida de fuentes internas y externas

La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los

sentidos (ascendente, descendente, paralelo).

Asimismo, debe existir una comunicación adecuada con partes externas a la organización como

ser: clientes, proveedores, reguladores y accionistas.

hh.. MMoonnii ttoorreeoo

Los sistemas de control interno requieren que sean monitoreados, un proceso que valore la

calidad de desempeño del sistema en el tiempo. Ello es realizado mediante acciones de monitoreo

ongoing (termino técnico que significa estar actualmente en proceso, en continuo movimiento,


55

hacia a delante) evaluaciones separadas una combinación de las dos, el monitoreo incluye las

actividades regulares de administración y supervisión, así como otras acciones personales

tomadas en el desempeño de sus obligaciones. El alcance y las frecuencia de las evaluaciones

separadas dependerá primariamente de la valoración de riesgos y de la efectividad de los

procedimientos de monitoreo ongoing.

Implica monitorear que el proceso de Administración de riesgos mantiene su efectividad a lo

largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través

de:

� Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las

operaciones

� Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la

ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados

de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo

� Una combinación de ambas formas

4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno

� ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco

Integrado de Control Interno del COSO (MICI).

� ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos.

� En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de

“Información Financiera” del MICI.

� ERM incluye ocho componentes.

� ERM incluye el establecimiento de objetivos como un componente separado.

� El MICI considera al establecimiento de objetivos como un prerrequisito para el control

interno.

� El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes

del ERM.


56

CONCLUSIONES

� El control interno es una herramienta indispensable en todas las empresas ya que permite

tener una seguridad razonable sobre factores que pueden influir en el desempeño de la

empresa.

� Los controles internos pueden ser preventivos, detectivo o correctivos, el uso de cada uno de

ellos dependerá de la situación en que se encuentre la empresa.

� El hecho de tener implementado un sistema de control interno no aseguran en su totalidad que

una empresa sobreviva o tenga éxito en los negocios.

� El control interno COSO, tiene una amplia visión sobre los aspectos que es necesario evaluar

en una empresa, ya que este se enfoca en la mayoría de la estructura de la organización.

� Es necesario que para un correcto funcionamiento del control interno COSO haya una

interacción entre cada uno de los cinco elementos que lo conforman.

� El control interno COSO permite tener en cuenta la diversidad de riesgos que afectan a la

empresa, desde los más grandes hasta los más pequeños.

� El Auditor Interno puede aportar valor a las organizaciones incorporando mejoras en el

proceso de evaluación del Sistema de Control Interno, esto requerirá de la puesta en práctica

de un control constructivo donde los auditores deberán actuar como agentes de cambio

protagonizando en forma conjunta con la dirección y el personal de la empresa, el proceso

que encamine a la organización al logro de una gestión de la más alta calidad.


57

BIBLIOGRAFIA

� Guía básica para evaluar el Control Interno bajo un enfoque Integral Fundamentada en el

Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO);

Tesis; Contreras Martines, Carlos Alberto; San Salvador; El Salvador; 2003.

� Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,

Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel Alberto

Mantilla B. (Traductor). Tercera Edición

� Diseño de auditoria para evaluación de riesgo en las empresas comerciales; Tesis; Lozano

Rivera, Reina Esterlina; San Miguel; El Salvador; 2004.

� Corte de Cuentas de la Republica de El Salvador. “Normas técnicas de Control Interno”; El

Salvador; 2004.

� Instituto Mexicano de Contadores Públicos, Normas Internacionales de Auditoria, México,

2004.

� Enciclopedia de la Auditoria; Tomo I; OCÉANO

� http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml

� http://www.monografias.com/trabajos14/auditoria/auditoria.shtml

� http://www.definicion.org/buscar.php?termino=auditoria+forense


58

GLOSARIO

ACTIVIDADES DE CONTROL: Se deben establecer y ejecutar políticas y procedimientos para

ayudar a asegurar que están aplicando efectivamente las acciones identificadas por la

administración como necesarias para manejar los riesgos en la consecución de los objetivos de

la entidad.

COMPONENTE: Uno de los siete componentes del control interno. Los componentes son

Entorno Interno, definición de objetivos, eventos valoración de riesgos y repuesta al

riesgo, actividades de control, información y comunicación, y monitoreo.

CONDICIÓN REPORTABLE: Una deficiencia de control interno relacionada con la

información financiera; es una deficiencia significativa en el diseño u operación del sistema de

control interno, la cual podría afectar adversamente la habilidad de la entidad para registrar,

procesar, sumar, e informar datos financieros consistentes con las aserciones de la administración

en los estados financieros.

CONTROL: Un sustantivo empleado como sujeto, por ejemplo la existencia de un control, una

política o un procedimiento que es parte del control interno. Un sustantivo empleado como

objeto, por ejemplo efectuar el control el resultado de políticas y procedimientos diseñados parar

controlar; est6e resultado puede o no ser control efectivo.

CONTROL DETECTIVO: Un control diseñado para descubrir un evento o un resultado no

intentado (contrasta preventivo)

CONTROL INTERNO: Un proceso, efectuado por el consejo de directores, la administración y

otro personal de una entidad, diseñado para proporcionar seguridad razonable respecto de la

consecución de los objetivos en las siguientes categorías:

� Efectividad y eficiencia de las operaciones

� Confiabilidad de la información financiera.

� Cumplimiento con las leyes y regulaciones aplicables


59

Cuando un sistema de control interno satisface lo los criterios especificados, puede

denominarse efectivo.

CONTROL INTERNO EFECTIVO: EL control interno puede juzgarse efectivo en cada una de

las tres categorías, respectivamente, si el consejo de directores y la administración tienen una

seguridad razonable de que:

� Ellos entienden la extensión en la cual se están consiguiendo los objetivos de operación de

la entidad.

� Los estados financiero publicados son preparados confiablemente.

� Se está cumpliendo con las leyes y regulaciones aplicadas.

Este es un estado o condición de control interno.

CONTROL PREVENTIVO: Un control diseñado para evitar un evento o resultado no

intentado ( contrasta con el control detectivo)

CONTROLES ADMINISTRATIVOS: Controles desempeñados por uno o más administradores

en cualquier nivel en una organización.

CONTROLES COMPUTARIZADOS: Controles desempeñados mediante computador, por

ejemplo controles programados en el software del computador.

CONTROLES DE APLICACIÓN: Procedimientos programados en software de aplicación y

procedimiento manuales relacionados,

Diseñados para ayudar la totalidad y la exactitud del procesamiento de la información.

CONTROLES GENERALES: Políticas y procedimientos que ayudan a asegurar la operación

continuada, propia de los sistemas de información computarizados. Incluyen controles sobre las

operaciones del centro de datos, adquisición y mantenimiento del software del sistema,

seguridades de acceso y desarrollo y mantenimiento del sistema de aplicación.

CONTROLES MANUALES: Controles desempeñados manualmente, no por computador.


60

COSO: Comittee of Sponsorcing Organizations of the treadway Comission

Comité de patrocinio de las organizaciones.

CRITERIO: Un conjunto de estándares contra los cuales puede medirse un sistema de control

interno para determinar su efectividad.

CUMPLIMIENTO: tener que hacer las cosas de conformidad con las leyes y regulaciones

aplicables a una entidad.

DEFICIENCIA: Un defecto del control interno percibido, potencial o real, o una oportunidad

de fortalecer el sistema de control interno para proporcionar una mayor probabilidad de que los

objetivos de la entidad son conseguidos.

DESBORDAMIENTO DE LA ADMINISTRACIÓN: Cuando la administración pasa por

encima de las políticas y los procedimientos prescritos para propósitos ilegítimos con la

intención de ganar o engrandecer la presentación personal de la condición financiera de una

entidad o del estado de cumplimiento

DISEÑO: Intento. Como se emplea en la definición de control interno, el diseño del sistema de

control interno es intentado ( establecido) para proporcionar una seguridad razonable de la

consecución de los objetivos; cuando el intento es realizado, el sistema puede juzgarse efectivo.

DOCUMENTACIÓN: Documentación es el material (papeles de trabajo ) preparado por y

para, u obtenido o retenido por el auditor en conexión con el desempeño de la auditoria..

EFECTUADO: Usado con un sistema de control interno ideado y mantenido

ENTIDAD: Una organización de cualquier tamaño establecido con un propósito particular.

ENTORNO INTERNO : la esencia de cualquier negocio es su gente, sus atributos individuales,

incluyendo la integridad, los valores éticos y la competencia y el ambiente en que ella opera.


61

ESTADOS FINANCIEROS PUBLICADOS: Estados financieros, estados financieros

intermedios y condensados así como los datos seleccionados derivados de tales estados tales

como utilidades realizadas, informado públicamente.

ESTIMACIÓN CONTABLE: Una estimación contable es una aproximación del monto de una

partida en ausencia de un medio preciso de cuantificación.

INFORMACIÓN Y COMUNICACIÓN: Los sistemas de información y comunicación se

interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información

necesaria para conducir, administrar y controlar sus operaciones.

INFORMACIÓN FINANCIERA Empleada con objetivos y controles: Tiene que ver la

confiabilidad de los estados financieros publicados

INTEGRIDAD: La calidad o estado de ser de principios morales sólidos; rectitud, honestidad y

sinceridad; el deseo de hacer las cosas correctas, profesar y vivir de acuerdo con un conjunto

de valores y expectativas.

INTERVENCIÓN DE LA ADMINISTRACIÓN: Acciones de la administración para dirigir las

políticas o los procedimiento prescritos en función propósito legítimos; la intervención de la

administración usualmente es necesaria para tratar con transacciones no recurrentes y no

estándares o eventos que de otra manera pueden manejarse inapropiadamente por el sistema.

LIMITACIONES INHERENTES: Aquellas restricciones de todos los sistemas de control

interno. Las restricciones se relacionan con los límites del juicio humano; la escasez de

recursos y la necesidad de considerar el costo de los controles en relación con los beneficios

esperados; la realidad de que puedan ocurrir fallas; y la posibilidad de que la administración

sobrepase los controles y se oponga a ellos.

MONITOREO: Debe monitorearse el proceso total y considerarse como necesario para hacer

modificaciones. De esta manera el sistema puede reaccionar dinámicamente, cambiando a

medida que las condiciones lo justifiquen.


62

OPERACIONES: Usada con objetivos o controles: Tiene que ver con la efectividad y la

eficiencia de las operaciones de una entidad, incluyendo los objetivos de desempeño y

rentabilidad, y la salvaguarda de recursos.

POLÍTICA: Mandato de la administración respecto de qué debe hacerse para efectuar el

control. Una política sirve como base para procede a su implementación.

VALORES ÉTICOS: Los valores morales que le permiten a quien toma decisiones determinar

un curso de comportamiento apropiado ; esos valores deben basarse en lo que es correcto, lo

cual puede ir mas allá de lo que es legal.

VALORACIÓN DE RIESGO: La entidad debe ser consiente de los riesgos y enfrentarlos, debe

señalar objetivos, integrados con ventas, producción, mercadeo , finanzas y otras actividades, de

manera que opere concertadamente. También debe establecer mecanismos para identificar,

analizar y administrar los riesgos relacionados.


63


64

ANEXO 1

CORTE DE CUENTAS DE LA REPUBLICA

Organismo Rector del Sistema de Control Y Auditoria de la Gestión Pública

NORMAS TECNICAS DE CONTROL INTERNO

CAPITULO PRELIMINAR

Publicadas en Diario Oficial No.180,

Tomo No. 364, 29 de septiembre de 2004.

DECRETO No. 4

EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA,

CONSIDERANDO:

I. Que el proceso de modernización del Estado ha introducido cambios en los sistemas financieros, operativos, administrativos y de información; por lo que se hace necesario

emitir nuevas Normas Técnicas de Control Interno, para establecer pautas generales que orienten el accionar de las entidades del sector público, en un adecuado sistema de control interno y probidad administrativa, para el logro de la eficiencia, efectividad, economía y

transparencia en la gestión que desarrollan. II. Que el informe presentado por la Comisión Treadway, conocido como informe COSO,

proporciona una nueva conceptualización del Control Interno, por lo tanto las actuales Normas de

Técnicas de Control Interno emitidas por la Corte de Cuentas de la República, requieren de una

adecuación, de conformidad al informe COSO.

POR TANTO:

En uso de las facultades conferidas por el Artículo 195, numeral 6 de la Constitución de la

República de El Salvador y Artículos 5, numeral 2 y 24 numeral 1 de la Ley de la Corte de

Cuentas de la República, DECRETA EL SIGUIENTE REGLAMENTO, que contienen las:

NORMAS TECNICAS DE CONTROL INTERNO

CAPITULO PRELIMINAR

Ámbito de aplicación

Art. 1.- Las normas técnicas de control interno constituyen el marco básico que establece la Corte

de Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones,

entidades, sociedades y empresas del sector público y sus servidores. (de ahora en adelante

“Instituciones del Sector Público”)


65

Comentario

Los artículos 24, numeral 1 y 110 de la Ley de la Corte de Cuentas de la República, establecen el

ámbito de aplicación.

Definición del Sistema de Control Interno

Art. 2.- Se entiende por sistema de control interno el conjunto de procesos continuos e

interrelacionados realizados por la máxima autoridad, funcionarios y empleados, diseñados para

proporcionar seguridad razonable en la consecución de sus objetivos.

Comentario

El sistema de control interno comprende planes, métodos, procedimientos y actividades

establecidos en la Institución, para alcanzar los objetivos institucionales. Existen dos criterios

para clasificar el control interno, así:

a. De acuerdo a la finalidad, se clasifica en administrativo y financiero,

b. Desde el punto de vista de la oportunidad o momento de ser aplicado, se clasifica en previo,

concurrente y posterior

Las clases de control antes mencionadas están inmersas en los diversos componentes del sistema.

Objetivos del Sistema de Control Interno

Art. 3.- El sistema de control interno tiene como finalidad coadyuvar con la Institución en el

cumplimiento de los siguientes objetivos:

a. Lograr eficiencia, efectividad y eficacia de las operaciones,

b. Obtener confiabilidad y oportunidad de la información, y

c. Cumplir con leyes, reglamentos, disposiciones administrativas y otras regulaciones aplicables.

Comentario

El sistema de control interno proporciona una seguridad razonable de que se alcancen los

objetivos institucionales, según las siguientes categorías de objetivos de control interno;

a. Eficiencia, efectividad y eficacia en la ejecución de sus operaciones, lo que incluye el uso

apropiado de todos los recursos institucionales,

b. confiabilidad y oportunidad de la información financiera, presupuestaria y cualesquiera otros

reportes para uso interno y externo, y

c. cumplimiento del ordenamiento jurídico y técnico aplicable, sean leyes, decretos, reglamentos,

etc., todo de acuerdo con la escala jerárquica de las fuentes del ordenamiento.


66

Como una derivación del cumplimiento de estos objetivos, se obtiene protección para los activos,

al proporcionar una seguridad razonable en la prevención o rápida detección de adquisiciones,

usos o disposiciones no autorizadas de los activos institucionales, coadyuvando con la

transparencia y economía de la gestión, a que se refiere la Ley de la Corte de Cuentas.

Componentes Orgánicos del Sistema de Control Interno

Art. 4.- Los componentes orgánicos del sistema de control interno son: ambiente de control;

valoración de riesgos; actividades de control; información y comunicación; y monitoreo.

Comentario

Los procesos que desarrollan y llevan a cabo las personas, según el Informe COSO, se han

ordenado en los cinco siguientes componentes:

a. Ambiente de Control: establece el fundamento de la institución, para influir la práctica del

control en sus servidores. Es la base de los otros componentes del control interno,

proporcionando los elementos necesarios para permitir el desarrollo de una actitud positiva y de

apoyo para el control interno y para una gestión escrupulosa.

Los factores del ambiente de control incluyen: la integridad y los valores éticos, la competencia

del personal, la filosofía y el estilo de administración, la estructura organizacional, la asignación

de autoridad y responsabilidad, las políticas y prácticas de gestión de recursos humanos y la

unidad de auditoría interna.

b. Valoración de Riesgos. Cada entidad enfrenta una variedad de factores de riesgo derivados de

fuentes externas e internas, que deben ser considerados para alcanzar los objetivos

institucionales. Por eso, una condición previa para la valoración de riesgos es el establecimiento

de objetivos, enlazados en niveles diferentes y consistentes internamente. La valoración de

riesgos es la identificación y análisis de los riesgos relevantes para el logro de los objetivos,

formando una base para la determinación de cómo deben administrarse los riesgos.

c. Actividades de Control. Son las políticas y procedimientos que permiten obtener una

seguridad razonable del cumplimiento de las directrices administrativas.

Tales actividades ayudan a asegurar que se están tomando las acciones necesarias para enfrentar

los factores de riesgo implicados en el logro de los objetivos de la entidad. Estas se dan en todos

los niveles de la organización; incluyen un rango de actividades tan diversas como aprobaciones

y autorizaciones, conciliaciones, seguridad de activos, rotación del personal, rendición de fianzas

y segregación de funciones.


67

d. Información y Comunicación. Deben establecerse los procesos para que la administración

activa pueda identificar, registrar y comunicar información, relacionada con actividades y eventos

internos y externos relevantes para la organización.

e. Monitoreo. El sistema de control interno tiene que someterse a un proceso continuo de

monitoreo, bajo la responsabilidad de la máxima autoridad y niveles gerenciales de cada entidad.

Son actividades que se realizan para valorar la calidad del funcionamiento del sistema de control

interno en el tiempo y asegurar razonablemente que los resultados de las auditorías y de otras

revisiones, se atiendan con prontitud.

Responsables del Sistema de Control Interno

Art. 5.- La responsabilidad por el diseño, implantación, evaluación y perfeccionamiento del

sistema de control interno corresponde a la máxima autoridad de cada Institución del sector

público y a los niveles gerenciales y demás jefaturas en el área de su competencia institucional.

Corresponde a los demás empleados realizar las acciones necesarias para garantizar su efectivo

cumplimiento.

Comentario

La máxima autoridad tiene la mayor responsabilidad por el sistema de control interno de toda la

Institución, por lo que se dice que debe asumir la “propiedad” del sistema de control interno.

Cada uno de los demás niveles gerenciales y de jefatura delimitan su responsabilidad por el

sistema de control interno de su competencia. El resto de los empleados deben cumplir de la

mejor manera posible, con las responsabilidades que se les hayan asignado.

Seguridad razonable

Art. 6.- El sistema de control interno proporciona una seguridad razonable para el cumplimiento

de los objetivos institucionales.

Comentario

El sistema de control interno se desarrolla con la ejecución de una serie de acciones y actividades

que ocurren como parte de las operaciones de las instituciones y que son llevadas a cabo por

personas, mismas que pueden cometer errores de juicio, equivocaciones y participar en actos de

colusión. Por ello es que se señala que el sistema de control interno solo proporciona una

seguridad razonable, no absoluta, de que los objetivos institucionales se vayan a cumplir. Ello

también tiene que ver, con la relación costo-beneficio de las actividades de control que se

implementen.


68

CAPITULO I

NORMAS RELATIVAS AL AMBIENTE DE CONTROL

Integridad y Valores Éticos

Art. 7.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben mantener y

demostrar integridad y valores éticos en el cumplimiento de sus deberes y obligaciones así como

contribuir con su liderazgo y acciones a promoverlos en la organización, para su cumplimiento

por parte de los demás servidores.

Comentario

Estamos hablando en este enunciado de los códigos de ética, que deben existir. En todas las

Instituciones, que identifiquen claramente para todos los funcionarios las conductas deseadas y

no deseadas por la Institución. Pero también debe señalarse la necesidad de llevar a cabo

actividades periódicas que no solo refuercen en los funcionarios las conductas éticas sino que les

ayuden a una mejor interiorización de esos valores institucionales. También estamos hablando

aquí de “predicar con el ejemplo”, o como también se dice “dar el tono”. Tampoco se debe

olvidar el enunciado de esta norma, que es parte de una cultura organizacional que se debe ir

desarrollando, de su aplicación cuando estemos en el proceso de selección de nuestro personal.

Compromiso con la Competencia

Art. 8.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben realizar las

acciones que conduzcan a que todo el personal posea y mantenga el nivel de aptitud e idoneidad

que les permita llevar a cabo los deberes asignados y entender la importancia de establecer y

llevar a la práctica adecuados controles internos.

Comentario

Cada Institución debe identificar el conocimiento y las habilidades que son necesarias para todas

y cada una las funciones que se deben llevar a cabo para el mejor cumplimiento de su

competencia. Ello es esencial para, no solo contratar el personal que posea el nivel de preparación

y experiencia que se ajuste a los requisitos del puesto, sino también para proporcionar la

capacitación y adiestramiento necesarios.


69

CAPITULO II

NORMAS RELATIVAS A LA VALORACIÓN DE RIESGOS

Definición de Objetivos Institucionales

Art. 14.- Se deberán definir los objetivos y metas institucionales, considerando la visión y misión

de la Organización y revisar periódicamente su cumplimiento.

Comentario

La definición de objetivos y metas es una condición previa para la valoración de riesgos y es una

parte clave del proceso administrativo. Por eso debe reconocerse que no es un componente de

control interno, pero sí es un prerrequisito esencial para hacer posible y que tenga razón de ser el

control interno.

De la estrategia institucional deben definirse objetivos y metas más específicos, que deben estar

enlazados e integrados, por cuanto todos y cada uno de los objetivos y metas de las unidades,

procesos y equipos de trabajo deben contribuir de manera significativa a alcanzar los objetivos

macro-institucionales.

Tan importante como la definición de objetivos y metas, es el proceso de revisar periódicamente

su cumplimiento, mediante informes de evaluación, que deben llevar como fin último poder hacer

las correcciones que sean pertinentes, en el momento adecuado, para alcanzar nuestros objetivos

y metas. Realmente el proceso de planificación solo es importante cuando se encuentra con su

hermano siamés, que no es otro que el proceso de control. Debe recordarse la importancia de

establecer mecanismos, criterios o indicadores de desempeño, que serán clave para dar

seguimiento al avance del cumplimiento de los objetivos y metas.

Identificación de Riesgos

Art. 16.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben identificar los

factores de riesgos relevantes, internos y externos, asociados al logro de los objetivos

institucionales.

Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004.

Comentario

El primer paso para iniciar el proceso de valoración de riesgos consiste en identificar los factores

de riesgos, es decir aquellos eventos relevantes de origen interno y externo, que de llegar a

producirse, pueden impedir u obstaculizar el logro de los objetivos de la organización. Los

métodos para identificar los factores de riesgo pueden ser de los más sofisticados, por ejemplo el

uso de software especializado, hasta los más sencillos, por ejemplo talleres, análisis FODA, etc.


70

CAPITULO III

NORMAS RELATIVAS A LAS ACTIVIDADES DE CONTROL

Documentación, Actualización y Divulgación de Políticas y Procedimientos.

Art. 19.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben documentar,

mantener actualizados y divulgar internamente, las políticas y procedimientos de control que

garanticen razonablemente el cumplimiento del sistema de control interno.

Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004.

Comentario

Las autoridades superiores son las responsables de emitir las políticas y los procedimientos de

control, que el resto de los funcionarios deben cumplir como parte de sus obligaciones. Pero no

solo las deben emitir, sino que para que realmente cumplan con sus objetivos, deben velar porque

se mantengan

actualizados, principalmente considerando que los avances tecnológicos cada vez son más

rápidos.

También es su responsabilidad que todos los funcionarios, pero principalmente los que deban

aplicar los procedimientos, los conozcan y puedan por ende aplicarlos, para lo cual deben definir

los procesos de divulgación más efectivos.

Actividades de Control

Art. 20.- Las actividades de control interno deben establecerse de manera integrada a cada

proceso institucional.

Comentario

Una característica del sistema de control interno según el enfoque COSO, es que las actividades

de control que se establezcan para reforzar el cumplimiento de las directivas de la administración

y lograr una gestión eficaz y eficiente de los riesgos, deben ser ejecutadas como parte de las

operaciones de todos y

cada uno de los procesos, sean estos centrales y de soporte.

La Ley de la Corte de Cuentas de la República señala como un deber de la máxima autoridad o el

titular de cada Institución, en el artículo 99, inciso 1) “Asegurar la implantación, funcionamiento

y actualización de los sistemas administrativos, cuidando de incorporar en ellos el control

interno”.


71

Definición de Políticas y Procedimientos de Autorización y Aprobación

Art. 21.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben establecer por

medio de documento, las políticas y procedimientos que definan claramente la autoridad y la

responsabilidad de los funcionarios encargados de autorizar y aprobar las operaciones de la

Institución.

Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004. 20

Comentario

La autorización y la aprobación son la forma idónea de asegurar que sólo se realicen actos y

transacciones que cuentan con el aval del funcionario ompetente. Este aval debe ser acorde a la

misión, estrategia, planes, presupuestos y normativa legal aplicable.

La autorización y la aprobación será documentadas y comunicadas explícitamente a los

funcionarios responsabilizados. Estos tendrán que ejecutar las tareas que se les han asignado, de

acuerdo con las directrices, y dentro del ámbito de competencia establecido por la normativa.

Dentro de esta norma se incluyen aquellas autorizaciones y aprobaciones que se relacionan con

todos los procesos institucionales, sean centrales o de soporte, separando y distribuyendo entre

los diferentes cargos, aquellas funciones que, si se concentraran en una misma persona, pueden

comprometer el equilibrio

y eficacia del control interno. Igualmente, las diversas fases que integran un proceso, transacción

u operación, se distribuirán, entre los diversos funcionarios y unidades de la entidad, de tal

manera que el control total de su desarrollo esté debidamente separado.

Definición de Políticas y Procedimientos sobre Activos


medio de documento, las políticas y procedimientos para proteger y conservar los activos

institucionales, principalmente los más vulnerables.

Comentario

Todos los activos institucionales deben ser asignados formalmente a un responsable de su

custodia, a quien se le informará sobre su responsabilidad respecto de los activos asignados.

Además se contará con adecuadas medidas de salvaguarda, a través de seguros, almacenaje,

sistemas de alarma, autorizaciones para acceso, según corresponda.


72

Los bienes, deben estar debidamente registrados y por lo menos una vez al año, se cotejarán las

existencias físicas con los controles correspondientes para verificar su veracidad. La frecuencia

de la comparación, dependerá de la naturaleza de los bienes.

De igual manera deberán llevarse a cabo arqueos independientes sobre fondos y valores, para

garantizar su integridad.

Definición de Políticas y Procedimientos sobre Diseño y Uso de Documentos y Registros.


medio de documento, las políticas y procedimientos sobre el diseño y uso de documentos y

registros que coadyuven en la anotación adecuada de las transacciones y hechos significativos

que se realicen en la Institución. Los documentos y registros deben ser apropiadamente

administrados y mantenidos.

Comentario

Los documentos y registros deben diseñados y utilizados siguiendo los procedimientos

establecidos en la Institución con el fin de que sean útiles para los fines de la organización y en

especial al control interno. Es importante, en el caso de los formularios de uso general, que sean

uniformes y prenumerados.

Para que se considere útil y adecuada, la documentación, en general, debe reunir los siguientes

requisitos:

a. Tener un propósito claro.

b. Ser apropiada para alcanzar los objetivos institucionales.

c. Ser útil a los funcionarios para controlar las operaciones.

d. Servir a los fiscalizadores u otras personas para analizar las operaciones.

e. Estar disponible y accesible para que el personal autorizado y los auditores la verifiquen

cuando corresponda.

Los documentos y registros deben ser adecuadamente administrados, tanto de previo a su

utilización así como una vez hayan sido utilizados. Asimismo, las transacciones y actividades que

afectan la toma de decisiones y

acciones sobre los procesos y operaciones de la Institución, deben ser registradas oportunamente

y clasificadas de manera tal que sean utilizables.


73

Definición de Políticas y Procedimientos de los Controles Generales de los Sistemas de

Información.

Art. 27.- La máxima autoridad, los niveles gerenciales y de jefatura deben establecer por medio

de documento, las políticas y procedimientos sobre los controles generales, comunes a todos los

sistemas de información

Comentario

Los controles generales se aplica a todo sistema de información, ya sea en ambientes de

mainframes, minicomputadores, redes y usuario final. Incluye para toda la Institución, normas y

procedimientos que deben definir claramente la planeación, administración y control sobre:

a. Las operaciones del centro de datos, como por ejemplo: backups y recuperación, planes de

contingencia y desastre, y procesos de inicio y horarios sobre actividades del operador;

b. La adquisición, implementación y mantenimiento del software del sistema, a saber : el

sistema operativo, los sistemas de administración de base de datos, el software de redes, el de

seguridad y el utilitario;

c. La seguridad de acceso, esto es el cambio frecuente de claves de acceso (contraseñas,

passwords ), restricciones a usuarios para el acceso o aplicaciones o sistemas, ”cortinas de

fuego” para restringir el acceso a computadoras, redes y sistemas a personas externas y

desactivación de las passwords y las identificaciones de usuario (user ids), cuando los

funcionarios se desvinculan de la organización; y

d. el desarrollo y mantenimiento de aplicaciones, sean existentes o nuevos, como por ejemplo:

fases específicas para el diseño e implementación del sistema, los requerimientos de

documentación, la autorización para nuevos sistemas y para cambios a sistemas, la revisión

de cambios, las pruebas de resultados y los protocolos de implementación.

Proceso de Identificación, Registro y Recuperación de la Información

Art. 30.- Las Instituciones deben diseñar los procesos que le permitan identificar, registrar y

recuperar la información, de eventos internos y externos, que requieran.

Comentario

La información es esencial para cualquier organización en el cumplimiento de sus objetivos. Por

eso es que le corresponde a la administración diseñar y operar aquellos procesos que le permitan

obtener la información que sea necesaria para satisfacer las demandas de sus usuarios internos y

externos.


74

Debe recordarse que la información que requiere puede provenir de eventos internos y externos,

así como que cuando se habla de sistemas de información, nos referimos a cualquier sistema de

información y no solamente a los computadorizados.

Características de la Información

Art. 31.- Cada Institución deberá asegurar que la información que procesa es confiable, oportuna,

suficiente y pertinente.

Comentario

La información que se procesa en la Institución, debe considerar al menos los cuatro siguientes

atributos, para que sea de calidad:

a. confiable: con el cumplimiento de esta característica, es que el usuario acepta y utiliza la

información para la toma de decisiones,

b. oportuna: significa esta característica, que la información debe llegar a manos del usuario en

el tiempo adecuado para tomar sus decisiones,

c. suficiente: esto tiene que ver con la cantidad de información que debe recibir, procurando

que se disponga solo de la que sea necesaria para tomar sus decisiones, poniendo especial

atención a las copias, que en muchos casos son excesivas,

d. pertinente: este atributo señala que la información que se entrega al usuario, debe ser solo la

que viene a propósito y nada más, es decir solo aquella que es importante, significativa para

el cumplimiento de sus competencias.


CAPITULO V

NORMAS RELATIVAS AL MONITOREO

Monitoreo sobre la Marcha

Art. 34.- La máxima autoridad, los niveles gerenciales y de jefatura deben vigilar que los

funcionarios realicen las actividades de control durante la ejecución de las operaciones de manera

integrada.

Comentario

Este es lo que se conoce como el monitoreo interno según la filosofía “ongoing”, es decir en

tiempo real. Si una de las características del sistema de control COSO es que las actividades de

control deben estar integradas a las operaciones, el objetivo de esta norma es que las jefaturas


75

lleven a cabo algunas actividades, como por ejemplo comparaciones, conciliaciones, supervisión

y otras acciones que le permitan comprobar que se están

cumpliendo las tareas.

Debe recordarse que a mayor grado de efectividad del monitoreo “ongoing” menores

evaluaciones separadas se necesitarán.

Monitoreo mediante Autoevaluación del Sistema de Control Interno

Art. 35.- Los niveles gerenciales y de jefatura responsables de una unidad o proceso, deben

determinar la efectividad del sistema de control interno propio, al menos una vez al año.

Comentario

Con esta norma se establece la obligación de las personas responsables de una unidad, proceso o

función, de dirigir una evaluación de cada uno de los componentes de su sistema de control

interno, respecto de las actividades significativas.

Debe recordarse que el sistema de control interno debe cambiar con el tiempo, normalmente por

cuanto los procedimientos se tornan menos efectivos, con lo que llega a ser menos capaz de

anticiparse a los riesgos que se originan por las nuevas situaciones.

La frecuencia de las auto evaluaciones que proporcione a la administración una seguridad

razonable en relación con al efectividad de su sistema de control interno, es un asunto de juicio,

tomando en cuenta algunos factores como por ejemplo los resultados del monitoreo “ongoing”;

sin embargo se reconoce que al menos una vez al año es un plazo razonable.

Para llevar a cabo las autoevaluaciones existe variedad de metodologías y herramientas, tales

como cuestionarios y los diagramas de flujo.

Evaluaciones Separadas

Art. 36.- La unidad de auditoria interna, la Corte de Cuentas, las Firmas Privadas de Auditoria y

demás instituciones de control y fiscalización, evaluarán periódicamente la efectividad del

sistema de control interno institucional.


Comentario

Además del monitoreo “ongoing” y de las autoevaluaciones, un tercer factor que contribuye a

valorar la calidad del desempeño del sistema de control interno en el tiempo, son las evaluaciones

que pueden realizar la unidad de auditoria interna, la Corte de Cuentas, las Firmas Privadas de


76

Auditoria y demás instituciones de control y fiscalización, sea porque es parte de sus obligaciones

o bien cuando requieren llevar a cabo algún estudio especial.

Comunicación de los Resultados del Monitoreo

Art. 37.- Los resultados de las actividades de monitoreo del sistema de control interno, deben ser

comunicados a la máxima autoridad y a los niveles gerenciales y de jefatura, según corresponda.

Comentario

Cualquiera que sea el tipo de monitoreo que se realice, su real importancia solo puede valorarse

cuando las deficiencias del sistema de control interno son reportados a quien corresponde, para

que sean atendidas con la prontitud que el caso amerite.

La comunicación debe darse siempre “hacia arriba”, considerando el tipo de deficiencia o

irregularidad que se haya encontrado, así como las posibilidades reales que tiene el funcionario,

para poder implementar las acciones correctivas.

El proceso de monitoreo concluye cuando se corrigen las deficiencias reportadas o en su defecto,

cuando se demuestra que los hallazgos y recomendaciones, no ameritan ninguna acción.

Economy & Finance

Control interno coso