Click here to load reader
Upload
roxanilla
View
582
Download
0
Tags:
Embed Size (px)
DESCRIPTION
Control Interno COSO
Citation preview
UNIVERSIDAD DE EL SALVADOR FACULTAD DE CIENCIAS ECONOMICAS
ESCUELA DE CONTADURIA PÚBLICA
ENFOQUE DEL CONTROL INTERNO DEL COMITÉ DE LA ORGANI ZACIÓN
DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).
ASIGNATURA: AUDITORIA I
CATEDRÁTICO: LIC. YOVANY ELISEO SANCHEZ
GRUPO TEORICO: 01
GRUPO DE TRABAJO: 14
INTEGRANTES: CARNET No. :
MENDEZ AGUILAR, MARIO ENRIQUE MA03052
MARIA ERNESTINA,
NERIO GUEVARA, MARIA ELENA NG94005
TOBAR SARAVIA, BERTA PATRICIA TS03003
CICLO II-2006
CIUDAD UNIVERSITARIA, 20 DE SEPTIEMBRE DE 2006
Auditoria I Enfoque del Control Interno (COSO)
2
INDICE
CONTENIDO PAG.
� Introducción . . . . . . . . . i
� Objetivos . . . . . . . . . . ii
ENFOQUE DEL CONTROL INTERNO (COSO) . . . . . 6
ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA
ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO) 7
1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROCINIO
DE LA COMISIÓN DE MARCAS (COSO) . . . . . . 7
1.1. Antecedente del Informe del Comité de la Organización de patrocinio de la
Comisión de Marcas (COSO) . . . . . . . . 7
1.2. Definiciones. . . . . . . . . . 8
1.2.1. Control Interno. . . . . . . . . 8
1.2.2. Definición del Control Interno según el Informe del Cómite de la Organización
de Patrocinio de la Comisión de Marcas (COSO). . . . . 9
1.3. Objetivos del Informe COSO . . . . . . . 9
1.4. Importancia del COSO . . . . . . . 10
1.5. Beneficios del control interno . . . . . . . 11
1.6. Naturaleza del Control Interno . . . . . . . 11
1.7. Clasificación del Control Interno . . . . . . 11
1.8. Características del Control Interno . . . . . . 11
1.9. Participantes y Responsables de la Implementación del Control Interno . 13
1.10. Tipos de Control . . . . . . . . 14
1.11. Auditoria y Control Interno . . . . . . . 14
1.11.1. Tipos de Riesgos del Auditor . . . . . . . 15
1.11.2. Objetivos de la Auditoria Interna . . . . . . 16
1.12. Normativa Técnica del Control Interno (COSO) . . . . 16
2. COMPONENTES DEL CONTROL INTERNO . . . . . 17
2.1. Ambiente de Control . . . . . . . . 18 2.1.1. Integridad y Valores Éticos . . . . . . . 19 2.1.2. Competencia Profesional . . . . . . . 19 2.1.3. Atmósfera de Confianza Mutua . . . . . . 20
2.1.4. Filosofía y Estilo de la Dirección . . . . . . 20
2.1.5. Misión, Objetivos y Políticas . . . . . . . 21
2.1.6. Organigrama . . . . . . . . . 21
2.1.7. Asignación de Autoridad y Responsabilidad . . . . . 22
Auditoria I Enfoque del Control Interno (COSO)
3
2.1.8. Políticas y Practicas En Personal . . . . . . 23
2.1.9. Comité de Control . . . . . . . . 23
2.2. Evaluación del Riesgo . . . . . . . . 24
2.2.1. TIPOS DE RIESGOS . . . . . . . . 26
2.2.2. Factores de Riesgo . . . . . . . . 26
2.2.3. Estimación del Riesgo . . . . . . . . 28
2.2.4. Determinación de los Objetivos de Control . . . . . 29
2.2.5. Detección del Cambio . . . . . . . . 29
2.3. Actividades de Control . . . . . . . . 30
2.3.1. Tipos de actividades de control . . . . . . 30
2.3.2. Políticas y procedimientos. . . . . . . . 32
2.3.3. Evaluación de riesgos por medio de las actividades de control. . . 33
2.3.4. Controles sobre los sistemas de información. . . . . 33
2.4. Información y Comunicación . . . . . . . 35
2.4.1. Comunicación interna. . . . . . . . 37
2.4.2. Comunicación externa. . . . . . . . 37
2.5. Monitoreo (Supervisión o Vigilancia) . . . . . . 37
2.5.1. Actividades de supervisión continuada . . . . . 38
2.5.2. Evaluaciones puntuales . . . . . . . 38
2.5.3. Alcance y frecuencia . . . . . . . . 38
2.5.4. Implementación del Control Interno . . . . . . 38
3. EL INFORME . . . . . . . . . 40
3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso . 41
3.1.1. Revisión Del Sistema . . . . . . . . 43
3.1.2. Evaluación . . . . . . . . . 44
3.1.3. Obtención de Información para la Evaluación de Control Interno . . 44
3.1.4. Evaluación Definitiva del Control Interno . . . . . 45
4. EVOLUCIÓN DEL COSO . . . . . . . 46
4.1. Concepto COSO según la Administración de Riesgos Corporativos de
acuerdo al Marco Gestión Integral de Riesgo (ERM). . . . . 47
4.2. Componentes del Informe COSO según el Marco Integrado de Administración
de Riesgos Corporativos (ERM) . . . . . . 48
4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno . 55
� Conclusiones . . . . . . . . . iii
� Bibliografía . . . . . . . . . iv
� Anexos . . . . . . . . . . v
• Anexo 1 . . . . . . . . vi
Auditoria I Enfoque del Control Interno (COSO)
4
INTRODUCCION
El control interno es parte integral de una empresa para que esta pueda desarrollarse en el medio
ambiente que la rodea y a la vez pueda tener cierto grado de control sobre una diversidad de
factores que podrían influir en su desempeño.
En el mundo existen diversos enfoques sobre el control interno, pero uno de los que actualmente
esta tomando un mayor auge es el diseñado por el COMMITTEE OF SPONSORING
ORGANIZATIONS OF THE TREADWAY COMMISSION (COSO), integrado por cinco
organizaciones.
El control interno COSO se fundamenta en un proceso efectuados por personas en todos los
niveles de la organización.
La implementación de este control interno busca que los objetivos de la empresa se cumplan de la
mejor manera posible, ayudando a aumentar la eficiencia, la confiabilidad de los estados
financieros y al cumplimiento de las leyes.
El presente trabajo esta basado en El control interno COSO versión 1992, el cual está integrado
por cinco elementos que interactúan entre sí, los cuales son ambiente de control, evaluación de
riesgos, actividades de control, información y comunicación y monitoreo. Al final se tocarán
algunos aspectos importantes de la nueva versión del COSO de 2004 para un mayor
conocimiento para la profesión de Auditoria.
Auditoria I Enfoque del Control Interno (COSO)
5
OBJETIVOS.
GENERAL
• Dar a conocer los aspectos más importantes del control diseñado por el Comité de la
Organización de Patrocinio de la Comisión de Marcas (COSO).
ESPECIFICOS
• Definir el control interno COSO, así como la importancia que este tiene en las empresas.
• Explicar los objetivos básicos que tiene el control interno COSO.
• Desarrollar los cinco elementos que conforman la estructura del control interno COSO.
• Identificar las partes que componen la estructura básica del informe COSO.
• Mostrar la evolución del control interno COSO de 1992 a su última versión de 2004.
Auditoria I Enfoque del Control Interno (COSO)
6
Auditoria I Enfoque del Control Interno (COSO)
7
ENFOQUE DEL CONTROL INTERNO SEGÚN EL COMITÉ DE LA
ORGANIZACIÓN DE PATROCINIO DE LA COMISIÓN DE MARCAS (COSO).
1. INFORME DEL COMITÉ DE LA ORGANIZACIÓN DE PATROC INIO DE LA
COMISIÓN DE MARCAS (COSO).
1.1.Antecedente del Informe del Comité de la Organización de patrocinio de la Comisión de
Marcas (COSO).
Durante mucho tiempo se ha considerado la importancia del Control Interno para la
administración y auditores independientes. En octubre de 1987 la National Comission on
Fraudulent Financial (Treadway Comisión) Publico un informe en el que enfatiza la importancia
del control Interno para producir la incidencia de información financiera fraudalenta.
Posteriormente el ASB emitió el SAS 55 “Evaluación de la Estructura del Control Interno en una
auditoria de Estados financieros. Este SAS amplia el concepto de Control interno mas allá del
comprendido en anteriores SAS y explica las responsabilidades del auditor en un trabajo de
auditoria.
El SAS 55 fue corregido por el SAS 78 que entro en vigencia el 1 de enero de 1997, debido a que
el ASB pensó que es apropiado conocer la definición y descripción del control interna contenida
en el informe de COSO, para proporcionar adecuadamente y en tiempo, una guía útil a los
auditores.
El informe de COSO sobre control interno, surgió como una respuesta a las inquietudes que
planteaban la diversidad de conceptos, definiciones e interpretaciones existente en toro a la
temática referida.
Plasma los resultados de la tarea realizada durante más de cinco años por el grupo de trabajo que
la TREADWAY COMMISSION, NATIONAL COMMISSION ON FRAUDULENT
FINANCIAL REPORTING creó en Estados Unidos en 1985 bajo la sigla COSO (COMMITTEE
OF SPONSORING ORGANIZATIONS).
Auditoria I Enfoque del Control Interno (COSO)
8
El grupo estaba constituido por representantes de las siguientes organizaciones:
� Asociación Americana de Contabilidad (American Accounting Association) (AAA)
� Instituto Americano de Contadores Publico (American Institute of Certified Public
Accountants) (AICPA)
� Instituto de ejecutivos Financieros (Financial Executive Institute) (FEI)
� Instituto de Auditores Internos (Institute of Internal Auditors) (IIA)
� Instituto de Administración y Contabilidad (Institute of Management Accountants) (IMA)
La redacción del informe fue encomendada a Coopers & Lybrand.
Fue Publicado en 1992, hace recomendaciones a los contables de gestión de cómo evaluar,
informar e implementar sistemas de control, teniendo como objetivo de control la efectividad y
eficiencia de las operaciones, la información financiera y el cumplimiento de las regulaciones
que explica en los componentes del ambiente de control, valoración de riesgos, actividades de
control, información y comunicación, y el monitoreo.
Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del
2004. La Versión 2004, no es otra cosa que una ampliación del Informe original, para dotar al
Control Interno de un mayor enfoque hacia el Enterprise Risk Management, o gestión del riesgo.
Para este trabajo se tomara como base a la versión 1992, pero se tocaran algunos puntos de la
versión 2004, para ver cuales han sido los cambios o ampliaciones que se han dado del informe
COSO.
1.2. Definiciones
1.2.1. Control Interno
� Es un proceso efectuado por el consejo de administración, la dirección y el resto de personal
de una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable sobre
el logro de los objetivos de la organización.
� El control interno constituye una serie de acciones que se extienden por todas las actividades
de las dependencias y entidades, el cual permite un funcionamiento adecuado de los procesos.
Auditoria I Enfoque del Control Interno (COSO)
9
� Cualquier medida que tome la dirección, el Consejo y otras partes, para gestionar los riesgos
y aumentar la probabilidad de alcanzar los objetivos y metas establecidos.
1.2.2. Definición del Control Interno según el Informe del Comité de la Organización de
Patrocinio de la Comisión de Marcas (COSO).
Se define como un proceso efectuado por el Consejo de la Administración, la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos.
Este es un Modelo internacional de Control Integral, diseñado para apoyar a la dirección en un
mejor control de su organización. Provee un estándar, como fundamento para la evaluación del
control interno e identificar las “mejores prácticas” aplicables.
La definición proporciona una base para evaluar la efectividad del control interno. Esta
definición refleja ciertos conceptos fundamentales.
� El control interno es un proceso. Constituye un medio para un fin, no un fin en si mismo.
� El control interno es ejecutado por personas. No son solamente manuales de políticas y
formas, sino personas en cada nivel de una organización.
� Del control interno pueden esperarse que proporcione solamente seguridad razonable, no
seguridad absoluta, a la administración y al concejo de una entidad.
� El control interno esta engranado para la consecución de objetivos en una o mas categorías
separadas pero interrelacionadas.
1.3. Objetivos del Informe COSO
El Informe COSO alcanzan los 3 objetivos principales siguientes:
1. Eficacia y eficiencia de las operaciones
2. Fiabilidad de la información financiera
3. Cumplimiento de las leyes y normas que sean aplicables.
Al realizar una auditoria es conveniente descomponer los 3 objetivos anteriores en los
siguientes:
� Eficacia de las operaciones
� Eficiencia de las operaciones
Auditoria I Enfoque del Control Interno (COSO)
10
� Fiabilidad de la información financiera
� Fiabilidad de la información operativa y de gestión
� Salvaguardia de los activos
� Cumplimiento de las leyes y normas aplicables, tanto internas como externas a la empresa.
El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio, entendidos en
términos de rentabilidad y rendimiento de las operaciones de la empresa u organización.
El segundo objetivo pretende garantizar que la empresa disponga de información financiera
cierta, fiable y, muy importante, que esta información se obtenga tempestivamente, eso es,
cuando sea necesaria y útil. En este sentido, la fiabilidad de la información no es solo una
garantía frente a tercero, sino una exigencia de la dirección, ya que sin esta información, no seria
posible tomar decisiones empresariales acertadas.
El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las que se
encuentre sujeta la empresa.
El Control Interno favorece entonces que una empresa consiga sus objetivos de rentabilidad,
rendimiento y minimice las perdidas de recursos; favorece que la empresa disponga de
información fiable y a tiempo; y por ultimo favorece que la empresa cumpla con la ley y otras
normas que le son de aplicación.
Para lograr estos 3 objetivos, el sistema de Control Interno se basa (según la propuesta del
Informe COSO) en 5 elementos o componentes, que representan lo que se necesita para
garantizar el éxito del sistema. Es evidente que para cada uno de los 3 objetivos, todos los
componentes deben estar funcionando correctamente.
1.4. Importancia del COSO
� Incorporo en una sola estructura conceptual los distintos enfoques existentes en el ámbito
mundial y genero un consenso entre los empresarios, los legisladores, los reguladores y otros.
� Actualiza la practica del control interno, lo mismo que los procesos de diseño, implantación y
evaluación.
� Ayuda a evitar peligros y sorpresas (riesgos) en el camino.
Auditoria I Enfoque del Control Interno (COSO)
11
1.5. Beneficios del control interno
� Es necesario que exista una cultura de control interno en toda la organización, que permita el
cumplimiento de los objetivos generales de control.
� Sus beneficios incluyen:
� Ayudar a los directivos al logro razonable de las metas y objetivos institucionales
� Integrar e involucrar al personal con los objetivos de control
� Ayudar al personal a medir su desempeño y por ende, a mejorarlo
� Contribuir a evitar el fraude
� Facilitar a los directivos la información de cómo se han aplicado los recursos y cómo se han
alcanzado los objetivos
1.6. Naturaleza del Control Interno
El Control Interno abarca el plan de Organización y los métodos coordinados y medidas
adoptadas dentro de la empresa para salvaguardar sus activos, verificar la adecuación y fiabilidad
de la información de la contabilidad, promover la eficacia operacional y fomentar la adherencia a
las políticas establecidas de dirección.
1.7. Clasificación del Control Interno
a. Control Interno Administrativo
Esta constituido por el plan de organización, los procedimientos y registros que conciernen a los
procesos de decisión, que conducen a la autorización de las transacciones por parte de los niveles
jerárquicos superiores, de tal manera que fomenten la eficiencia en las operaciones, la
observancia de políticas y normas prescritas y el logro de las metas y objetivos programados.
b. Control Interno Contable
Comprende el plan de organización, procedimientos y registros concernientes a la custodia de
recursos financieros, la verificación de la exactitud, confiabilidad y oportunidad de los registros e
informes financieros.
1.8. Características del Control Interno
El Control Interno cuenta con cinco características:
Auditoria I Enfoque del Control Interno (COSO)
12
1. Plan de Organización
La estructura de una Organización variara dependiendo de la naturaleza de la naturaleza de la
empresa, su método de funcionamiento, tamaño, número de componentes de la Organización y su
distribución geográfica, pero lo que tiene en común éstas es que aspiran a contar con unos planes
de organización satisfactorios.
Para que esto se cumpla debe contar con dos requisitos básicos los cuales se describen de la
siguiente manera:
� Independencia de la Organización
Un plan de organización satisfactorio permitirá una separación adecuada de las funciones
operacionales, de custodia, contabilidad y auditoria interna. Debería existir una distribución de
responsabilidades de forma que los registros que se mantienen fuera de cada departamento sirvan
de control sobre las actividades de los mismos. Además, contempla la custodia de los activos, y
la contabilización o el registro de las transacciones relacionadas con ellos.
� Líneas de Responsabilidad
Dentro de los departamentos deben de existir definiciones inequívocas de las responsabilidades,
de acuerdo con las normas y procedimientos globales establecidos por la dirección. Además debe
existir una correcta delegación de autoridad a individuos específicos con el fin de que éstos
cumplan con sus responsabilidades de una forma eficiente y eficaz.
2. Sistema de Procedimientos de Autorización y Registro
Esta característica consiste en que al diseñar el sistema, es importante que los formatos y
procedimientos establecidos permitan la revisión y autorización de todas las transacciones antes
de que éstas queden registradas en los libros de contabilidad de la empresa. Los formatos
utilizados por ésta deben estar prenumerados y contabilizados para asegurarse de que queden
incluidas todas las transacciones ejecutadas en el sistema contable.
El catálogo de cuentas y el manual de contabilidad constituyen también unos componentes
esenciales del sistema. Las cuentas incluidas en el catálogo constituyen el marco básico de todo
el sistema de contabilidad y facilitan la recopilación y clasificación de las diversas transacciones.
El manual de contabilidad describe los conceptos de autoridad, responsabilidad y obligaciones,
Auditoria I Enfoque del Control Interno (COSO)
13
así como perfila el método con que realizarse el trabajo de contabilidad para alcanzar los
objetivos de la empresa de la forma más eficaz y económica.
3. Prácticas de Sondeo
Consiste en incluir la división de obligaciones y el sistema de procedimientos de autorización y
registro, se incluye también los diversos procedimientos, de comprobación de errores que deben
realizarse en relación con el mantenimiento de los registros de la empresa.
4. Calidad del Personal
Esta consiste en que las anteriores características para que sean eficaces, los empleados claves y
la gerencia de una empresa deben ser competentes para cumplir con sus obligaciones de manera
eficaz. Por lo tanto, la calidad debe incluir la ética, inteligencia, dedicación y responsabilidad de
un individuo.
5. Sistema Fiable
Consiste en diseñar sin ningún problema cualquier sistema mediante organigramas complejos,
manuales voluminosos y declaraciones detalladas de los procedimientos operacionales, pero si la
gerencia no hace que funcione como se había proyectado, entonces este sistema tan laborioso
existe únicamente sobre el papel.
1.9. Participantes y Responsables de la Implementación del Control Interno
Internamente las responsabilidades sobre el control corresponden conforme a lo siguiente:
Consejo de Administración. Establece no sólo la misión y los objetivos de la organización, sino
también las expectativas relativas a la integridad y los valores éticos. Son responsables de
diseñar, instalar e implementar los controles, así como de mantenerlos y modificarlos, cuando sea
necesario.
Gerencia: Debe asegurar que existe un ambiente propicio para el control.
Área financieros. entre otras cosas, apoyan la prevención y detección de reportes financieros
fraudulentos.
Comité de Auditoria: Es el órgano que no sólo tiene la facultad de cuestionar a la Gerencia en
relación con el cumplimiento de sus responsabilidades, sino también asegurar que se tomen las
medidas correctivas necesarias.
Auditoria I Enfoque del Control Interno (COSO)
14
Comité de Finanzas: Contribuye cumpliendo con la responsabilidad de evaluar la consistencia
de los presupuestos con los planes operativos. auditoria Interna:
A través del examen de la efectividad y adecuación del sistema de control interno y mediante
recomendaciones relativas a su mejoramiento.
Área Jurídica: Llevando a cabo la revisión de controles y otros instrumentos legales, con el fin
de salvaguardar los bienes de la Empresa.
Personal de la Organización: Mediante la ejecución de las actividades que tiene cotidianamente
asignadas y tomando las acciones necesarias para su control. También siendo responsable de
comunicar cualquier problema que se presente en las operaciones, incumplimiento de normas o
posibles faltas al código de conducta y otras violaciones.
Extremadamente la participación de las entidades externas consiste en lo siguiente:
Auditores Independientes: Proporcionan al Consejo de Administración y a la Gerencia un punto
de vista objetivo e independiente, que contribuye al cumplimiento del logro de los objetivos de
los reportes financieros, entre otros.
Autoridades (Ejecutivas/Legislativas): Participan mediante el establecimiento de
requerimientos de control interno, así como en el examen directo de las operaciones de la
Organización, haciendo recomendaciones que lo fortalezcan.
1.10. Tipos de control
Se diseñan para cumplir varias funciones:
� Preventivos
Anticipan eventos no deseados antes de que sucedan
� Detectivos
Identifican los eventos en el momento en que se presentan
� Correctivos
Aseguran que las acciones correctivas sean tomadas para revertir un evento no deseado
1.11. Auditoria y Control Interno
La Auditoria Interna se centra en los siguientes aspectos de control interno:
� Confiabilidad, integridad y oportunidad de la información,
� Cumplimiento de las disposiciones legales vigentes,
Auditoria I Enfoque del Control Interno (COSO)
15
� Protección de Activos
� Uso eficiente y económico de los recursos
� Logro de Objetivos y Metas de operaciones o programas
De aplicarse el Enfoque COSO la Auditoria Interna dejaría de ser una función de informe sobre
hechos pasados, pasando a ser una función proactiva.
1.11.1. Tipos de Riesgos del Auditor
El riesgo que el auditor dé una opinión de auditoria inapropiada cuando los estados financieros
estén elaborados en forma errónea de una manera importante.
Los Componentes del riesgo del auditor están: riesgo inherente, riesgo de control y riesgo de
detección.
Riesgo inherente
Es la susceptibilidad del saldo de una cuenta o clase de transacciones a una representación
errónea que pudiera ser de importancia relativa, individualmente o cuando se agrega con
representaciones erróneas en otras cuentas o clases, asumiendo que no hubo controles internos
relacionados.
Riesgo de Control
Es el riesgo de que una representación errónea que pudiera ocurrir en el saldo de cuenta o clase
de transacciones y que pudiera ser de importancia relativa individualmente o cuando se agrega
con representaciones erróneas en otros saldos o clases, no sea prevenido o detectado y corregido
con oportunidad por los sistemas de contabilidad y de control interno.
Riesgo de detección
Es el riesgo de que los procedimientos sustantivos de un auditor no detecten una representación
errónea que existe en un saldo de una cuenta o clase de transacciones que podría ser de
importancia relativa, individualmente o cuando se agrega con representaciones erróneas en otros
saldos o clases.
Auditoria I Enfoque del Control Interno (COSO)
16
1.11.2. Objetivos de la Auditoria Interna
� Creación de valor en forma constante.
� Identificación de riesgos, evaluación de los mismos y buscar mecanismos que los reduzcan a
su mínima expresión.
� Promover dentro de la empresa el entendimiento y aprendizaje de estos mecanismos.
� Los Auditores Internos son quienes deben asesorar sobre “la mejor forma de hacer las
cosas” y controles a aplicar en cada caso.
1.12. Normativa Técnica del Control Interno (COSO):
La normativa técnica en el cual esta regulado el informe COSO Control Interno tenemos:
a. Planeación (NIA’s Sección 300)
Comprensión de los sistemas de contabilidad y de control interno
Políticas contables adoptadas por la entidad y los cambios en esas políticas
El efecto de pronunciamientos nuevos de contabilidad y auditoria
El conocimiento acumulable del auditor sobre los sistemas de contabilidad y de control interno y
el relativo énfasis que se espera se ponga en las pruebas de procedimientos de control y otros
procedimientos sustantivos
b. Evaluación del Riesgo y Control Interno (NIA’s Sección 400)
En esta NIA su finalidad es proporcionar lineamientos para obtener una comprensión de los
sistemas de contabilidad y de control interno y sobre el riesgo de auditoria y sus componentes:
riesgo inherente, riesgo de control y riesgo de detección, además de lo siguiente:
� El sistema de control interno
� El ambiente de control. Actitud global, conciencia y acciones de los directores y a su
administración respecto del sistema de control interno y su importancia en la entidad
� Procedimientos de control. Aquellas políticas y procedimientos además del ambiente de
control que la administración ha establecido para lograr los objetivos específicos de la entidad
c. Las Normas Técnicas de Control Interno Emitidas Por la Corte de cuentas de La
Republica de El Salvador; Organismo Rector Del Sistema De Control Y Auditoria De La
Gestión Pública. Que Fue Publicado En 29 De Septiembre De 2004.
Auditoria I Enfoque del Control Interno (COSO)
17
AAMM BBII EENNTTEE DDEE CCOONNTTRROOLL
EVALUACION DE RIESGOS
ACTIVIDADES DE CONTROL
MM OONNII TTOORREEOO INFORMACIÓN
Las normas técnicas de control interno constituyen el marco básico que establece la Corte de
Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones,
entidades, sociedades y empresas del sector público y sus servidores. (De ahora en adelante
“Instituciones del Sector Público” .(Para el resumen de esta norma ver Anexo 1)
2. COMPONENTES DEL CONTROL INTERNO
Los componentes del control interno según el enfoque COSO son los siguientes:
El sistema de control interno definido por el informe de COSO ésta basado en cinco
componentes:
� Ambiente de Control
� Valoración de Riesgos
� Actividades de Control
� Información y Comunicación
� Monitoreo o Vigilancia
A continuación se presenta un esquema de cómo esta estructurado los componente del informe
COSO:
COMUNICACION
Auditoria I Enfoque del Control Interno (COSO)
18
Breve explicación del esquema.
El control del medio ambiente. Establece el tono de la organización, influenciando la conciencia
del control de su gente. Es la base para el resto de los componentes del Control Interno,
proporcionando disciplina y estructura.
La valoración de riesgos. Es la identificación y el análisis de los riesgos relevantes que puedan
afectar el cumplimiento de los objetivos establecidos, con el fin de diseñar un plan que permita
decidir como se deben administrar dichos riesgos
Las actividades de control. Son las políticas y procedimientos que ayudan a asegurar que las
directrices de la gerencia son llevadas a cabo. Estas ayudan a asegurarse que son tomadas las
acciones necesarias para controlar los riesgos y que se logren los objetivos de la entidad.
Información y comunicación. La información pertinente se debe identificar, capturar y
comunicar en forma y tiempo que permita a los empleados llevar a cabo sus responsabilidades.
Los sistemas de información producen reportes, sobre la operación, situación financiera y el
cumplimiento con leyes y regulaciones, que hacen posible el operar y controlar el negocio
El monitoreo. Es el proceso de evaluación del diseño y operación de los controles por parte del
personal apropiado, siendo en tiempo y tomando acciones necesarias.
Esto aplica a todas las actividades dentro de la organización y algunas veces también a los
contratistas externos.
2.1. AMBIENTE DE CONTROL
El ambiente de control proporciona una atmósfera en la cual la gente conduce sus actividades y
cumple con sus responsabilidades. Además sirve de fundamento para los otros componentes.
Este componente tiene incidencia generalizada en la estructuración de las actividades
empresariales, en el establecimiento de objetivos y en la evaluación de los riesgos, asimismo
influye en las actividades de control, los sistemas de información y comunicación y alas
actividades de supervisión.
Auditoria I Enfoque del Control Interno (COSO)
19
El ambiente de control considera una serie de factores que se comenta a continuación:
2.1.1. Integridad y Valores Éticos
La autoridad superior del organismo debe procurar , difundir, internalizar y vigilar la practica de
valores éticos aceptados, que constituyan un sólido fundamento moral para su conducción y
operación.
Tales valores deben enmarcar la conducta de funcionarios y empleados, orientando su integridad
y compromiso personal.
Los valores éticos son esenciales para el Ambiente de Control. El sistema de Control Interno se
sustenta en los valores éticos, que definen la conducta de quienes lo operan. Estos valores éticos
pertenecen a una dimensión moral y, por lo tanto, van más allá del mero cumplimiento de las
Leyes, Decretos, Reglamentos y otras disposiciones normativas.
El comportamiento y la integridad moral encuentran su red de sustentación y su caldo de cultivo
en la cultura del organismo. Esta determina, en gran medida, cómo se hacen las cosas, que
normas y reglas se observan. Si se tergiversan o se eluden. En la creación de una cultura
apropiada a estos fines juega un papel principal la Dirección Superior del organismo, la que con
su ejemplo contribuirá a construir o destruir diariamente este requisito de control interno.
2.1.2. Competencia Profesional
Los directivos y empleados deben caracterizarse por poseer un nivel de competencia que les
permita comprender la importancia del desarrollo, implantación y mantenimiento de controles
internos apropiados.
Tanto directivos como empleados deben:
� Contar con un nivel de competencia profesional ajustado a sus responsabilidades
� Comprender suficientemente la importancia, objetivos y procedimientos del control
interno.
Los métodos de contratación de personal deben asegurar que el candidato posea el nivel de
preparación y experiencia que se ajuste a los requisitos especificados. Una vez incorporado, el
Auditoria I Enfoque del Control Interno (COSO)
20
personal debe recibir la orientación, capacitación y adiestramiento necesarios en forma práctica y
metódica.
El Sistema de Control Interno operará más eficazmente en la medida que exista personal
competente que comprenda los principios del mismo.
2.1.3. Atmósfera de Confianza Mutua
Debe fomentarse una atmósfera de mutua confianza para respaldar el flujo de información entre
la gente y su desempeño eficaz hacia el logro de los objetivos de la organización.
La confianza mutua respalda el flujo de información que la gente necesita para tomar decisiones
y entrar en acción. Respalda, además, la cooperación y la delegación que se requieren para un
desempeño eficaz tendiente al logro de los objetivos de la organización. La confianza está basada
en la seguridad respecto de la integridad y competencia de la otra persona o grupo.
La comunicación abierta crea y depende de la confianza dentro de la organización. Un alto nivel
de confianza estimula a la gente para que se asegure que cualquier tema de importancia sea de
conocimiento de más de una persona. El compartir tal información fortalece el control reduciendo
la dependencia de la presencia, el juicio y la capacidad de una única persona.
2.1.4. Filosofía y Estilo de la Dirección
La Dirección Superior debe transmitir a todos los niveles de la organización, de manera explícita,
contundente y permanente, su compromiso y liderazgo respecto de los controles internos y los
valores éticos.
La Dirección Superior y las Gerencias deben hacer comprender, a todo el personal, que las
responsabilidades del control interno deben asumirse con seriedad, que cada miembro cumple un
rol importante dentro del Sistema de Control y que cada rol está relacionado con los demás.
La filosofía y el estilo de la Dirección influencian y traducen la manera en la que el organismo es
conducido. Son ejemplos: la transparencia de la gestión, la postura ante las innovaciones y el
aprendizaje, la forma de resolver los problemas y medir los desempeños y resultados.
Auditoria I Enfoque del Control Interno (COSO)
21
La actitud de interés de la Dirección, por un control interno efectivo, debe penetrar la
organización. Las declamaciones no son suficientes. Es necesario sustentarlas con acciones y
actitudes concretas.
De esta forma los empleados se desempeñarán en un ambiente que les facilite tanto la
comprensión y respeto por el control interno, como la motivación para la sugerencia de medidas
que fomenten su perfeccionamiento.
2.1.5. Misión, Objetivos y Políticas
La Misión, los Objetivos y las Políticas de cada organismo deben estar relacionados y ser
consistentes entre sí, debiendo estar especificados en documentos oficiales.
Dichos documentos deberán ser adecuadamente difundidos a la comunidad y a todos los niveles
organizacionales. En el primer caso, como antecedente para la posterior rendición de cuenta. En
el segundo, como medio de conseguir el cumplimiento de las acciones organizacionales en la
persecución de aquellos.
Una organización qué desconoce que es, hacia donde va, y que medios utilizará en el camino,
marcha a la deriva y con pocas posibilidades de éxito. En esta condición el control interno
carecería de sus más importantes fundamentos y tan sólo se limitaría a la verificación del
cumplimiento de ciertos aspectos formales.
La Misión indica: ¿Qué somos? ¿Para qué estamos? ¿Qué necesidades servimos? Generalmente
esta fijada en las Leyes, Decretos, Cartas Orgánicas o Estatutos.
Los objetivos indican: ¿Hacia dónde se va? ¿Cuál es nuestro propósito? Son definidos
periódicamente en los planes de acción y presupuestos.
Las Políticas delimitan la acción. Definen: ¿Cuáles son los medios preferidos? ¿Qué valoramos?
¿Qué restricciones les imponemos?
2.1.6. Organigrama
Todo organismo debe desarrollar una estructura organizativa qué atienda el cumplimiento de la
misión y objetivos, la que deberá ser formalizada en un Organigrama.
Auditoria I Enfoque del Control Interno (COSO)
22
La estructura organizativa, formalizada en un organigrama, constituye el marco formal de
autoridad y responsabilidad en el cual las actividades que se desarrollan en cumplimiento de los
objetivos del organismo, son planeadas, efectuadas y controladas.
Lo importante es que su diseño se ajuste a sus necesidades, esto es que proporcione el marco
organizacional adecuado para llevar a cabo la estrategia disertada para alcanzar los objetivos
fijados. Lo apropiado de la estructura organizativa podrá depender, por ejemplo, del tamaño del
organismo
2.1.7. Asignación de Autoridad y Responsabilidad
Todo organismo debe complementar su Organigrama, con un Manual de Organización, en el cual
se debe asignar la responsabilidad, las acciones y los cargos, a la par de establecer las diferentes
relaciones jerárquicas y funcionales para cada uno de estos.
El Ambiente de Control se fortalece en la medida en que los miembros de un organismo conocen
claramente sus deberes y responsabilidades. Ello impulsa a usar la iniciativa para enfrentar y
solucionar los problemas, actuando siempre dentro de los límites de su autoridad.
Existe una nueva tendencia de derivar autoridad hacia los niveles inferiores, de manera que las
decisiones queden en manos de quienes están más cerca de la operación. Un aspecto crítico de
esta corriente es el límite de la delegación: hay que delegar tanto cuanto sea necesario pero
solamente para mejorar la probabilidad de alcanzar los objetivos.
Toda delegación conlleva la necesidad de que los jefes examinen y aprueben, cuando proceda, el
trabajo de sus subordinados y que ambos cumplan con la debida rendición de cuentas de sus
responsabilidades y tareas.
Para que sea eficaz un aumento en la delegación de autoridad se requiere un elevado nivel de
competencia en los delegatarios, así como un alto grado de responsabilidad personal. Además, se
deben aplicar procesos efectivos de supervisión de la acción y los resultados por parte de la
Dirección.
Auditoria I Enfoque del Control Interno (COSO)
23
2.1.8. Políticas y Practicas En Personal
La conducción y tratamiento del personal del organismo debe ser justa y equitativa, comunicando
claramente los niveles esperados en materia de integridad, comportamiento ético y competencia.
Los procedimientos de contratación, inducción, capacitación y adiestramiento, calificación,
promoción y disciplina, deben corresponderse con los propósitos enunciados en la política.
El personal es el activo más valioso que posee cualquier organismo. Por ende, debe ser tratado y
conducido de forma tal que se consigna su más elevado rendimiento. Debe procurarse su
satisfacción personal en el trabajo que realiza, propendiendo a que en este se consolide como
persona, y se enriquezca humana y técnicamente. La Dirección asume su responsabilidad en tal
sentido, en diferentes momentos:
� Selección: al establecer requisitos adecuados de conocimiento, experiencia e integridad para
las incorporaciones.
� Inducción: al preocuparse para que los nuevos empleados sean metódicamente
familiarizado con las costumbres y procedimientos del organismo.
� Capacitación: al insistir en que sean capacitados convenientemente para el correcto
desempeño de sus responsabilidades.
� Rotación y promoción: al procurar que funcione una movilidad organizacional que
signifique el reconocimiento y promoción de los más capaces e innovadores.
� Sanción: al adoptar, cuando corresponda, las medidas disciplinarias que transmitan con
rigurosidad que no se tolerarán desvíos del camino trazado.
2.1.9. Comité de Control
En cada organismo deberá constituirse un Comité de Control integrado, al menos, por un
funcionario del máximo nivel y el auditor interno titular.
Su objetivo general es la vigilancia del adecuado funcionamiento del Sistema de Control Interno
y el mejoramiento continuo del mismo.
La existencia de un Comité con tal objetivo refuerza el Sistema de Control Interno y contribuye
positivamente al Ambiente de Control.
Auditoria I Enfoque del Control Interno (COSO)
24
Para su efectivo desempeño debe integrarse adecuadamente, esto es, con miembros que generen
respeto por su capacidad y trayectoria, que exhiban un apropiado grado de conocimiento y
experiencia que les permita apoyar a la dirección del organismo mediante su guía y supervisión.
2.2. Evaluación del Riesgo
Consiste en la identificación y análisis de los riesgos relevantes que enfrenta un organismo en la
persecución de sus objetivos, ya sean de origen interno como externo. Formando una base para la
determinación de cómo estos deben administrarse.
Antes que todo, deben definirse los objetivos a fin de que la administración pueda identificar los
riesgos ay tomar las acciones necesaria para administrarlos.
La identificación del riesgo es un proceso interativo, y generalmente integrado a la estrategia y
planificación. En este proceso es conveniente "partir de cero", esto es, no basarse en el esquema
de riesgos identificados en estudios anteriores.
Su desarrollo debe comprender la realización de un "rastreo" del riesgo, que incluya la
especificación de los dominios o puntos claves del organismo, la identificación de los objetivos
generales y particulares, y las amenazas y riesgos que se pueden tener que afrontar.
Un dominio o punto clave del organismo, puede ser:
� Un proceso que es crítico para su sobrevivencia;
� Una o varias actividades que sean responsables de la entrega de porciones importantes de
servicios a la ciudadanía;
� Un área que esta sujeta a Leyes, Decretos o Reglamentos de estricto cumplimiento, con
amenazas de severas sanciones por incumplimiento;
� Un área de vital importancia estratégica para el Gobierno (ejemplo: defensa, investigaciones
tecnológicas de avanzada).
Auditoria I Enfoque del Control Interno (COSO)
25
Al determinar estas actividades o procesos claves, fuertemente ligados a los objetivos del
organismo, debe tenerse en cuenta que pueden existir algunos de éstos que no están formalmente
expresados, lo cual no debe ser impedimento para su consideración.
Existen muchas fuentes de riesgos, tanto internas como externas. A título puramente ilustrativo se
pueden mencionar, entre las externas:
� Desarrollos tecnológicos que en caso de no adoptarse, provocarían obsolescencia
organizacional;
� Cambios en las necesidades y expectativas del cliente o usuario;
� Modificaciones en la legislación y normas regulatorias que conduzcan a cambios forzosos
en la estrategia y procedimientos;
� Alteraciones en el escenario económico que impacten en el presupuesto del organismo, sus
fuentes de financiamiento y su posibilidad de expansión.
Entre las internas, podemos citar:
� La estructura organizacional adoptada, dado la existencia de riesgos inherentes típicos tanto
en un modelo centralizado como en uno descentralizado;
� La calidad del personal incorporado, así como los métodos para su instrucción y
motivación;
� La propia naturaleza de las actividades del organismo.
Una vez identificados los riegos a nivel del organismo, deberá practicarse similar proceso al nivel
de programa y actividad. Se considerará, en consecuencia, un campo más limitado, enfocado a
los componentes de las áreas y objetivos claves identificadas en el análisis global del organismo.
Los pasos siguientes al diagnóstico realizado son los de la estimación del riesgo y la
determinación de los objetivos de control
Auditoria I Enfoque del Control Interno (COSO)
26
2.2.1. TIPOS DE RIESGOS
2.2.2. Factores de Riesgo
Medio Ambiente
� Grado de comunicación, interacción y consulta que tiene el negocio
� Estilo de administración.
� Presión de la competencia.
� Velocidad en que se abren nuevos mercados.
� Presión que ejercen los superiores para el logro de objetivos.
� Riesgos de mercado por tipos de cambio, tasas de interés,
Capacidad del Personal
� Grado de especialidad requerida.
� Grado de conocimiento que tiene el personal operativo, acerca de las funciones y necesidades
del puesto.
Riesgos de mercado
� Exposición en términos de
intervalos de confianza
� Simulación de
administración de
portafolios por cambios en
moneda y tasas de interés
� Desarrollo de pruebas de
contingencia
Riesgo Operacional
� Tamaño y estructura de la
organización de la oficina
de enfrente (donde se
realiza la transacción)
� Tamaño y estructura de la
organización de la oficina
de atrás (donde se
procesan, controlan,
confirman y se evalúan las
transacciones)
Riesgos de Liquidez o
Financiación
� Habilidad de la entidad
para obtener fondos
� Estrategia para manejar
circunstancias
� Elaboración de
presupuestos
� Sistemas de información
Riesgos Legal
� Se identifica tipos y
fuentes de riesgo legal
� Capacidad legal
� Revisión de contratos
� Cumplimiento de leyes
Riesgos de Crédito
� Valoración de garantías
� Políticas de aprobación de
créditos (limites)
� Recuperación efectiva
� Revisión ongoin
Riesgos de Liquidez del
mercado
� Amplitud oferta /
demanda
� Oportunidades de
liquidación o liberación de
transacciones
Auditoria I Enfoque del Control Interno (COSO)
27
Integridad del Personal
� Calidad moral de los responsables del negocio / actividad.
� Cultura, costumbres, idiosincrasia de la región, etc.
� Proceso de selección y reclutamiento del personal.
� Actitud y disponibilidad de acuerdo a las necesidades del trabajo.
Tamaño y liquidez de los activos
� Cercanía y facilidades reales que tienen los activos del negocio / actividad de convertirse en
efectivo.
� Importancia de los activos en cada área.
Volumen de transacciones
� Grado de Sistematización.
� Incremento de operaciones.
� Complejidad o volatilidad de las operaciones.
Condiciones económicas
� Nivel de resultados cuantitativos y cualitativos del negocio, unidad, región y actividad.
� Oportunidades de disponer de recursos para adquirir las herramientas necesarias para
desarrollar sus trabajos.
Dispersión geográfica
� Ubicación del negocio / actividad con respecto a la localización geográfica de la oficina
matriz.
Adecuación y efectividad de los sistemas de control interno
Cambios en la operación
� Cambios recientes en personal clave.
� Crecimiento acelerado.
� Cambios de procedimientos.
Auditoria I Enfoque del Control Interno (COSO)
28
Cambios en la tecnología
� Nueva tecnología.
� Presión por la dirección para ser punta de lanza.
2.2.3. Estimación del Riesgo
Se debe estimar la frecuencia con que se presentarán los riesgos identificados, así como también
se debe cuantificar la probable pérdida que ellos pueden ocasionar.
Una vez identificados los riegos al nivel de organismo y de programa de actividad, debe
procederse a su análisis. Los métodos utilizados para determinar la importancia relativa de los
riesgos pueden ser diversos, e incluirán como mínimo:
� Una estimación de su frecuencia, o sea la probabilidad de ocurrencia.
� Una valoración de la perdida que podría resultar.
En general, aquellos riesgos cuya concreción esté estimada como de baja frecuencia, no justifican
preocupaciones mayores. Por el contrario, los que se estima de alta frecuencia deben merecer
preferente atención. Entre estos extremos se encuentran casos que deben ser analizados
cuidadosamente, aplicando elevadas dosis de buen juicio y sentido común.
Existen muchos riesgos dificultosos de cuantificar, que como máximo se prestan a calificaciones
de "grande", "moderado" o "pequeño". Pero no debe cederse a la difundida inclinación de
conceptuarlos rápidamente como "no medibles". En muchos casos, con un esfuerzo razonable,
puede conseguirse una medición satisfactoria.
Esto se puede expresar matemáticamente en la llamada Ecuación de la Exposición:
En donde:
PE = Pérdida Esperada o Exposición, expresada en pesos y en forma anual.
F = Frecuencia, veces probables en que el riesgo se concrete en el año.
V = Pérdida estimada para cada caso en que el riesgo se concrete, expresada en pesos.
PE = F x V
Auditoria I Enfoque del Control Interno (COSO)
29
2.2.4. Determinación de los Objetivos de Control
Luego de identificar, estimar y cuantificar los riesgos, la Dirección Superior y las Gerencias
deben determinar los objetivos específicos de control y, con relación a ellos, establecer los
procedimientos de control más convenientes.
Una vez que la Dirección Superior y las Gerencias han identificado y estimado el nivel de riesgo,
deben adoptarse las medidas para enfrentarlo de la manera más eficaz y económica posible.
Se deberán establecer los objetivos específicos de control del organismo, que estarán
adecuadamente articulados con sus propios objetivos globales y sectoriales.
En función de los objetivos de control determinados, se seleccionarán las medidas o salvaguardas
que se estimen más efectivas al menor costo, para minimizar la exposición.
2.2.5. Detección del Cambio
Todo organismo debe disponer de procedimientos capaces de captar e informar oportunamente
los cambios registrados o inminentes en el ambiente interno y externo, que puedan conspirar
contra la posibilidad de alcanzar sus objetivos en las condiciones deseadas.
Una etapa fundamental del proceso de Evaluación del Riesgo es la identificación de los cambios
en las condiciones del medio ambiente en que el organismo desarrolla su acción. Un sistema de
control puede dejar de ser efectivo al cambiar las condiciones en las cuales opera.
A este proceso de identificar cambios efectivos o potenciales con vistas a adoptar las decisiones
oportunas, se lo denomina gestión de cambio. Requiere un sistema de información apto para
captar, procesar y transmitir información relativa a los hechos, eventos, actividades y condiciones
que originan cambios ante los cuales el organismo debe reaccionar.
Esto es identificar causas potenciales que faciliten o impidan alcanzar los objetivos, calcular la
probabilidad de su ocurrencia, evaluar sus probables efectos, y considerar el grado en que el
riesgo puede ser controlado o la oportunidad aprovechada.
A título de ejemplo se señalan algunas condiciones que deben merecer particular atención:
Auditoria I Enfoque del Control Interno (COSO)
30
� Cambios en el contexto externo: legislación, reglamentos, programas de ajuste, tecnología
cambios de autoridades, etc.
� Crecimiento acelerado: un organismo que crece a un ritmo demasiado rápido está sujeto a
muchas tensiones internas y a presiones externas.
� Nuevas líneas de productos o servicios: la inversión en la producción de nuevos bienes o
servicios generalmente ocasiona desajustes en el Sistema de Control Interno, el que debe ser
revisado.
� Reorganizaciones: generalmente significan reducciones de personal que ocasionan, si no son
racionalmente practicadas, alteraciones en la separación de funciones y en el nivel de
supervisión.
� Creación del sistema de información o su reorganización: puede llegar a generar un
período de exceso o defecto en la información producida, ocasionando en ambos casos la
probabilidad de decisiones incorrectas.
El proceso de gestión de cambio es crítico para el Sistema de Control Interno y no debe ser
obviado en ninguna circunstancia.
2.3. Actividades de Control
Las actividades de control consisten en las políticas y los procedimientos que aseguran que se
cumplen las directrices de la administración. También tienden a que se tomen las medidas
necesarias para hacerle frente a los riesgos que ponen en peligro la consecución de los objetivos
de la entidad.
Las actividades de control se llevan a cabo en cualquier parte de la organización, en todas las
funciones de cada uno de los niveles y comprende una serie de actividades tan diferentes como
pueden ser aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los
resultados de las operaciones, la salvaguarda de activos y la segregación de funciones.
2.3.1. Tipos de actividades de control
Existen muchas descripciones de tipos de actividad de control que incluye desde controles
preventivos, defectivos, manuales, informativos y de dirección.
Auditoria I Enfoque del Control Interno (COSO)
31
Algunas de las actividades de control que son desarrolladas por el personal de todos los niveles
de organización son los siguientes:
a) Análisis efectuados por la dirección.
Este trata de realizar un análisis de los resultados obtenidos de las operaciones económicas de una
entidad, comprobándolos con los presupuestos, las previsiones, los resultados de ejercicios
anteriores y de los competidores, con el fin de evaluar en que medida se están alcanzando los
objetivos.
Para esto, la dirección realiza un seguimiento de las iniciativas principales como campaña
b) Gestión directa de funciones por actividades.
Los responsables de las diversas funciones o actividades revisan los informes sobre los
resultados alcanzados. En el caso de un banco por ejemplo, el responsable de los prestamos para
consumo analiza los informes obtenidos por: región, sucursal, y tipo de prestamos; Además
también verifica resúmenes, identifica las tendencias y relaciona los resultados con las
estadísticas económicas y los objetivos.
c) Proceso de información.
Se realiza una serie de controles para comprobar la exactitud, totalidad y autorización de las
transacciones. Por ejemplo, el pedido de un cliente no se acepta hasta después de su
comprobación a través del archivo de clientes y del límite de crédito aprobado. Las anomalías
que requieren un seguimiento son analizadas por el personal administrativo y son transmitidas a
los responsables cuando resulta necesario.
d) Controles físicos.
Los equipos de fabricación, las inversiones financieras, la tesorería y otros activos son objeto de
protección y periódicamente se someten a recuentos físicos cuyos resultados se comparan con las
cifras que figuran en los registros de control.
e) Indicadores de rendimientos.
El análisis combinado de diferentes conjuntos de datos (operativos o financieros) junto con la
puesta en marcha de acciones correctivas, constituye actividad de control. Los indicadores de
Auditoria I Enfoque del Control Interno (COSO)
32
rendimiento incluyen por ejemplo, las fluctuaciones de los precios de compra, el porcentaje de
pedidos urgente y la proporción de las devoluciones sobre el total de pedidos.
Mediante la investigación de los resultados inesperados o las tendencias anormales, la dirección
identifica las circunstancias en la que existe el peligro de que no se consigan los objetivos
establecidos.
f) Segregación de funciones.
Esta consiste en repartir las tareas entre los empleados con el fin de reducir el riesgo de que se
cometan errores o irregularidades. Por ejemplo, se separan las responsabilidades de autorizar
transacciones, de registrarlas y de gestionar los activos correspondientes.
La persona que autoriza la venta a crédito no será responsable de los registros contables de la
cuenta de clientes o de gestionar los ingresos en efectivo.
2.3.2. Políticas y procedimientos.
Las actividades de control generalmente se apoyan en dos elementos: las políticas que determinan
lo que debería de hacerse (constituyen la base del segundo elemento) y los procedimientos
necesarios para llevar a cabo las políticas.
A menudo las políticas se comunican verbalmente. Las políticas pueden ser eficaces aunque no
estén escritas en situaciones donde hacen referencias a prácticas muy asimiladas y conocidas y en
pequeñas empresas donde las vías de comunicación solo implican un número limitado de
responsabilidad, lo cual facilita la interacción y supervisión del personal. Con independencia de
que una política se establezca o no por escrito, hay que implantarla de forma seria, concienzuda y
coherente. Un procedimiento no será útil si se lleva a cabo de forma mecánica, sin concentrarse
en el objetivo por el que se ha establecido la política.
Asimismo, es importante que las condiciones identificadas como resultados de la aplicación de
los procedimientos se investiguen y que se lleven a cabo las acciones correctivas apropiadas.
Auditoria I Enfoque del Control Interno (COSO)
33
2.3.3. Evaluación de riesgos por medio de las actividades de control.
La dirección debe de elaborar planes para afrontar los riesgos. Una vez que sean identificados,
estas acciones también serán útiles para definir las operaciones de control que se aplicaran para
garantizar su ejecución de forma correcta, y en el tiempo deseado.
Dichas acciones son parte esencial del proceso mediante el cual una empresa intenta lograr sus
objetivos de explotación. Estas actividades de control sirven como mecanismos para asegurar el
cumplimiento de los objetivos.
Por ejemplo, las actividades podrían incluir tanto el seguimiento del desarrollo de las ventas por
cliente comparándolo con el calendario previsto como las medidas adoptadas para garantizar la
exactitud de la información obtenida. En este sentido, el control es un elemento integrado en el
proceso de gestión.
2.3.4. Controles sobre los sistemas de información.
Los sistemas de información desempeñan un papel fundamental en la gestión de las empresas,
deben necesariamente estar controladas, independientemente de su tamaño o de la información
que generan, sean estas de naturaleza financiera o relativas a las actividades.
Las actividades de control pueden agruparse en dos relativas categorías. La primera abarca los
controles generales, que son aplicables a muchas o a todas las operaciones y que ayudan a
asegurar el correcto funcionamiento. La segunda incluye controles de aplicación que incluye los
procedimientos programados en el seno de las aplicaciones y los procedimientos manuales
asociados para asegurar el control del proceso de los diferentes tipos de transacciones.
Estos controles pueden ser:
a) Controles generales.
Estos controles habitualmente incluyen:
1. Controles sobre las operaciones del centro de proceso de datos.
Estos incluyen la organización y la planificación de trabajos, las intervenciones del operador, los
procesos de salvaguarda y de recuperación de datos, así como los planes de emergencia.
Auditoria I Enfoque del Control Interno (COSO)
34
En un entorno sofisticado, estos controles también incluyen la planificación de la capacidad
productiva y la distribución y el uso de los recursos. En un ambiente de una tecnología de punta,
la planificación de trabajos se efectúa de forma automática, pero el operador puede intervenir en
todo momento.
b) Controles de aplicación.
Estos controles están diseñados para controlar el funcionamiento de las aplicaciones. Permiten
asegurar la totalidad y exactitud en el proceso de transacciones, su autorización y su validez. Hay
que prestar especial atención a las interfaces de las aplicaciones, ya que, a menudo, están
conectadas con otros sistemas que a su vez, requieren controles para asegurar que se procesan
todos los datos y que todas las salidas de datos se distribuyen adecuadamente.
Una de las contribuciones más importantes de los ordenadores a los sistemas de control es su
capacidad de evitar que se introduzcan errores en el sistema, además de detectarlos y corregirlos
una vez dentro.
Muchos controles de aplicación dependen de comprobaciones de edición informatizadas, que
consisten en comprobaciones de formato, existencia, razón habilidad de datos y otras
comprobaciones que se incorporan en cada aplicación durante su desarrollo. Si estas
comprobaciones están diseñadas correctamente, pueden ayudar a controlar los datos que se
introduzcan en el sistema.
c) Relación entre controles generales y controles de aplicación.
Los controles de sistemas generales y de aplicación están relacionados entre sí. Los controles
generales con necesarios para asegurar el funcionamiento adecuado de los controles de aplicación
que dependen de los procesos informáticos.
La relación entre los controles de aplicación y los generales consiste en que estos son
indispensables para el funcionamiento de los controles de aplicación, y que ambos son necesarios
para garantizar el proceso completo y correcto de la información.
Auditoria I Enfoque del Control Interno (COSO)
35
d) Evaluación de las actividades de control.
Estas actividades tienen que evaluarse en el contexto de las directrices establecidas por la
dirección para afrontar los riesgos relacionados con los objetivos de cada actividad importante.
La evaluación por lo tanto, tendrá en cuenta si las actividades de control están relacionadas con el
proceso de evaluación de riesgo y si son apropiadas para asegurar que las directrices de la
administración se cumplen. Dicha evaluación se efectuara para cada actividad importante,
incluidos los controles generales de los sistemas informáticos. Las personas encargadas de
efectuar la evaluación tendrán en cuenta no solamente si las actividades de control empleadas son
relevantes en base al proceso de evaluación de riesgos realizados, sino también si se aplican de
manera correcta.
2.4. Información y Comunicación
La información se requiere en todos los niveles de una organización, para llevar a cabo la gestión
de la empresa y el progreso hacia los objetivos en todas las categorías, operaciones, información
financiera y de cumplimiento.
Es imprescindible que la dirección disponga de datos fiables a la hora de efectuar la
planificación, preparar presupuestos, fijar precios, etc.
Los datos relativos a las operaciones son fundamentales para la formulación de los estados
financieros; ya sea que tengan origen interno como externo, o si es de carácter financiero o no es
relevante para todas las categorías de objetivos.
Los sistemas de información le permiten identificar, recoger, procesar y divulgar datos.
Generalmente se utiliza dicho término para denominar el procesamiento de datos generados
internamente relativos a las transacciones y a las actividades operarias internas. Sin embargo este
componente incorpora además la información sobre hechos, actividades y factores externos.
Los sistemas de información pueden ser formales e informales, pues las conversiones con
clientes, proveedores, organismos de control y empleados proporcionan parte de la información
más vital para poder identificar riesgos y oportunidades.
Auditoria I Enfoque del Control Interno (COSO)
36
Para ser eficiente, no deben únicamente identificar y recoger la información necesaria (financiera
y no financiera), sino que también ha de procesarla y comunicarla en forma y plazo oportuno para
que sea útil en el control de las actividades de la entidad.
Estrategias y sistemas integrados.
Los sistemas de información generalmente constituyen una parte integral de las actividades
operativas, permitiendo recoger información necesaria para tomas las decisiones en cuanto a la
implementación de controles y además considera llevar a cabo iniciativas estratégicas, como algo
nuevo.
Las empresas utilizan la tecnología para comprender y satisfacer las necesidades del mercado
haciendo caso de sistemas para apoyar estrategias empresariales preactivas más que reactivas.
Se debe considerar al momento de seleccionar e implantar la tecnología varios elementos:
objetivos organizativos, las necesidades del mercado, las exigencias competitivas y el soporte que
proporcionara en los controles.
La calidad de la información que se genera por un sistema afecta la capacidad de tomar
decisiones adecuadas al gestionar y controlar las actividades de una entidad, los sistemas
modernos incorporan una opción para que se pueda obtener en todo momento datos actualizados.
Para que la información se considere con calidad debe comprender las siguientes características:
� Utilidad. Se refiere a que la información puede ser efectivamente usada en la toma de
decisiones de los usuarios, dado que es importante y que ha sido presentada en forma
oportuna.
� Confiabilidad. Consiste en que el usuario la acepte y la utiliza para tomas decisiones en ella,
la confianza que este le otorga requiere que las operaciones del sistema sean estables, objetiva
y confiable.
� Provisionalidad. Significa que la información no reporta hechos totalmente terminados.
Auditoria I Enfoque del Control Interno (COSO)
37
La comunicación es inherente a los sistemas de información, por lo que debe ser amplia para que
pueda abordar las expectativas y responsabilidades de las personas, grupos y otras situaciones
importantes.
2.4.1. Comunicación interna.
Se debe dar a conocer la información necesaria para llevar a cabo las actividades de todo el
personal, específicamente los empleados con responsabilidades importantes en la gestión, deben
de recibir el mensaje claro desde la alta dirección y tomar en serio las funciones afectas al control
interno, ya que la claridad del mensaje como la eficacia de la comunicación es muy importante
especificando cada función concretamente, porque cada persona tiene que entender los aspectos
relevantes del sistema de control interno, como funcionan los mismos y saber cual es su papel y
responsabilidad en el sistema.
2.4.2. Comunicación externa.
La comunicación recibida de terceros (accionistas, instituciones de control, analistas financieros,
etc.), proporciona información importante y acorde a las necesidades sobre el funcionamiento del
control interno; de modo que se pueda entender el entorno y los riesgos de la entidad,
presentando datos significativos que son pertinentes y oportunos, cumpliendo con los
correspondientes registros legales.
Medios de comunicación.
Existen diversos medios para transmitir la comunicación dentro de una entidad:
a. Manuales de políticas, memorias, avisos en pizarras o mensajes de video; materializándose en
estas formas.
b. Mensajes que se transmiten verbalmente; la entonación y el lenguaje corporal sirven para dar
énfasis.
c. La actuación de la dirección al tratar con sus subordinados.
2.5. Monitoreo (Supervisión o Vigilancia)
El proceso de supervisión garantiza que el control interno continua funcionando adecuadamente,
comprendiendo la evaluación, la manera en que se han diseñando, el funcionamiento y la forma
Auditoria I Enfoque del Control Interno (COSO)
38
en que se adaptan las medidas necesarias, aplicándose a todas las actividades dentro de la entidad
y muchas veces también a externos contratados.
Las operaciones de supervisión se materializan en dos formas:
� Actividades de supervisión continua
� Evaluaciones puntuales
Normalmente los sistemas de control interno, aseguran en mayor o menor medida su propia
supervisión, por lo que cuando mayor sea el nivel y la eficacia de supervisión continua, menor
será la necesidad de evaluaciones puntuales.
2.5.1. Actividades de supervisión continuada
La variedad de actividades que permiten efectuar un seguimiento de la eficacia del control
interno en el desarrollo normal del negocio, comprende actividades corrientes de gestión,
supervisión comparaciones, conciliaciones y otras tareas rutinarias.
2.5.2. Evaluaciones puntuales
Al realizar un replanteamiento del sistema de control interno, muchas veces, resulta útil ya que se
verifica la continuidad de la eficacia de los procedimientos que se llevan a cabo en la supervisión
continuada.
2.5.3. Alcance y frecuencia
Dentro de las evaluaciones del control interno varían según la magnitud de los riesgos objeto de
control y la importancia para la reducción de aquellos, por lo que los controles que actúan sobre
los riesgos de mayor prioridad y los mas críticos para a redacción de un determinado riesgo serán
objeto de evaluación con mas frecuencia. El alcance de la evaluación dependerá de cual de las
categorías de objetivos van enfocados (operacionales, de información financiera o de
cumplimiento)
2.5.4. Implementación del Control Interno
Es el proceso que evalúa la calidad del funcionamiento del control interno en el tiempo y permite
al sistema reaccionar en forma dinámica, cambiando cuando las circunstancias así lo requieran.
Auditoria I Enfoque del Control Interno (COSO)
39
Debe orientarse a la identificación de controles débiles, insuficientes o necesarios, para promover
su reforzamiento. El monitoreo se lleva a cabo de tres formas:
� Durante la realización de las actividades diarias en los distintos niveles de la entidad.
� De manera separada, por personal que no es el responsable directo de la ejecución de las
actividades (incluidas las de control).
� Mediante la combinación de ambas modalidades.
Los elementos que conforman el monitoreo de actividades son:
� Monitoreo del rendimiento;
� Revisión de los supuestos que soportan los objetivos del control interno;
� Aplicación de procedimientos de seguimiento; y,
� Evaluación de la calidad del control interno.
Monitoreo del rendimiento- El rendimiento debe ser monitoreado comparando las metas e
indicadores identificados con los objetivos y planes de la entidad. El monitoreo del rendimiento
de las operaciones ofrece una oportunidad para aprender de la experiencia. El logro de los
objetivos en forma rápida o lenta con relación a lo planeado, puede indicar la necesidad de revisar
los objetivos o modificarlos por la propia entidad.
Revisión de los supuestos que soportan los objetivos - Los objetivos de la entidad y los
elementos del control interno necesarios para obtener su logro apropiado, descansan en supuestos
fundamentales acerca de como se realiza el trabajo. Si los supuestos de la entidad son incorrectos,
el control puede ser inefectivo. Por ello, tales supuestos que sustentan los objetivos de una
entidad deben revisarse periódicamente.
Aplicación de procedimientos de seguimiento - Los procedimientos de seguimiento deben ser
establecidos y ejecutados para asegurar que cambios o acciones apropiadas ocurren.
Evaluación de la calidad del control interno - La gerencia debe monitorear periódicamente la
efectividad del control interno en su entidad para retroalimentar el proceso de gestión de la
entidad. Adicionalmente, utiliza los Informes de auditoria Interna como un insumo que le permite
disponer la corrección de las desviaciones afectan el logro de los objetivos del control interno.
Auditoria I Enfoque del Control Interno (COSO)
40
3. El Informe del Control Interno COSO
Las estructura del informe COSO, esta formado por los siguiente elementos:
� Resumen Ejecutivo
� Objetivo de la Auditoria
� Ambiente de Control
� Valorización del Riesgo
� Actividades de Control
� Información / comunicación
� Monitoreo
Los elementos del Informe esta compuesto por:
a. OBJETIVO
� OPERACIONES, Uso del efectivo y eficiente uso de los recursos
� INFORMACIÓN FINANCIERA, Preparación de Estados Financieros
� CUMPLIMIENTO, La entidad en cuanto a las leyes y regulaciones aplicables
b. ANALISIS DE LOS COMPONENTES A CADA UNA DE LAS ÁREAS DE LA ENTIDAD
� Ambiente de Control
� Valoración del Riesgo
� Actividades de Control
� Información y Comunicación
� Monitoreo o Vigilancia
c. RELACIONES ENTRE OBJETIVOS Y COMPONENTES
d. CUALIFICAR EN CUANTO A:
� Eficiencia
� Eficacia
e. OPINIONES
Auditoria I Enfoque del Control Interno (COSO)
41
3.1. Etapas de La Revisión y Evaluación del Control Interno Informe Coso
A continuación se presentan los puntos principales en los cuales el auditor debe de enfocarse
para evaluar el control interno según COSO.
Entorno Interno
El auditor debe de considerar cada factor del entorno interno para determinar cuando existe un
entorno interno de control positivo. Se presentan a continuación Varios aspectos a tener en
cuenta, la lista no es completa, no todos los ítem se aplica a todas las entidades, pero sirven como
punto de partida. Si bien algunos de los ítem son Altamente subjetivos y requieren un juicio
considerable, generalmente son relevantes para la efectiva del entorno interno del control.
Integridad y valores éticos
• Existen e implementan códigos de conducta y otras políticas mirando las prácticas de
negocios aceptables, los conflictos de interés o los estándares esperados de
comportamiento ético y moral.
• Relaciones con los empleados, proveedores, clientes, inversionistas, acreedores, auditores,
etc.(Insisten en que estos tengan un plano de alta ética)
• Presión por cumplir objetivos de desempeño irreales
Compromiso por la competencia
• Descripciones formales o informales de trabajo u otras maneras de definir tareas que
comprenden trabajos particulares.
• Análisis del conocimiento y de las habilidades necesarias para desempeñar
adecuadamente los trabajos.
Consejo de directores o comité de auditoria
• Independencia frente a la administración
• Frecuencia y oportunidad de las reuniones y que sean apoyadas por el director financiero
auditores internos y externos.
• Suficiencia y oportunidad para permitir monitoreo de los objetivos y estrategias de la
administración.
Auditoria I Enfoque del Control Interno (COSO)
42
• Suficiencia y oportunidad de recibir información sensitiva, investigaciones y actos
impropios.
Filosofía y estilo de operación de la administración
• Naturaleza de los riegos de negocios aceptados
• Frecuencia de interacción de la administración principal y la administración operativa.
• Actitudes y acciones así la información financiera incluyen las disputas de aplicación de
acuerdos contables.
Estructura organizacional
• Conveniencia de la estructura organizacional de la entidad y su habilidad para
proporcionar el flujo de información necesaria para administrar sus actividades.
• Claridad en la definición de las responsabilidades calves de los administradores, y su
entendimiento de esas responsabilidades.
• Claridad en el conocimiento y experiencia de los administradores clave, a la luz de sus
responsabilidades.
Valoración de autoridad y responsabilidad
• Asignación de responsabilidad y delegación de responsabilidad para cumplir con metas y
objetivos organizacionales, la funciones de operación y los requerimientos reguladores.
• Conveniencia de estándares y procedimientos relacionados con el control, incluyendo
descripciones del trabajo de los empleados.
• Numero apropiado de gente, particularmente con respecto al procesamiento de datos y a
las funciones de contabilidad, con los niveles de habilidades requeridos, relativos al
tamaño de ella entidad y a la naturaleza y complejidad del las actividades y sistemas.
Políticas y prácticas de recursos humanos
• Forma de aplicación de las políticas y los procedimientos para vinculación,
entrenamiento, promoción, y compensación de empleados.
• Conveniencia de las acciones remédiales desarrolladas en respuesta a desviaciones de las
políticas y los procedimientos aprobados.
Auditoria I Enfoque del Control Interno (COSO)
43
• Si el chequeo de la experiencia de los candidatos a empleo es adecuado, particularmente
en relación con las acciones o actividades principales consideradas como inaceptables
por la entidad.
Si son adecuados los criterios de retención y promoción de empleados y técnicas de recolección
de información. Y relación con el código de conducta u otras orientaciones de comportamiento.
La revisión del Control Interno por parte del auditor le ayuda a determinar otros procedimientos
de auditoria para formular su opinión sobre la razonabilidad de los saldos finales.
Un planteamiento conceptual lógico de la evaluación que hace el Contador Público del control
interno contable que se enfoca a prevenir o detectar errores o irregularidades importantes en los
saldos de las cuentas, consiste en aplicar a cada tipo importante de transacciones y a los
respectivos activos involucrados en la auditoria, los siguientes criterios:
a) Considerar entre otros los tipos de errores e irregularidades que puedan ocurrir.
b) Determinar los procedimientos de control interno contable que puedan prevenir o detectar
errores o irregularidades.
c) Determinar si los procedimientos necesarios están establecidos y si se han seguido
satisfactoriamente.
d) Evaluar cualquier deficiencia, es decir cualquier tipo de error o irregularidad potencial no
contemplada por los procedimientos de control interno existente para determinar su efecto
sobre: la naturaleza, momento de ejecución o extensión de los procedimientos de auditoria a
aplicar.
3.1.1. Revisión Del Sistema
La revisión del sistema es principalmente un proceso de obtención de información respecto a la
organización y de los procedimientos prescritos y pretende servir como base para las pruebas de
cumplimiento y para la evaluación del sistema.
La información requerida para este objeto normalmente se obtiene a través de entrevistas con el
personal apropiado del cliente y referencia a la documentación tal y como manuales de
procedimientos, descripción de puestos, diagramas de flujos y cuadros de decisión
Auditoria I Enfoque del Control Interno (COSO)
44
3.1.2. Evaluación
Evaluación preliminar
Al terminar la revisión del sistema, el auditor debe ser capaz de hacer una evaluación preliminar
presumiendo un satisfactorio cumplimiento con el sistema prescrito y normalmente es
conveniente hacerlo de inmediato.
Evaluación de control interno
La evaluación de los controles internos contables hecha por el auditor externo o auditor para
cada tipo importante de transacciones, debe dar lugar a una conclusión respecto a sí los
procedimientos establecidos y su cumplimiento deben considerarse satisfactorios si la revisión
del contador público y sus pruebas no revelan ninguna situación que se considere importante
para su objetivo.
En este contexto una deficiencia importante significa una situación en la cual el auditor estima
que los procedimientos establecidos o el grado de cumplimiento de los mismos no proporciona
una seguridad razonable de que errores o irregularidades por importantes significativos con
respecto a las cuentas anuales que están siendo auditadas pudieran prevenirse o detectarse
fácilmente por los empleados del ente en el curso normal de la ejecución de las funciones que le
fueron asignadas.
La revisión y evaluación del control Interno incluye dos fases que son:
1. La revisión preliminar del sistema con objeto de conocer y comprender los procedimientos y
métodos establecidos por la entidad
2. La realización de pruebas de cumplimiento para obtener una seguridad razonable de que los
controles se encuentran en uso y que están operando tal como se diseñaron
3.1.3. Obtención de Información para la Evaluación de Control Interno
Obtener la información básica de las principales actividades de la empresa es muy importante,
debido a que constituye la base para plantear efectiva y eficientemente la
Evaluación del sistema de control interno.
Auditoria I Enfoque del Control Interno (COSO)
45
El auditor debe determinar los sistemas y sub-sistemas, con la finalidad de diseñar los
flujogramas, que finalmente le permitirán determinar las áreas débiles del sistema de control
interno, no sólo para presentar las recomendaciones a la gerencia, sino para seleccionar los
procedimientos de auditoria que serán necesarios para completar su examen sobre los estados
financieros.
Técnicas de obtención de información
El análisis de técnicas de obtención de información se debe efectuar bajo:
� Análisis por puesto de trabajo
� Análisis por procedimiento o sistemas de información.
Las técnicas de obtención de información más frecuentemente utilizadas son las siguientes: � La entrevista
� Observación personal y directa
� Revisión, lectura y estudio de documentación o antecedentes Cuestionados
Estas técnicas pueden utilizarse en forma independiente o combinada. Dependerá del criterio del
auditor y de la naturaleza de las operaciones de la empresa auditada.
3.1.4. Evaluación Definitiva del Control Interno
Esta es la etapa final dela evaluación del control interno, la cual realiza el auditor luego de haber
revisado la información respectiva al control interno en base a sus transacciones y de haber
efectuado las respectivas pruebas de cumplimiento. El auditor en base a los componentes de la
estructura del control interno, considerara si cumplen con los criterios del enfoque coso.
El auditor, por ejemplo puede llegar a la conclusión siguiente:
El sistema de control interno de la empresa xxx, es efectivo al 31 de diciembre de 2002,
suministra información y asesoria especial a los reportes financieros de la compañía. Esta
compañía es efectiva en la aplicación de las leyes y regulaciones, y la dirección esta al tanto de la
extensión que la compañía a tenido en cuanto a los objetivos operacionales.
� Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,
Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel
Alberto Mantilla B. (Traductor). Tercera Edición
� Normas Internacionales de Auditoria
Auditoria I Enfoque del Control Interno (COSO)
46
� SAS 78
� Guía Básica para Evaluar el Control Interno Bajo un Enfoque Integral, Fundamentada en
el Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas
(COSO). Carlos Alberto Contreras Martínez y Otros.
4. Evolución Del COSO
Al principio de este trabajo se menciono que como base de este trabajo se tomaría la versión del
COSO 1992; pero bien es cierto como todo contador publico tiene que ir a la vanguardia a los
cambios que se produzca en relación al entorno de su desempeño profesional, por ello se ha
considerado tomar aquellos aspectos mas relevantes ya que la información es muy amplia.
Creación.
El nuevo informe COSO fue finalizado en septiembre de 2004, el cual fue nominado como el
Marco Integrado de Administración de Riesgos Corporativos (ERM)
Esta nueva versión de COSO contiene los siguientes aspectos:
� Ha concluido sobre la necesidad de un marco reconocido sobre gerenciamiento del riesgo a
pesar de la abundancia de literatura sobre la materia.
� Sostiene que existe consenso a nivel mundial de que todas las organizaciones pueden
beneficiarse de los mejores procedimientos de identificación y análisis de riesgos.
� Reconoce que el riesgo y el gerenciamiento del riesgo son componentes que están presentes
en todas las actividades de una organización.
� Considera que este marco contribuirá a la identificación y coordinación de todos los
aspectos que deben estar presentes para una efectiva administración del riesgo.
El marco en el cual esta compuesto es:
� La definición de administración de riesgos corporativos.
� Los principios críticos y componentes de un proceso de administración de riesgos
corporativos efectivo.
� Pautas para las organizaciones sobre como mejorar su administración de riesgos
� Criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se
necesita para que lo sea.
Auditoria I Enfoque del Control Interno (COSO)
47
Las técnicas de aplicación proveen:
Ejemplos sobre cómo principios críticos deben ser vistos dentro de la organización.
Una vista general de un proceso de implementación.
Ejemplos que consideran diferentes tipos de empresas:
� Tamaño
� Estrategia
� Industria
� Complejidad
4.1. Concepto COSO según la Administración de Riesgos Corporativos de acuerdo al
Marco Gestión Integral de Riesgo (ERM).
Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el
establecimiento de la estrategia y a lo largo de la organización, diseñado para identificar eventos
potenciales que pueden afectarla y administrar riesgos de acuerdo a su apetito de riesgo, de modo
de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.
Es un proceso
� Efectuado por el directorio, gerencia y otros miembros del personal
� Aplicado en el establecimiento de la estrategia a lo largo de la organización
� Diseñado para identificar eventos potenciales que pueden afectarla y administrar riesgos de
acuerdo a su apetito de riesgo de modo de proveer seguridad razonable en cuanto al logro de
los objetivos de la organización
Administración del Riesgo en la Determinación de la Estrategia
� Eventos y Riesgos
� Apetito de Riesgo
� Tolerancia al Riesgo
� Visión de Portafolio de Riesgos
Auditoria I Enfoque del Control Interno (COSO)
48
COSO I: Control Interno – Marco Conceptual COSO II: ERM: Marco de Gestión
Integrado (1992) Integral de Riesgo (Enterprise Risk
Management). (2004)
Con la versión del COSO 1992 el informe estaba constituido por 5 componentes que son:
Monitoreo, información y comunicación, actividades de Control, Evaluación de Riesgo y
Ambiente de Control. La nueva versión de COSO de 2004, esta compuesto por los mismo cinco
componentes anteriormente mencionado pero además se han agregado otro tres mas que son:
Respuesta de Riesgo, Identificación de Eventos y establecimiento de Objetivos.
Además se ha incorporado un nuevo objetivo que son las estrategias.
4.2. Componentes del Informe COSO según el Marco Integrado de Administración de
Riesgos Corporativos (ERM)
El control interno esta compuesto por ocho componentes interrelacionados. Se derivan de la
manera como la administración dirige un negocio y están integrados en el proceso de
administración. Tales componentes son:
� Monitoreo
� Información y
Comunicación
� Actividades de Control
� Respuesta de Riesgo
� Evaluación de Riesgo
� Identificación de Eventos
� Establecimiento de
Objetivos
� Ambiente de Control
� Monitoreo
� Información y
Comunicación
� Actividades de Control
� Evaluación de Riesgo
� Ambiente de Control
Auditoria I Enfoque del Control Interno (COSO)
49
a. Ambiente Interno
Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.
Medio La esencia de cualquier negocio es su fuente – sus atribuciones individuales, incluyendo la
filosofía de la administración de riesgos, cultura de riesgo, junta de directores, integridad y
valores éticos, compromiso con la competencia, estructura organizacional, asignación de
autoridades y responsabilidad, políticas y practicas de recursos humanos.
Incide en:
� La concientización del personal respecto del riesgo y el control
� El modo en que las estrategias y objetivos son establecidos, las actividades de negocio son
estructuradas y los riesgos son identificados, evaluados y gerenciados.
Los Factores que influyen son:
� Filosofía de la administración de riesgos
� Apetito al riesgo
� Integridad y valores éticos
� Visión del Directorio
� Compromiso de competencia profesional
� Estructura organizativa
� Asignación de autoridad y responsabilidad
� Políticas y prácticas de recursos humanos
FFii lloossooffííaa ddee llaa AAddmmiinniissttrraacciióónn ddee RRiieessggooss
� Representa las creencias compartidas y las actitudes que caracterizan cómo la entidad
considera el riesgo en todas las actividades.
� Refleja los valores de la entidad, influenciando su cultura y estilo de operar.
� Afecta cómo los componentes del ERM son aplicados, incluyendo cómo son identificados los
eventos, los tipos de riesgos aceptados, y cómo son administrados.
� La Dirección debe reforzar la filosofía no sólo con palabras sino con acciones de todos los
días.
Auditoria I Enfoque del Control Interno (COSO)
50
AAppeettii ttoo aall rriieessggoo
� El apetito de riesgo es la cantidad de riesgo en un nivel amplio que una empresa está
dispuesta a aceptar para generar valor.
� Se considera en el establecimiento de la estrategia.
� Permite el alineamiento de la organización, las personas, procesos e infraestructura.
� Expresado en términos cualitativos o cuantitativos
Integridad y Valores Éticos
La estrategia y los objetivos de una organización y la forma en que se implementan se basan en
juicios, preferencias y estilos. La integridad y el compromiso con los valores éticos influencian
esas preferencias y los juicios.
Los valores éticos deben ser comunicados y acompañados de guías explícitas detallando lo que
está bien y lo que está mal. Código formal de conducta:
� Carta del CEO
� Objetivos y filosofía
� Conflictos de interés
� Regalos
� Transparencia
� Recursos corporativos
� Responsabilidad social
� Otros temas relacionado
b. Establecimiento de Objetivos
La entidad debe de señalar los objetivos integrados con ventas, producción, mercadeo como los
son los siguientes. Objetivos operacionales, objetivos estratégicos y objetivos seleccionados.
Objetivos Seleccionados
� Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo
Objetivos estratégicos
� Consiste en metas de alto nivel que se alinean con y sustentan la misión/visión
� Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear
valor para sus grupos de interés
Auditoria I Enfoque del Control Interno (COSO)
51
Objetivos relacionados
� Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado
� Se categorizan en forma amplia en: operativos, confiabilidad de la información y
cumplimiento
� Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de
cascada
Tolerancia al Riesgo
� La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los
objetivos
� Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia)
� Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los
objetivos relacionados
c. Identificación de Eventos
Los eventos son factores que influyen en la estrategia y objetivos planteadas por la entidad,
dentro de los cuales se identifican eventos relacionados con las metodologías y técnicas,
interdependencia entre los eventos, categoría de eventos, riesgos y oportunidades.
Eventos
Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro
de los objetivos, con impacto positivo, negativo o ambos
Distinguiendo Riesgos y Oportunidades
Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y
administrados Los eventos con un impacto positivo representan oportunidades, las cuales son
recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos
Factores a considerar.
Los eventos pueden provenir de factores internos y externos. La Gerencia debe reconocer la
importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los
mismos
Auditoria I Enfoque del Control Interno (COSO)
52
Técnicas de Identificación de Eventos
Existen técnicas focalizadas en el pasado y otras en el futuro
Existen técnicas de diverso grado de sofisticación
Ejemplos:
� Inventarios de eventos
� Análisis de información histórica (de la empresa/sector)
� Indicadores de excepción
� Entrevistas y cesiones grupales guiadas por facilitadores
� Análisis de flujos de procesos
� Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en
el logro de los objetivos.
d. Valoración del riesgo.
Es la identificación y análisis de los riesgos relevantes para la consecución de los objetivos,
formando una base para la determinación de cómo deben administrarse los riesgos. Dado que las
condiciones económicas, industriales, reguladoras y de operación continuaran cambiando, se
necesitaran mecanismos para identificar y tratar los riesgos especiales asociados con el cambio.
La valuación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e
impacto.
Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales.
La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y
cuantitativas
e. Repuesta de Riesgo
La entidad es la responsable de identificar los mecanismos necesarios para realizar la
identificación de las respuestas al riesgo, de la evaluación de las posibles respuestas al riesgo,
seleccionando la respuesta más idónea desde el punto de vista de portafolio.
Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en
relación al apetito de riesgo de la entidad.
Evaluando Posibles Respuestas
Auditoria I Enfoque del Control Interno (COSO)
53
� Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el
nivel de tolerancia definido
� En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos
Categorías de respuesta al riesgo:
Evitarlo : Se toman acciones de modo de discontinuar las actividades que generan riesgo
Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del
riesgo o ambos
Compartirlo : Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia
al transferir o compartir una porción del riesgo
Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo
Visión de Portafolio de Riesgos
� ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su
conjunto o de portafolio de riesgos
� Permite desarrollar una visión de portafolio de riesgos tanto en el ámbito de unidades de
negocio como en el ámbito de la entidad
� Es necesario considerar como los riesgos individuales se interrelacionan
� Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de
riesgo global
ff .. AAccttiivviiddaaddeess ddee CCoonnttrrooll
Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están
aplicando efectivamente las acciones necesarias para manejar los riesgos en la consecución de los
objetivos de la entidad. Estas actividades se dan a lo largo y ancho de la organización, en todos
los niveles y en todas las funciones. Incluyendo un rango de actividades tan diversas como
aprobaciones, autorizaciones, verificaciones, revisión del desempeño de operaciones, así como la
integración con las respuestas al riesgo, generándose tres tipos de controles los cuales son.
Controles generales, de aplicación y específicos de la entidad.
Integración con Respuesta al Riesgo
� Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se
llevan a cabo de manera adecuada y oportuna.
Auditoria I Enfoque del Control Interno (COSO)
54
� La selección o revisión de las actividades de control comprende la consideración de su
relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado
� Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones
� Tipos de Actividades de Control Preventivas, detectivas, manuales, computarizadas y
controles gerenciales
gg.. II nnffoorrmmaacciióónn yy CCoommuunniiccaacciióónn
Debe identificarse, capturarse y comunicarse información pertinente en una forma y oportunidad
que facilite a la gente cumplir sus responsabilidades. El sistema de información produce
documentos que contienen información operacional, financiera y relacionada con el
cumplimiento, la cual hace posible operar y controlar el negocio. También debe darse una
comunicación efectiva en un sentido amplio, que fluya hacia abajo, a lo largo y hacia arriba de la
organización. Todo el personal deberá tener un mensaje claro por parte de la alta administración
respecto a sus responsabilidades de control, deben entender su propio papel en el sistema de
control interno, así como de sus actividades individuales se relacionan con el trabajo de los
|demás. Ellos también necesitan comunicación efectiva con las partes externas, tales como
clientes, proveedores, reguladores y accionistas.
La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar
una respuesta al riesgo.
Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que
permita a los miembros de la organización cumplir con sus responsabilidades.
La información relevante es obtenida de fuentes internas y externas
La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los
sentidos (ascendente, descendente, paralelo).
Asimismo, debe existir una comunicación adecuada con partes externas a la organización como
ser: clientes, proveedores, reguladores y accionistas.
hh.. MMoonnii ttoorreeoo
Los sistemas de control interno requieren que sean monitoreados, un proceso que valore la
calidad de desempeño del sistema en el tiempo. Ello es realizado mediante acciones de monitoreo
ongoing (termino técnico que significa estar actualmente en proceso, en continuo movimiento,
Auditoria I Enfoque del Control Interno (COSO)
55
hacia a delante) evaluaciones separadas una combinación de las dos, el monitoreo incluye las
actividades regulares de administración y supervisión, así como otras acciones personales
tomadas en el desempeño de sus obligaciones. El alcance y las frecuencia de las evaluaciones
separadas dependerá primariamente de la valoración de riesgos y de la efectividad de los
procedimientos de monitoreo ongoing.
Implica monitorear que el proceso de Administración de riesgos mantiene su efectividad a lo
largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través
de:
� Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las
operaciones
� Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la
ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados
de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo
� Una combinación de ambas formas
4.3. Vinculación entre el marco ERM y el Marco Integrado de Control Interno
� ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco
Integrado de Control Interno del COSO (MICI).
� ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos.
� En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de
“Información Financiera” del MICI.
� ERM incluye ocho componentes.
� ERM incluye el establecimiento de objetivos como un componente separado.
� El MICI considera al establecimiento de objetivos como un prerrequisito para el control
interno.
� El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes
del ERM.
Auditoria I Enfoque del Control Interno (COSO)
56
CONCLUSIONES
� El control interno es una herramienta indispensable en todas las empresas ya que permite
tener una seguridad razonable sobre factores que pueden influir en el desempeño de la
empresa.
� Los controles internos pueden ser preventivos, detectivo o correctivos, el uso de cada uno de
ellos dependerá de la situación en que se encuentre la empresa.
� El hecho de tener implementado un sistema de control interno no aseguran en su totalidad que
una empresa sobreviva o tenga éxito en los negocios.
� El control interno COSO, tiene una amplia visión sobre los aspectos que es necesario evaluar
en una empresa, ya que este se enfoca en la mayoría de la estructura de la organización.
� Es necesario que para un correcto funcionamiento del control interno COSO haya una
interacción entre cada uno de los cinco elementos que lo conforman.
� El control interno COSO permite tener en cuenta la diversidad de riesgos que afectan a la
empresa, desde los más grandes hasta los más pequeños.
� El Auditor Interno puede aportar valor a las organizaciones incorporando mejoras en el
proceso de evaluación del Sistema de Control Interno, esto requerirá de la puesta en práctica
de un control constructivo donde los auditores deberán actuar como agentes de cambio
protagonizando en forma conjunta con la dirección y el personal de la empresa, el proceso
que encamine a la organización al logro de una gestión de la más alta calidad.
Auditoria I Enfoque del Control Interno (COSO)
57
BIBLIOGRAFIA
� Guía básica para evaluar el Control Interno bajo un enfoque Integral Fundamentada en el
Informe del Comité de la Organización de Patrocinio de la Comisión de Marcas (COSO);
Tesis; Contreras Martines, Carlos Alberto; San Salvador; El Salvador; 2003.
� Estructura Conceptual Integrada, Herramientas de evaluación, Reporte a partes externas,
Estructura conceptual, Resumen ejecutivo. Control Interno, Informe COSO. Samuel Alberto
Mantilla B. (Traductor). Tercera Edición
� Diseño de auditoria para evaluación de riesgo en las empresas comerciales; Tesis; Lozano
Rivera, Reina Esterlina; San Miguel; El Salvador; 2004.
� Corte de Cuentas de la Republica de El Salvador. “Normas técnicas de Control Interno”; El
Salvador; 2004.
� Instituto Mexicano de Contadores Públicos, Normas Internacionales de Auditoria, México,
2004.
� Enciclopedia de la Auditoria; Tomo I; OCÉANO
� http://www.monografias.com/trabajos16/auditoria-fiscal/auditoria-fiscal.shtml
� http://www.monografias.com/trabajos14/auditoria/auditoria.shtml
� http://www.definicion.org/buscar.php?termino=auditoria+forense
Auditoria I Enfoque del Control Interno (COSO)
58
GLOSARIO
ACTIVIDADES DE CONTROL: Se deben establecer y ejecutar políticas y procedimientos para
ayudar a asegurar que están aplicando efectivamente las acciones identificadas por la
administración como necesarias para manejar los riesgos en la consecución de los objetivos de
la entidad.
COMPONENTE: Uno de los siete componentes del control interno. Los componentes son
Entorno Interno, definición de objetivos, eventos valoración de riesgos y repuesta al
riesgo, actividades de control, información y comunicación, y monitoreo.
CONDICIÓN REPORTABLE: Una deficiencia de control interno relacionada con la
información financiera; es una deficiencia significativa en el diseño u operación del sistema de
control interno, la cual podría afectar adversamente la habilidad de la entidad para registrar,
procesar, sumar, e informar datos financieros consistentes con las aserciones de la administración
en los estados financieros.
CONTROL: Un sustantivo empleado como sujeto, por ejemplo la existencia de un control, una
política o un procedimiento que es parte del control interno. Un sustantivo empleado como
objeto, por ejemplo efectuar el control el resultado de políticas y procedimientos diseñados parar
controlar; est6e resultado puede o no ser control efectivo.
CONTROL DETECTIVO: Un control diseñado para descubrir un evento o un resultado no
intentado (contrasta preventivo)
CONTROL INTERNO: Un proceso, efectuado por el consejo de directores, la administración y
otro personal de una entidad, diseñado para proporcionar seguridad razonable respecto de la
consecución de los objetivos en las siguientes categorías:
� Efectividad y eficiencia de las operaciones
� Confiabilidad de la información financiera.
� Cumplimiento con las leyes y regulaciones aplicables
Auditoria I Enfoque del Control Interno (COSO)
59
Cuando un sistema de control interno satisface lo los criterios especificados, puede
denominarse efectivo.
CONTROL INTERNO EFECTIVO: EL control interno puede juzgarse efectivo en cada una de
las tres categorías, respectivamente, si el consejo de directores y la administración tienen una
seguridad razonable de que:
� Ellos entienden la extensión en la cual se están consiguiendo los objetivos de operación de
la entidad.
� Los estados financiero publicados son preparados confiablemente.
� Se está cumpliendo con las leyes y regulaciones aplicadas.
Este es un estado o condición de control interno.
CONTROL PREVENTIVO: Un control diseñado para evitar un evento o resultado no
intentado ( contrasta con el control detectivo)
CONTROLES ADMINISTRATIVOS: Controles desempeñados por uno o más administradores
en cualquier nivel en una organización.
CONTROLES COMPUTARIZADOS: Controles desempeñados mediante computador, por
ejemplo controles programados en el software del computador.
CONTROLES DE APLICACIÓN: Procedimientos programados en software de aplicación y
procedimiento manuales relacionados,
Diseñados para ayudar la totalidad y la exactitud del procesamiento de la información.
CONTROLES GENERALES: Políticas y procedimientos que ayudan a asegurar la operación
continuada, propia de los sistemas de información computarizados. Incluyen controles sobre las
operaciones del centro de datos, adquisición y mantenimiento del software del sistema,
seguridades de acceso y desarrollo y mantenimiento del sistema de aplicación.
CONTROLES MANUALES: Controles desempeñados manualmente, no por computador.
Auditoria I Enfoque del Control Interno (COSO)
60
COSO: Comittee of Sponsorcing Organizations of the treadway Comission
Comité de patrocinio de las organizaciones.
CRITERIO: Un conjunto de estándares contra los cuales puede medirse un sistema de control
interno para determinar su efectividad.
CUMPLIMIENTO: tener que hacer las cosas de conformidad con las leyes y regulaciones
aplicables a una entidad.
DEFICIENCIA: Un defecto del control interno percibido, potencial o real, o una oportunidad
de fortalecer el sistema de control interno para proporcionar una mayor probabilidad de que los
objetivos de la entidad son conseguidos.
DESBORDAMIENTO DE LA ADMINISTRACIÓN: Cuando la administración pasa por
encima de las políticas y los procedimientos prescritos para propósitos ilegítimos con la
intención de ganar o engrandecer la presentación personal de la condición financiera de una
entidad o del estado de cumplimiento
DISEÑO: Intento. Como se emplea en la definición de control interno, el diseño del sistema de
control interno es intentado ( establecido) para proporcionar una seguridad razonable de la
consecución de los objetivos; cuando el intento es realizado, el sistema puede juzgarse efectivo.
DOCUMENTACIÓN: Documentación es el material (papeles de trabajo ) preparado por y
para, u obtenido o retenido por el auditor en conexión con el desempeño de la auditoria..
EFECTUADO: Usado con un sistema de control interno ideado y mantenido
ENTIDAD: Una organización de cualquier tamaño establecido con un propósito particular.
ENTORNO INTERNO : la esencia de cualquier negocio es su gente, sus atributos individuales,
incluyendo la integridad, los valores éticos y la competencia y el ambiente en que ella opera.
Auditoria I Enfoque del Control Interno (COSO)
61
ESTADOS FINANCIEROS PUBLICADOS: Estados financieros, estados financieros
intermedios y condensados así como los datos seleccionados derivados de tales estados tales
como utilidades realizadas, informado públicamente.
ESTIMACIÓN CONTABLE: Una estimación contable es una aproximación del monto de una
partida en ausencia de un medio preciso de cuantificación.
INFORMACIÓN Y COMUNICACIÓN: Los sistemas de información y comunicación se
interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información
necesaria para conducir, administrar y controlar sus operaciones.
INFORMACIÓN FINANCIERA Empleada con objetivos y controles: Tiene que ver la
confiabilidad de los estados financieros publicados
INTEGRIDAD: La calidad o estado de ser de principios morales sólidos; rectitud, honestidad y
sinceridad; el deseo de hacer las cosas correctas, profesar y vivir de acuerdo con un conjunto
de valores y expectativas.
INTERVENCIÓN DE LA ADMINISTRACIÓN: Acciones de la administración para dirigir las
políticas o los procedimiento prescritos en función propósito legítimos; la intervención de la
administración usualmente es necesaria para tratar con transacciones no recurrentes y no
estándares o eventos que de otra manera pueden manejarse inapropiadamente por el sistema.
LIMITACIONES INHERENTES: Aquellas restricciones de todos los sistemas de control
interno. Las restricciones se relacionan con los límites del juicio humano; la escasez de
recursos y la necesidad de considerar el costo de los controles en relación con los beneficios
esperados; la realidad de que puedan ocurrir fallas; y la posibilidad de que la administración
sobrepase los controles y se oponga a ellos.
MONITOREO: Debe monitorearse el proceso total y considerarse como necesario para hacer
modificaciones. De esta manera el sistema puede reaccionar dinámicamente, cambiando a
medida que las condiciones lo justifiquen.
Auditoria I Enfoque del Control Interno (COSO)
62
OPERACIONES: Usada con objetivos o controles: Tiene que ver con la efectividad y la
eficiencia de las operaciones de una entidad, incluyendo los objetivos de desempeño y
rentabilidad, y la salvaguarda de recursos.
POLÍTICA: Mandato de la administración respecto de qué debe hacerse para efectuar el
control. Una política sirve como base para procede a su implementación.
VALORES ÉTICOS: Los valores morales que le permiten a quien toma decisiones determinar
un curso de comportamiento apropiado ; esos valores deben basarse en lo que es correcto, lo
cual puede ir mas allá de lo que es legal.
VALORACIÓN DE RIESGO: La entidad debe ser consiente de los riesgos y enfrentarlos, debe
señalar objetivos, integrados con ventas, producción, mercadeo , finanzas y otras actividades, de
manera que opere concertadamente. También debe establecer mecanismos para identificar,
analizar y administrar los riesgos relacionados.
Auditoria I Enfoque del Control Interno (COSO)
63
Auditoria I Enfoque del Control Interno (COSO)
64
ANEXO 1
CORTE DE CUENTAS DE LA REPUBLICA
Organismo Rector del Sistema de Control Y Auditoria de la Gestión Pública
NORMAS TECNICAS DE CONTROL INTERNO
CAPITULO PRELIMINAR
Publicadas en Diario Oficial No.180,
Tomo No. 364, 29 de septiembre de 2004.
DECRETO No. 4
EL PRESIDENTE DE LA CORTE DE CUENTAS DE LA REPÚBLICA,
CONSIDERANDO:
I. Que el proceso de modernización del Estado ha introducido cambios en los sistemas financieros, operativos, administrativos y de información; por lo que se hace necesario
emitir nuevas Normas Técnicas de Control Interno, para establecer pautas generales que orienten el accionar de las entidades del sector público, en un adecuado sistema de control interno y probidad administrativa, para el logro de la eficiencia, efectividad, economía y
transparencia en la gestión que desarrollan. II. Que el informe presentado por la Comisión Treadway, conocido como informe COSO,
proporciona una nueva conceptualización del Control Interno, por lo tanto las actuales Normas de
Técnicas de Control Interno emitidas por la Corte de Cuentas de la República, requieren de una
adecuación, de conformidad al informe COSO.
POR TANTO:
En uso de las facultades conferidas por el Artículo 195, numeral 6 de la Constitución de la
República de El Salvador y Artículos 5, numeral 2 y 24 numeral 1 de la Ley de la Corte de
Cuentas de la República, DECRETA EL SIGUIENTE REGLAMENTO, que contienen las:
NORMAS TECNICAS DE CONTROL INTERNO
CAPITULO PRELIMINAR
Ámbito de aplicación
Art. 1.- Las normas técnicas de control interno constituyen el marco básico que establece la Corte
de Cuentas de la República, aplicable con carácter obligatorio, a los órganos, instituciones,
entidades, sociedades y empresas del sector público y sus servidores. (de ahora en adelante
“Instituciones del Sector Público”)
Auditoria I Enfoque del Control Interno (COSO)
65
Comentario
Los artículos 24, numeral 1 y 110 de la Ley de la Corte de Cuentas de la República, establecen el
ámbito de aplicación.
Definición del Sistema de Control Interno
Art. 2.- Se entiende por sistema de control interno el conjunto de procesos continuos e
interrelacionados realizados por la máxima autoridad, funcionarios y empleados, diseñados para
proporcionar seguridad razonable en la consecución de sus objetivos.
Comentario
El sistema de control interno comprende planes, métodos, procedimientos y actividades
establecidos en la Institución, para alcanzar los objetivos institucionales. Existen dos criterios
para clasificar el control interno, así:
a. De acuerdo a la finalidad, se clasifica en administrativo y financiero,
b. Desde el punto de vista de la oportunidad o momento de ser aplicado, se clasifica en previo,
concurrente y posterior
Las clases de control antes mencionadas están inmersas en los diversos componentes del sistema.
Objetivos del Sistema de Control Interno
Art. 3.- El sistema de control interno tiene como finalidad coadyuvar con la Institución en el
cumplimiento de los siguientes objetivos:
a. Lograr eficiencia, efectividad y eficacia de las operaciones,
b. Obtener confiabilidad y oportunidad de la información, y
c. Cumplir con leyes, reglamentos, disposiciones administrativas y otras regulaciones aplicables.
Comentario
El sistema de control interno proporciona una seguridad razonable de que se alcancen los
objetivos institucionales, según las siguientes categorías de objetivos de control interno;
a. Eficiencia, efectividad y eficacia en la ejecución de sus operaciones, lo que incluye el uso
apropiado de todos los recursos institucionales,
b. confiabilidad y oportunidad de la información financiera, presupuestaria y cualesquiera otros
reportes para uso interno y externo, y
c. cumplimiento del ordenamiento jurídico y técnico aplicable, sean leyes, decretos, reglamentos,
etc., todo de acuerdo con la escala jerárquica de las fuentes del ordenamiento.
Auditoria I Enfoque del Control Interno (COSO)
66
Como una derivación del cumplimiento de estos objetivos, se obtiene protección para los activos,
al proporcionar una seguridad razonable en la prevención o rápida detección de adquisiciones,
usos o disposiciones no autorizadas de los activos institucionales, coadyuvando con la
transparencia y economía de la gestión, a que se refiere la Ley de la Corte de Cuentas.
Componentes Orgánicos del Sistema de Control Interno
Art. 4.- Los componentes orgánicos del sistema de control interno son: ambiente de control;
valoración de riesgos; actividades de control; información y comunicación; y monitoreo.
Comentario
Los procesos que desarrollan y llevan a cabo las personas, según el Informe COSO, se han
ordenado en los cinco siguientes componentes:
a. Ambiente de Control: establece el fundamento de la institución, para influir la práctica del
control en sus servidores. Es la base de los otros componentes del control interno,
proporcionando los elementos necesarios para permitir el desarrollo de una actitud positiva y de
apoyo para el control interno y para una gestión escrupulosa.
Los factores del ambiente de control incluyen: la integridad y los valores éticos, la competencia
del personal, la filosofía y el estilo de administración, la estructura organizacional, la asignación
de autoridad y responsabilidad, las políticas y prácticas de gestión de recursos humanos y la
unidad de auditoría interna.
b. Valoración de Riesgos. Cada entidad enfrenta una variedad de factores de riesgo derivados de
fuentes externas e internas, que deben ser considerados para alcanzar los objetivos
institucionales. Por eso, una condición previa para la valoración de riesgos es el establecimiento
de objetivos, enlazados en niveles diferentes y consistentes internamente. La valoración de
riesgos es la identificación y análisis de los riesgos relevantes para el logro de los objetivos,
formando una base para la determinación de cómo deben administrarse los riesgos.
c. Actividades de Control. Son las políticas y procedimientos que permiten obtener una
seguridad razonable del cumplimiento de las directrices administrativas.
Tales actividades ayudan a asegurar que se están tomando las acciones necesarias para enfrentar
los factores de riesgo implicados en el logro de los objetivos de la entidad. Estas se dan en todos
los niveles de la organización; incluyen un rango de actividades tan diversas como aprobaciones
y autorizaciones, conciliaciones, seguridad de activos, rotación del personal, rendición de fianzas
y segregación de funciones.
Auditoria I Enfoque del Control Interno (COSO)
67
d. Información y Comunicación. Deben establecerse los procesos para que la administración
activa pueda identificar, registrar y comunicar información, relacionada con actividades y eventos
internos y externos relevantes para la organización.
e. Monitoreo. El sistema de control interno tiene que someterse a un proceso continuo de
monitoreo, bajo la responsabilidad de la máxima autoridad y niveles gerenciales de cada entidad.
Son actividades que se realizan para valorar la calidad del funcionamiento del sistema de control
interno en el tiempo y asegurar razonablemente que los resultados de las auditorías y de otras
revisiones, se atiendan con prontitud.
Responsables del Sistema de Control Interno
Art. 5.- La responsabilidad por el diseño, implantación, evaluación y perfeccionamiento del
sistema de control interno corresponde a la máxima autoridad de cada Institución del sector
público y a los niveles gerenciales y demás jefaturas en el área de su competencia institucional.
Corresponde a los demás empleados realizar las acciones necesarias para garantizar su efectivo
cumplimiento.
Comentario
La máxima autoridad tiene la mayor responsabilidad por el sistema de control interno de toda la
Institución, por lo que se dice que debe asumir la “propiedad” del sistema de control interno.
Cada uno de los demás niveles gerenciales y de jefatura delimitan su responsabilidad por el
sistema de control interno de su competencia. El resto de los empleados deben cumplir de la
mejor manera posible, con las responsabilidades que se les hayan asignado.
Seguridad razonable
Art. 6.- El sistema de control interno proporciona una seguridad razonable para el cumplimiento
de los objetivos institucionales.
Comentario
El sistema de control interno se desarrolla con la ejecución de una serie de acciones y actividades
que ocurren como parte de las operaciones de las instituciones y que son llevadas a cabo por
personas, mismas que pueden cometer errores de juicio, equivocaciones y participar en actos de
colusión. Por ello es que se señala que el sistema de control interno solo proporciona una
seguridad razonable, no absoluta, de que los objetivos institucionales se vayan a cumplir. Ello
también tiene que ver, con la relación costo-beneficio de las actividades de control que se
implementen.
Auditoria I Enfoque del Control Interno (COSO)
68
CAPITULO I
NORMAS RELATIVAS AL AMBIENTE DE CONTROL
Integridad y Valores Éticos
Art. 7.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben mantener y
demostrar integridad y valores éticos en el cumplimiento de sus deberes y obligaciones así como
contribuir con su liderazgo y acciones a promoverlos en la organización, para su cumplimiento
por parte de los demás servidores.
Comentario
Estamos hablando en este enunciado de los códigos de ética, que deben existir. En todas las
Instituciones, que identifiquen claramente para todos los funcionarios las conductas deseadas y
no deseadas por la Institución. Pero también debe señalarse la necesidad de llevar a cabo
actividades periódicas que no solo refuercen en los funcionarios las conductas éticas sino que les
ayuden a una mejor interiorización de esos valores institucionales. También estamos hablando
aquí de “predicar con el ejemplo”, o como también se dice “dar el tono”. Tampoco se debe
olvidar el enunciado de esta norma, que es parte de una cultura organizacional que se debe ir
desarrollando, de su aplicación cuando estemos en el proceso de selección de nuestro personal.
Compromiso con la Competencia
Art. 8.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben realizar las
acciones que conduzcan a que todo el personal posea y mantenga el nivel de aptitud e idoneidad
que les permita llevar a cabo los deberes asignados y entender la importancia de establecer y
llevar a la práctica adecuados controles internos.
Comentario
Cada Institución debe identificar el conocimiento y las habilidades que son necesarias para todas
y cada una las funciones que se deben llevar a cabo para el mejor cumplimiento de su
competencia. Ello es esencial para, no solo contratar el personal que posea el nivel de preparación
y experiencia que se ajuste a los requisitos del puesto, sino también para proporcionar la
capacitación y adiestramiento necesarios.
Auditoria I Enfoque del Control Interno (COSO)
69
CAPITULO II
NORMAS RELATIVAS A LA VALORACIÓN DE RIESGOS
Definición de Objetivos Institucionales
Art. 14.- Se deberán definir los objetivos y metas institucionales, considerando la visión y misión
de la Organización y revisar periódicamente su cumplimiento.
Comentario
La definición de objetivos y metas es una condición previa para la valoración de riesgos y es una
parte clave del proceso administrativo. Por eso debe reconocerse que no es un componente de
control interno, pero sí es un prerrequisito esencial para hacer posible y que tenga razón de ser el
control interno.
De la estrategia institucional deben definirse objetivos y metas más específicos, que deben estar
enlazados e integrados, por cuanto todos y cada uno de los objetivos y metas de las unidades,
procesos y equipos de trabajo deben contribuir de manera significativa a alcanzar los objetivos
macro-institucionales.
Tan importante como la definición de objetivos y metas, es el proceso de revisar periódicamente
su cumplimiento, mediante informes de evaluación, que deben llevar como fin último poder hacer
las correcciones que sean pertinentes, en el momento adecuado, para alcanzar nuestros objetivos
y metas. Realmente el proceso de planificación solo es importante cuando se encuentra con su
hermano siamés, que no es otro que el proceso de control. Debe recordarse la importancia de
establecer mecanismos, criterios o indicadores de desempeño, que serán clave para dar
seguimiento al avance del cumplimiento de los objetivos y metas.
Identificación de Riesgos
Art. 16.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben identificar los
factores de riesgos relevantes, internos y externos, asociados al logro de los objetivos
institucionales.
Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004.
Comentario
El primer paso para iniciar el proceso de valoración de riesgos consiste en identificar los factores
de riesgos, es decir aquellos eventos relevantes de origen interno y externo, que de llegar a
producirse, pueden impedir u obstaculizar el logro de los objetivos de la organización. Los
métodos para identificar los factores de riesgo pueden ser de los más sofisticados, por ejemplo el
uso de software especializado, hasta los más sencillos, por ejemplo talleres, análisis FODA, etc.
Auditoria I Enfoque del Control Interno (COSO)
70
CAPITULO III
NORMAS RELATIVAS A LAS ACTIVIDADES DE CONTROL
Documentación, Actualización y Divulgación de Políticas y Procedimientos.
Art. 19.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben documentar,
mantener actualizados y divulgar internamente, las políticas y procedimientos de control que
garanticen razonablemente el cumplimiento del sistema de control interno.
Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004.
Comentario
Las autoridades superiores son las responsables de emitir las políticas y los procedimientos de
control, que el resto de los funcionarios deben cumplir como parte de sus obligaciones. Pero no
solo las deben emitir, sino que para que realmente cumplan con sus objetivos, deben velar porque
se mantengan
actualizados, principalmente considerando que los avances tecnológicos cada vez son más
rápidos.
También es su responsabilidad que todos los funcionarios, pero principalmente los que deban
aplicar los procedimientos, los conozcan y puedan por ende aplicarlos, para lo cual deben definir
los procesos de divulgación más efectivos.
Actividades de Control
Art. 20.- Las actividades de control interno deben establecerse de manera integrada a cada
proceso institucional.
Comentario
Una característica del sistema de control interno según el enfoque COSO, es que las actividades
de control que se establezcan para reforzar el cumplimiento de las directivas de la administración
y lograr una gestión eficaz y eficiente de los riesgos, deben ser ejecutadas como parte de las
operaciones de todos y
cada uno de los procesos, sean estos centrales y de soporte.
La Ley de la Corte de Cuentas de la República señala como un deber de la máxima autoridad o el
titular de cada Institución, en el artículo 99, inciso 1) “Asegurar la implantación, funcionamiento
y actualización de los sistemas administrativos, cuidando de incorporar en ellos el control
interno”.
Auditoria I Enfoque del Control Interno (COSO)
71
Definición de Políticas y Procedimientos de Autorización y Aprobación
Art. 21.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben establecer por
medio de documento, las políticas y procedimientos que definan claramente la autoridad y la
responsabilidad de los funcionarios encargados de autorizar y aprobar las operaciones de la
Institución.
Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004. 20
Comentario
La autorización y la aprobación son la forma idónea de asegurar que sólo se realicen actos y
transacciones que cuentan con el aval del funcionario ompetente. Este aval debe ser acorde a la
misión, estrategia, planes, presupuestos y normativa legal aplicable.
La autorización y la aprobación será documentadas y comunicadas explícitamente a los
funcionarios responsabilizados. Estos tendrán que ejecutar las tareas que se les han asignado, de
acuerdo con las directrices, y dentro del ámbito de competencia establecido por la normativa.
Dentro de esta norma se incluyen aquellas autorizaciones y aprobaciones que se relacionan con
todos los procesos institucionales, sean centrales o de soporte, separando y distribuyendo entre
los diferentes cargos, aquellas funciones que, si se concentraran en una misma persona, pueden
comprometer el equilibrio
y eficacia del control interno. Igualmente, las diversas fases que integran un proceso, transacción
u operación, se distribuirán, entre los diversos funcionarios y unidades de la entidad, de tal
manera que el control total de su desarrollo esté debidamente separado.
Definición de Políticas y Procedimientos sobre Activos
Art. 22.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben establecer por
medio de documento, las políticas y procedimientos para proteger y conservar los activos
institucionales, principalmente los más vulnerables.
Comentario
Todos los activos institucionales deben ser asignados formalmente a un responsable de su
custodia, a quien se le informará sobre su responsabilidad respecto de los activos asignados.
Además se contará con adecuadas medidas de salvaguarda, a través de seguros, almacenaje,
sistemas de alarma, autorizaciones para acceso, según corresponda.
Auditoria I Enfoque del Control Interno (COSO)
72
Los bienes, deben estar debidamente registrados y por lo menos una vez al año, se cotejarán las
existencias físicas con los controles correspondientes para verificar su veracidad. La frecuencia
de la comparación, dependerá de la naturaleza de los bienes.
De igual manera deberán llevarse a cabo arqueos independientes sobre fondos y valores, para
garantizar su integridad.
Definición de Políticas y Procedimientos sobre Diseño y Uso de Documentos y Registros.
Art. 23.- La máxima autoridad, los demás niveles gerenciales y de jefatura deben establecer por
medio de documento, las políticas y procedimientos sobre el diseño y uso de documentos y
registros que coadyuven en la anotación adecuada de las transacciones y hechos significativos
que se realicen en la Institución. Los documentos y registros deben ser apropiadamente
administrados y mantenidos.
Comentario
Los documentos y registros deben diseñados y utilizados siguiendo los procedimientos
establecidos en la Institución con el fin de que sean útiles para los fines de la organización y en
especial al control interno. Es importante, en el caso de los formularios de uso general, que sean
uniformes y prenumerados.
Para que se considere útil y adecuada, la documentación, en general, debe reunir los siguientes
requisitos:
a. Tener un propósito claro.
b. Ser apropiada para alcanzar los objetivos institucionales.
c. Ser útil a los funcionarios para controlar las operaciones.
d. Servir a los fiscalizadores u otras personas para analizar las operaciones.
e. Estar disponible y accesible para que el personal autorizado y los auditores la verifiquen
cuando corresponda.
Los documentos y registros deben ser adecuadamente administrados, tanto de previo a su
utilización así como una vez hayan sido utilizados. Asimismo, las transacciones y actividades que
afectan la toma de decisiones y
acciones sobre los procesos y operaciones de la Institución, deben ser registradas oportunamente
y clasificadas de manera tal que sean utilizables.
Auditoria I Enfoque del Control Interno (COSO)
73
Definición de Políticas y Procedimientos de los Controles Generales de los Sistemas de
Información.
Art. 27.- La máxima autoridad, los niveles gerenciales y de jefatura deben establecer por medio
de documento, las políticas y procedimientos sobre los controles generales, comunes a todos los
sistemas de información
Comentario
Los controles generales se aplica a todo sistema de información, ya sea en ambientes de
mainframes, minicomputadores, redes y usuario final. Incluye para toda la Institución, normas y
procedimientos que deben definir claramente la planeación, administración y control sobre:
a. Las operaciones del centro de datos, como por ejemplo: backups y recuperación, planes de
contingencia y desastre, y procesos de inicio y horarios sobre actividades del operador;
b. La adquisición, implementación y mantenimiento del software del sistema, a saber : el
sistema operativo, los sistemas de administración de base de datos, el software de redes, el de
seguridad y el utilitario;
c. La seguridad de acceso, esto es el cambio frecuente de claves de acceso (contraseñas,
passwords ), restricciones a usuarios para el acceso o aplicaciones o sistemas, ”cortinas de
fuego” para restringir el acceso a computadoras, redes y sistemas a personas externas y
desactivación de las passwords y las identificaciones de usuario (user ids), cuando los
funcionarios se desvinculan de la organización; y
d. el desarrollo y mantenimiento de aplicaciones, sean existentes o nuevos, como por ejemplo:
fases específicas para el diseño e implementación del sistema, los requerimientos de
documentación, la autorización para nuevos sistemas y para cambios a sistemas, la revisión
de cambios, las pruebas de resultados y los protocolos de implementación.
Proceso de Identificación, Registro y Recuperación de la Información
Art. 30.- Las Instituciones deben diseñar los procesos que le permitan identificar, registrar y
recuperar la información, de eventos internos y externos, que requieran.
Comentario
La información es esencial para cualquier organización en el cumplimiento de sus objetivos. Por
eso es que le corresponde a la administración diseñar y operar aquellos procesos que le permitan
obtener la información que sea necesaria para satisfacer las demandas de sus usuarios internos y
externos.
Auditoria I Enfoque del Control Interno (COSO)
74
Debe recordarse que la información que requiere puede provenir de eventos internos y externos,
así como que cuando se habla de sistemas de información, nos referimos a cualquier sistema de
información y no solamente a los computadorizados.
Características de la Información
Art. 31.- Cada Institución deberá asegurar que la información que procesa es confiable, oportuna,
suficiente y pertinente.
Comentario
La información que se procesa en la Institución, debe considerar al menos los cuatro siguientes
atributos, para que sea de calidad:
a. confiable: con el cumplimiento de esta característica, es que el usuario acepta y utiliza la
información para la toma de decisiones,
b. oportuna: significa esta característica, que la información debe llegar a manos del usuario en
el tiempo adecuado para tomar sus decisiones,
c. suficiente: esto tiene que ver con la cantidad de información que debe recibir, procurando
que se disponga solo de la que sea necesaria para tomar sus decisiones, poniendo especial
atención a las copias, que en muchos casos son excesivas,
d. pertinente: este atributo señala que la información que se entrega al usuario, debe ser solo la
que viene a propósito y nada más, es decir solo aquella que es importante, significativa para
el cumplimiento de sus competencias.
Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004. 28
CAPITULO V
NORMAS RELATIVAS AL MONITOREO
Monitoreo sobre la Marcha
Art. 34.- La máxima autoridad, los niveles gerenciales y de jefatura deben vigilar que los
funcionarios realicen las actividades de control durante la ejecución de las operaciones de manera
integrada.
Comentario
Este es lo que se conoce como el monitoreo interno según la filosofía “ongoing”, es decir en
tiempo real. Si una de las características del sistema de control COSO es que las actividades de
control deben estar integradas a las operaciones, el objetivo de esta norma es que las jefaturas
Auditoria I Enfoque del Control Interno (COSO)
75
lleven a cabo algunas actividades, como por ejemplo comparaciones, conciliaciones, supervisión
y otras acciones que le permitan comprobar que se están
cumpliendo las tareas.
Debe recordarse que a mayor grado de efectividad del monitoreo “ongoing” menores
evaluaciones separadas se necesitarán.
Monitoreo mediante Autoevaluación del Sistema de Control Interno
Art. 35.- Los niveles gerenciales y de jefatura responsables de una unidad o proceso, deben
determinar la efectividad del sistema de control interno propio, al menos una vez al año.
Comentario
Con esta norma se establece la obligación de las personas responsables de una unidad, proceso o
función, de dirigir una evaluación de cada uno de los componentes de su sistema de control
interno, respecto de las actividades significativas.
Debe recordarse que el sistema de control interno debe cambiar con el tiempo, normalmente por
cuanto los procedimientos se tornan menos efectivos, con lo que llega a ser menos capaz de
anticiparse a los riesgos que se originan por las nuevas situaciones.
La frecuencia de las auto evaluaciones que proporcione a la administración una seguridad
razonable en relación con al efectividad de su sistema de control interno, es un asunto de juicio,
tomando en cuenta algunos factores como por ejemplo los resultados del monitoreo “ongoing”;
sin embargo se reconoce que al menos una vez al año es un plazo razonable.
Para llevar a cabo las autoevaluaciones existe variedad de metodologías y herramientas, tales
como cuestionarios y los diagramas de flujo.
Evaluaciones Separadas
Art. 36.- La unidad de auditoria interna, la Corte de Cuentas, las Firmas Privadas de Auditoria y
demás instituciones de control y fiscalización, evaluarán periódicamente la efectividad del
sistema de control interno institucional.
Decreto N° 4, publicadas en Diario Oficial No.180, Tomo No. 364, 29 de septiembre de 2004. 31
Comentario
Además del monitoreo “ongoing” y de las autoevaluaciones, un tercer factor que contribuye a
valorar la calidad del desempeño del sistema de control interno en el tiempo, son las evaluaciones
que pueden realizar la unidad de auditoria interna, la Corte de Cuentas, las Firmas Privadas de
Auditoria I Enfoque del Control Interno (COSO)
76
Auditoria y demás instituciones de control y fiscalización, sea porque es parte de sus obligaciones
o bien cuando requieren llevar a cabo algún estudio especial.
Comunicación de los Resultados del Monitoreo
Art. 37.- Los resultados de las actividades de monitoreo del sistema de control interno, deben ser
comunicados a la máxima autoridad y a los niveles gerenciales y de jefatura, según corresponda.
Comentario
Cualquiera que sea el tipo de monitoreo que se realice, su real importancia solo puede valorarse
cuando las deficiencias del sistema de control interno son reportados a quien corresponde, para
que sean atendidas con la prontitud que el caso amerite.
La comunicación debe darse siempre “hacia arriba”, considerando el tipo de deficiencia o
irregularidad que se haya encontrado, así como las posibilidades reales que tiene el funcionario,
para poder implementar las acciones correctivas.
El proceso de monitoreo concluye cuando se corrigen las deficiencias reportadas o en su defecto,
cuando se demuestra que los hallazgos y recomendaciones, no ameritan ninguna acción.