Sistema de Control Interno Final

UNIVERSIDAD NACIONAL DE TRUJILLO
AUDITORIA I
SISTEMA DE CONTROL INTERNO, BAJO METODOLOGA

COSO
MARCO INTEGRADO COSO DE GESTION DE RIESGOS
LOS INFORMES COSO I Y II
ANTECEDENTES:
1947 - Declaracin tentativa de las Normas de Auditora, su alcance y
su aceptacin general.
1948 - Comisin para estudiar el Control Interno como doctrina
importante.
1985- Se Crea la Comisin Treadway.
1992 - Se constituye como un fenmeno mundial de gran aceptacin
en los sectores de negocios.
DEFINICION:
COSO - (Committee of Sponsoring Organizations of the Treadway
Commission)
Es una Comisin voluntaria, que fue constituida por representantes de cinco
organizaciones del sector privado en EEUU (1985), que son:
AAA - La Asociacin Americana de Contabilidad.
AICPA - El Instituto Americano de Contadores Pblicos Certificados.
FEI - Ejecutivos de Finanzas Internacional.
IIA - El Instituto de Auditores Internos.
ANI - La Asociacin Nacional de Contadores (ahora el Instituto de
Contadores Administrativos )
Con la finalidad de proporcionar liderazgo intelectual frente a tres temas
interrelacionados:
a) La gestin del riesgo empresarial (ERM)
b) El control interno, y
c) La disuasin del fraude
COSO estudia los factores que pueden dar lugar a informacin financiera
fraudulenta y elabora textos y recomendaciones para todo tipo de
organizaciones y entidades reguladoras como el SEC (Agencia Federal de
Supervisin de Mercados Financieros) y otros.
INFORME COSO I - CONTROL INTERNO

ANTECEDENTES:
En 1992 la comisin public el primer informe "Infernal Control - Integrated
Framework" denominado COSO I, con el objeto de ayudar a las entidades a
evaluar y mejorar sus sistemas de control interno, facilitando un modelo en
base al cual pudieran valorar sus sistemas de control interno y generando
una definicin comn de "control interno".
1
AUDITORIA I
DEFINICION:
Es un documento que contiene las principales directivas para la
implantacin, gestin y control de un sistema de Control Interno. Es una
Herramienta que permite identificar qu mbitos de la empresa implican
factores de riesgo relevantes sobre lo que es conveniente priorizar la
actividad de control.
Control Interno es un proceso llevado a cabo por la direccin y el resto del
personal de una entidad diseado para proporcionar un grado de seguridad
razonable en cuanto a la consecucin de tres principales categoras:
Eficacia y eficiencia de las operaciones
Confiabilidad de la informacin financiera
Cumplimiento de las leyes, reglamentos y normas que sean
aplicables.
OBJETIVOS:
El modelo COSO surge para el cumplimiento de los siguientes objetivos:
Implementar una definicin comn del control interno dentro de un
modelo que sirva como Marco de referencia, es decir para que sea de
conocimiento general y para satisfacer las necesidades de cada
persona involucrada.
Proporcionar un modelo o marco para que cualquier tipo de
organizacin pueda evaluar sus sistemas de control y decidir cmo
mejorarlos.
Ayudar a la direccin de las empresas a mejorar el control de sus
organizaciones.
DIVISION:
El Informe COSO est dividido en 2 partes:
Un Resumen para la Direccin, que introduce los principales
conceptos.
El Marco integrado de Referencia, donde se analizan en detalle los
componentes del COSO.
Componentes de coso
Son 5 los componentes establecidos:
1. Ambiente de control
2. Evaluacin de riesgo
3. Actividades de control
4. Informacin y comunicacin
5. Monitoreo
2
AUDITORIA I
AMBIENTE DE CONTROL
El ambiente de control da el tono de una organizacin, influenciando la
conciencia de control de sus empleados. Es el fundamento de todos los
dems componentes del control interno, proporcionando disciplina y
estructura. Los factores del ambiente de control incluyen la integridad, los
valores ticos y la competencia de la gente de la entidad; la filosofa y el
estilo de operacin de la administracin, la manera como la administracin
asigna autoridad y responsabiliza, y como organiza y desarrolla a su gente;
y la atencin y direccin proporcionada por el consejo de directores.
Factores Del Ambiente De Control
Los principales factores del ambiente de control suelen definirse de esta
manera:
a) Integridad y Valores ticos
Los objetivos de una entidad y la manera como se logren, estn basados en
preferencias, juicios de valor y estilos administrativos. Tales preferencias y
juicios reflejan la integridad de los administradores y su compromiso con los
valores ticos.
Puesto que la buena reputacin de una entidad se valora as, el estndar de
conducta debe ir ms all del solo cumplimiento de la ley. Para la buena
reputacin de las mejores compaas, la sociedad espera ms que eso.
La efectividad de los controles internos no puede elevarse por encima de la
integridad y los valores ticos son elementos esenciales del ambiente de
control, y afectan el diseo, la administracin y el monitoreo de los otros
componentes del control interno.
Los valores de la alta gerencia deben equilibrar lo que concierne a la
empresa, a sus, proveedores, clientes, competidores y pblico. El equilibrio
de ello puede constituir un esfuerzo complejo y frustrante porque los
intereses a menudo son opuestos. Por ejemplo, suministrar un producto
esencial (petrleo, madera o alimento) puede originar algunos problemas
ambientales.
La conducta tica y la conducta administrativa son producto de la cultura
corporativa. La cultura corporativa incluye estndares ticos y de
comportamiento, la manera como ellos son comunicados y como se
esfuerzan en la prctica. Asimismo, determina lo que actualmente sucede, y
cuales reglas se obedecen, se propenden o ignoran.
b) Incentivos y tentaciones
Hace algunos aos un estudio sugiri que ciertos factores organizacionales
pueden influenciar la probabilidad de prcticas de informacin financiera
3
AUDITORIA I
fraudulentas y cuestionables. Esos mismos factores tambin influyen en la

conducta tica.
Los individuos pueden involucrarse en actos deshonestos, ilegales o
antitticos simplemente porque sus organizaciones les ofr4ecen fuertes
incentivos o tentaciones para hacerlo.
Los incentivos que permiten involucrarse en prcticas de informacin
financiera fraudulenta o cuestionable son:
Presiones para cumplir objetivos de desempeo irreales,
particularmente resultados de corto plazo.
Altas recompensas dependientes del desempeo, y
Cortes de operaciones superiores y bajos en los planes de bonos.
Entre las tentaciones a los empleados para involucrarse en actos impropios

se encuentran:
Controles no existentes o inefectivos, tales como malas
segregaciones de funciones en reas sensibles, que ofrecen facilidad
para robos o para encubrir malos desempeos.
Alta descentralizacin que abandona la buena administracin,
ignorante de acciones tomadas en los niveles bajos de la organizacin
y por consiguiente reduce las oportunidades de conseguir resultados.
Una funcin de auditora interna dbil que no tiene la capacidad de
detectar e informar conductas impropias.
Un consejo de directores inefectivo que no proporciona advertencias
a la negligencia de la alta administracin.
Sanciones insignificantes o no publicadas a conductas impropias,
para de esta manera perder sus valores y desinhibirlos.
Eliminar o reducir esas iniciativas y tentaciones puede significar un largo
camino hacia la disminucin de conductas indeseables. Esto puede
adquirirse siguiendo prcticas de negocios slidas y rentables. Por ejemplo,
los incentivos de desempeo, acompaados de controles adecuados, puede
ser una til tcnica administrativa siempre que los objetivos de desempeo
sean realistas. De manera similar, un sistema de informacin bien
controlado puede servir como salvaguardia contra la posibilidad de
desempeo incorrecto.
c) Proporcionando y comunicando orientacin moral
Adems de los incentivos y tentaciones mencionados, existe otra causa de
las prcticas de informacin financiera fraudulenta y cuestionable. El
estudio antes mencionado encontr que en muchas de las compaas que
sufrieron efectos de informacin financiera con poder de engaar, la gente
involucrada ni siquiera conoca que lo que estaba haciendo era equivocado,
sino que consideraban que estaban actuando a favor del mejor inters de la
organizacin.
Esta ignorancia, es a menudo, ocasionada por una orientacin moral pobre,
mucho ms que por una intencin a engaar. De esta manera, no solamente
se deben comunicarlos valores ticos, sino que se debe dar orientacin
explicita sealando qu es correcto y qu est equivocado.
4
AUDITORIA I
La manera ms efectiva de transmitir un mensaje de comportamiento tico

en la organizacin es el ejemplo. La gente imita a sus lderes. A los
empleados les gusta desarrollar las mismas actitudes acerca de lo que es
correcto y equivocado como se acta en la alta administracin.
d) Compromisos para la competencia
La competencia debe reflejar el conocimiento y las habilidades necesarios
para realizar las tareas que definen los trabajos individuales. Qu tan bien
se requiere que se cumplan esas tareas es generalmente una decisin de la
administracin, quien considerar los objetivos de la entidad, las estrategias
y planes para la consecucin de los objetivos.
La administracin necesita especificar los niveles de competencia para los
trabajos particulares y convertirlos en requisitos de conocimiento y
habilidades. Entre los muchos factores considerados en el desarrollo de
niveles de conocimiento y habilidades estn la naturaleza y grado de juicio
que se debe aplicar a un trabajo especfico.
e) Consejo de directores o comit de auditoria

El ambiente control y se ve influenciado significativamente por el consejo de
directores y por el comit de auditora de la entidad. Tales factores incluyen
la independencia frente a los administradores por parte del consejo o del
comit de auditora, la experiencia y la posicin social de sus miembros, la
extensin de su participacin y del escrutinio de las actividades, y lo
apropiado que puedan ser sus acciones.
Otro factor es el grado de dificultad de las preguntas emanadas y
perseguidas por la administracin mirando los planes de desempeo. La
interaccin del consejo o comit de auditora con los auditores internos y
externos es otro factor que afecta el ambiente de control.
Debido a su importancia, un consejo de directores u otro cuerpo similar,
activo e involucrado, es fundamental para un control interno efectivo, y,
dado que el consejo debe estar preparado para indagar y escrutar las
actividades de los administradores, presentar los puntos de vista
alternativos y tener el valor de actuar frente a acciones inconvenientes, es
necesario que tenga directores externos.
Si bien las compaas pequeas as como las medianas, pueden encontrar
dificultades para atraer o incurrir en los c0ostos de tener una mayora de
directores externos, que no es el caso usual en las grandes organizaciones,
es importante que el consejo tenga al menos un grupo aceptable de
directores externos. El nmero debe considerar las circunstancias de la
entidad, pero normalmente se necesitar ms de un director externo para
que un consejo tenga el balance requerido.
f) Filosofa y estilo de operacin de la administracin
La filosofa y estilo de operacin de la administracin afecta la manera como
la empresa es manejada, incluyendo el conjunto de riesgos normales de los
negocios.
5
AUDITORIA I
Una entidad que ha tenido xito asumiendo riesgos significativos puede

tener una percepcin diferente sobre el control interno que otra que ha
tenido austeridad econmica o consecuencias reguladoras como resultado
de sus w incursiones en negocios de alto riesgo.
Otros elementos de la filosofa y el estilo de operacin de los
administradores incluyen actitudes frente a la informacin financiera,
seleccin conservadora o agresiva frente a los principios contables
alternativos, actitudes frente al procesamiento de datos y funciones de
contabilidad y de personal, entre otros.
g) Estructura organizacional
La estructura organizacional de una entidad proporciona la estructura
conceptual mediante la cual se planean, ejecutan, controlan, y monitorean
sus actividades para la consecucin de los objetivos globales.
Los aspectos significativos para el establecimiento de una estructura
organizacional incluyen la definicin de las reas claves de autoridad y
responsabilidad y, el establecimiento de las lneas apropiadas de
informacin.
Una entidad desarrolla una estructura organizacional adaptada a sus
necesidades. Algunas son centralizadas, otras descentralizadas. Algunas
entidades estn organizadas por industria o lnea de producto, por ubicacin
geogrfica o por una distribucin particular o red de mercado.
La conveniencia de la estructura organizacional de una entidad depende, en
parte, de su tamao y de la naturaleza de sus actividades, las cuales sern
organizadas para llevar a cabo las estrategias diseadas para cumplir los
objetivos especficos.
h) Asignacin de autoridad y responsabilidad
Esto incluye la asignacin de autoridad y responsabilidad para actividades
de operacin, y el establecimiento de relaciones de informacin y de
protocolos de autorizacin. Involucra el grado en el cual los individuos y los
equipos son animados a usar su iniciativa en la orientacin y en la solucin
de problemas, as como los lmites de su autoridad. Tambin se refiere a las
polticas que describen las prcticas apropiadas para el tipo de negocio, el
conocimiento y la experiencia del personal clave, y los recursos previstos
para cumplir con sus deberes.
Una entidad puede orientarse ms al mercado centrarse en la calidad, ya
sea para eliminar defectos, reducir los tiempo o incrementar la satisfaccin
del cliente. Para ello, la empresa necesita reconocer y responder a las
prioridades cambiantes en las oportunidades de mercado, en las relaciones
de negocios y en las expectativas del pblico.
La delegacin de autoridad, o empowermenf, significa ceder el control
central de ciertas decisiones de negocios a lneas bajas, a los individuos que
estn cerrando di8ariamente las transacciones del negocio.
La plena intencin del cambio estructural para encausar la creatividad, la
iniciativa y la capacidad para reaccionar rpidamente pueden engrandecer
6
AUDITORIA I
la competitividad y la satisfaccin del cliente. Tal delegacin acrecentada

puede acarrear un requerimiento implcito por un nivel alto de competencia
de los empleados, as como una mayor responsabilidad.
i) Polticas y prcticas sobre recursos humanos
Las practicas sobre recursos humanos usan l envi de mensajes a los
empleados para percibir los niveles esperados de integridad,
comportamiento tico y competencia. Tales practicas se relacionan con
empleo, orientacin, entrenamiento, evaluacin, consejera, promocin,
compensacin y acciones remediales. Por ejemplo, las rotaciones de
personal y las promociones orientadas al desempeo peridico evaluado,
demuestran el compromiso de la entidad con el avance del personal
calificado hacia altos niveles de responsabilidad. Los programas de
compensacin competitivos que incluyen incentivos sirven para motivar y
reforzar los resultados de desempeo. Las acciones disciplinarias sirven de
mensaje a los empleados en cuanto a que las violaciones a los
comportamientos esperados no sern toleradas.
Es esencial que el personal est preparado para los nuevos cambios que
realiza la empresa. La educacin y el entrenamiento, deben servir a la gente
de una empresa para conservar la buena marcha y mantener el ambiente
envolvente. Deben tambin fortalecer las habilidades de la entidad para
realizar iniciativas de calidad. El empleo de gente competente y el
entrenamiento sobre la marcha no son suficientes.
VALORACIN DE RIESGO
Cada entidad enfrenta una variedad de riesgos de fuentes externas e
internas, los cuales deben valorarse. Una condicin previa a la valoracin de
riesgos es el establecimiento de objetivos, enlazados en distintos niveles y
consistentes internamente. La valoracin de riesgos es la identificacin y el
anlisis de los riesgos relevantes para la consecucin del os objetivos,
constituyendo una base para determinar cmo se deben administrar los
riesgos. Dado que la economa, la industria, las regulaciones y las
condiciones de operacin continuarn cambiando, se requieren mecanismos
para identificar y tratar los riesgos especiales asociados con el cambio.
Objetivos
La definicin objetivos puede ser un proceso altamente estructurado o
informal. Los objetivos pueden definirse explcitamente, o ser implcitos, tal
como mantenerse en un nivel pasado de desempeo. Los objetivos a
menudo estn representados por la misin de la entidad y por la declaracin
de valores. El conocimiento de las fortalezas y debilidades de la entidad, y
de las oportunidades y amenazas, conducen hacia una estrategia global.
Generalmente el plan estratgico es establecido de manera amplia,
teniendo que ver con el nivel alto de asignacin de recursos y prioridades.
a) Categoras de objetivos
A pesar de la diversidad de objetivos, pueden establecerse ciertas
categoras principales:
7
AUDITORIA I
o Objetivos de Operaciones.- Los objetivos de operaciones se

relacionan con la consecucin de la misin bsica de una entidad,
razn funda mental de su existencia. Incluyen sub-objetivos
relacionados con las operaciones, dirigidos a engrandecer la
efectividad y la eficiencia, orientando la empresa hacia sus metas
ltimas.
o Objetivos de informacin financiera.- Los objetivos de
informacin financiera se orientan a la preparacin de estados
financieros publicados que sean confiables, incluyendo estados
financieros interinos y condensados y datos financieros
seleccionados derivados de tales estados; tales como ganancias
realizadas, de conocimiento pblico. Las entidades necesitan
conseguir objetivos de informacin financiera para cumplir
obligaciones externas.
o Objetivos de cumplimiento.- Las entidades deben conducir sus
actividades, y a menudo tomar acciones especficas, de acuerdo con
leyes y regulaciones aplicables. Esos requerimientos se pueden
relacionar, por ejemplo, con mercados, precios, impuestos, el
ambiente, bienestar de los empleados y comercio internacional.
Esas leyes y regulaciones establecen los niveles mnimos de
comportamiento los cuales son integrados por la entidad en su
cumplimiento de objetivos. Por ejemplo, las regulaciones de
seguridad y salud ocupacional pueden hacer que una compaa
defina sus objetivos como, embalaje y etiquetado de todos los
qumicos de acuerdo con las regulaciones. En este caso, las polticas
y los procedimientos se relacionarn con programas de
comunicaciones, inspecciones en el lugar y entrenamiento.
b) Cobertura de objetivos
Un objetivo en una categora; puede cubrir o soportar un objetivo en otra.
Por ejemplo, cerrar trimestralmente con 10 das de trabajo puede ser un
objetivo que soporta primariamente unos objetivos de operaciones, apoyar
las reuniones de la administracin para revisar el desempeo de los
negocios. Pero tambin soporta oportunamente la informacin financiera al
mismo tiempo que cumple con las agencias reguladoras. Un objetivo,
proporcionar a los administradores de planta de datos pertinentes sobre
produccin de materias primas mezclada en una base oportuna, puede
relacionarse con todas las tres categoras de objetivos. Las decisiones
soportadas en datos sobre los cambios deseados de la mezcla
(operaciones), facilitan el monitoreo de sustancias riesgosas (cumplimiento)
y provee entradas para la contabilidad de costos (informacin financiera lo
mismo que operaciones).
c) Vinculacin
Los objetivos pueden ser complementarios y estar vinculados. Los objetivos
Pales de la entidad no solamente deben ser consistentes con las
capacidades y posibilidades de la entidad, tambin deben ser consistentes
con los objetivos de sus unidades de negocio y funciones. Los objetivos
globales deben dividirse en sub objetivos, consistentes con la estrategia
global, y vinculados con las actividades a travs de la organizacin.
8
AUDITORIA I
d) Consecucin de los objetivos

Como se anot, el establecimiento de objetivos es un requisito previo para
el control interno efectivo. Los objetivos proporcionan los blancos medibles
hada los cuales la entidad se mueve en la conduccin de sus actividades.
Sin embargo, aunque una entidad pueda tener una seguridad razonable
respecto a que ciertos objetivos sern conseguidos, ello no necesariamente
es comn para todos los objetivos.
Riesgos
El proceso de identificacin y anlisis de riesgos es un proceso interactivo
ongoing2S y componente crtico de un sistema de control interno efectivo.
Los administradores se deben centrar cuidadosamente en los riesgos en
todos los niveles de la entidad y realizar las acciones necesarias para
administrarlos.
a) Identificacin de riesgos
Los riesgos del nivel global de la entidad pueden provenir de factores
externos o internos. Ejemplos incluyen:
Factores externos
Los desarrollos tecnolgicos pueden afectar la naturaleza y
oportunidad de la investigacin y desarrollo, o dirigir hacia la
procura de cambios.
Las necesidades o expectativas cambiantes de los clientes pueden
afectar el desarrollo del producto, el proceso de produccin, el
servicio al cliente, los precios o las garantas.
La competencia puede alterar las actividades de mercadeo o
servicio.
La legislacin y regulacin nuevas pueden forzar cambios en las
polticas y en las estrategias de operacin.
Las catstrofes naturales pueden orientar los cambios en las
operaciones o en los sistemas de informacin y hacer urgente la
necesidad de planes de contingencia.
Los cambios econmicos pueden tener un impacto sobre las
decisiones relaciona-das con financiacin, desembolsos de capital y
expansin.
Factores internos
Una ruptura en el procesamiento de los sistemas de informacin
puede afectar adversamente las operaciones de la entidad.
La calidad del personal vinculado y los mtodos de entrenamiento y
motivacin pueden influenciar el nivel de conciencia de control en la
entidad.
Un cambio en las responsabilidades de la administracin puede
afectar la manera como se efectan ciertos controles.
La naturaleza de las actividades de la entidad, y el acceso de los
empleados a los activos, pueden contribuir a una equivocada
apropiacin de los recursos. Un consejo o comit de auditora que no
acta o que no es efectivo puede proporcionar oportunidades para
indiscreciones.
9
AUDITORIA I
b) Nivel de actividad
En adicin a la identificacin de riesgos a nivel de la entidad, deben
identifica
tambin los riesgos a nivel de actividad. El tratar con los riesgos a este nivel
ayuda i centrar la valoracin de riesgos en las principales unidades de
negocio o en funciones! tales como ventas, produccin, mercadeo,
desarrollo de tecnologa e investigacin m desarrollo. La valoracin exitosa
de los riesgos a travs de actividad tambin contribuye a mantener niveles
aceptables en el nivel global de la entidad.
Anlisis de riesgos
Luego que una entidad ha identificado los riesgos globales de la entidad y
los riesgos de actividad, necesita hacer un anlisis de riesgos. La
metodologa para analizar riesgos puede variar ampliamente porque muchos
riesgos son difciles de cuantificar. Sin embargo, el proceso que puede ser
ms o menos formal-usualmente incluye:
Estimacin del significado de un riesgo;
Valoracin de la probabilidad (o frecuencia) de ocurrencia del riesgo;
Consideracin de cmo puede administrarse el riesgo, esto es, una
valoracin de qu acciones deben ser tomadas.
Desafortunadamente, la importancia del anlisis de riesgos se reconoce
algunas veces muy tarde, como es el caso de una firma principal de
servicios financieros en la cual un ejecutivo principal anunci un melanclico
epitafio: justamente no pensamos que encontraramos muchos riesgos.
VALORACION DE RIESGOS
Luego que una entidad ha identificado los riesgos globales y los riesgos por
actividad, se debe realizar un anlisis de riesgos cuya metodologa puede
variar ampliamente porque muchos riesgos son difciles de cuantificar.
Sin embargo, el proceso usualmente incluye:
a) Estimacin del significado de un riesgo.
b) Valoracin de la probabilidad (o frecuencia) de ocurrencia del riesgo.
c) Consideracin de cmo puede administrarse el riesgo, esto es, una
valoracin de qu acciones deben ser tomadas.
Es importante que el anlisis sea racional y cuidadoso. Lo mejor es describir
los riesgos como grande, moderado o pequeo. Se debe estimar la
frecuencia con que se presentarn los riesgos identificados, as como
tambin se debe cuantificar la probable prdida que ellos pueden ocasionar.
Pero no debe n cederse a la difundida inclinacin de conceptuarlos
rpidamente como "no medibles". En muchos casos, con un esfuerzo
razonable, puede conseguirse una medicin satisfactoria.
Esto se puede expresar matemticamente en la llamada ecuacin de la
exposicin:
Exposicin:
PE = F x V
Dnde:
10
PE = Prdida Esperada o Exposicin, expresada en Bs. y en
forma anual.
F = Frecuencia, veces probables en que el riesgo se concrete

en el ao.
AUDITORIA I
CIRCUNSTANCIAS QUE DEMANDAN ATENCIN ESPECIAL

Las organizaciones deben disponer de procedimientos capaces de captar e
informar oportunamente los cambios registrados o inminentes en el
ambiente interno y externo, que puedan conspirar contra la posibilidad de
alcanzar sus objetivos en las condiciones deseadas. Una etapa fundamental
del proceso de evaluacin del riesgo es la identificacin de los cambios en
las condiciones del medio ambiente en que el organismo desarrolla su
accin. Un sistema de control puede dejar de ser efectivo al cambiar las
condiciones en las cuales opera. Entre las diferentes condiciones
cambiantes que pueden presentarse y de las cuales debe estar al pendiente
la organizacin estn:
a) La alta rotacin de personal donde no est presente el entrenamiento
adecuado y una supervisin efectiva, y no se considere comunicar la
cultura organizacional.
b) Sistemas de informacin nuevos ya sea para mejorar tiempos de
respuesta pero que no se adaptan a las necesidades de la
organizacin por la omisin de mecanismo de control.
c) La nueva produccin con la cual no este lo suficientemente
familiarizado el negocio puede repercutir en tomas de decisiones
equivocadas y que tengan implcitas algunos riesgos.
El proceso de gestin de cambio es crtico para el sistema de control interno
y no debera ser obviado en ninguna circunstancia.
ACTIVIDADES DE CONTROL
Las actividades de control son las polticas y los procedimientos que ayudan
a asegurar que las directivas administrativas se lleven a cabo. Ayudan a
asegurar que se tomen las acciones necesarias para orientar los riesgos
hacia la consecucin de los objetivos de la entidad. A las actividades de
control se dan a todo lo largo de la organizacin, en todos los niveles y en
todas las funciones. Incluyen un rango de actividades diversas como
aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones de
desempeo operacional, seguridad de activos y segregacin de funciones.
TIPOS DE ACTIVIDADES DE CONTROL
Para ilustrar los diferentes tipos de actividades de control se pueden
mencionar:
a) Revisiones de alto nivel
Las revisiones se realizan sobre el desempeo actual frente a presupuestos,
pronsticos, perodos anteriores y competidores. Las acciones
administrativas que se realizan y los consiguientes informes representan
actividades de control, como los controles fsicos de Equipos, inventarios,
valores y otros activos se aseguran fsicamente en forma peridica, son
11
AUDITORIA I
contados y comparados con las cantidades presentadas en los registros de

control.
b) Segregacin de responsabilidades
Las responsabilidades se dividen, o segregan, entre diferentes empleados
para reducir el riesgo de error o de acciones inapropiadas.
Procesamiento de informacin
Los datos que ingresan estn sujetos a chequeos o a comparaciones con los
archivos de control. La orden de un cliente, por ejemplo, es aceptada
solamente por referencia a un archivo de clientes aprobados y a un lmite de
crdito. Los archivos totales se comparan y concilian con los balances de
prueba y con las cuentas de control. Las excepciones reciben seguimiento
especial por parte de personal de oficina, y se informa a los supervisores
cuando sea necesario. El desarrollo de sistemas nuevos y de cambios frente
a los actuales es controlado, tanto en el acceso de datos, archivos y
programas.
Controles fsicos
Los controles fsicos de equipos, inventarios, valores y otros activos se
aseguran fsicamente en forma peridica, son contados y comparados con
las cantidades presentadas en los registros d control.
Indicadores de desempeo
Los indicadores de desempeo incluyen, por ejemplo, variaciones en los
precios de compra, el porcentaje de rdenes que son pedidos urgentes y el
porcentaje total de retorno de rdenes.
Polticas y procedimientos
Las actividades de control usualmente implican dos elementos: el
establecimiento de una poltica que pueda cumplirse y, sirviendo como base
para el segundo elemento, procedimientos para llevar a cabo la poltica.
Puesto que cada entidad tiene su propio conjunto de objetivos y su
implementacin de estrategias, existirn diferencias en la estructura de
objetivos y en las actividades de control relacionadas. Aunque dos entidades
tengan idnticos objetivos y estructuras, sus actividades de control sern
diferentes. Cada entidad es manejada por gente diferente que usa juicios
individuales en la aplicacin del control interno. Adems los controles
reflejan el ambiente y la industria donde opera una entidad, as como la
complejidad de su organizacin, su historia y su cultura.
El entorno en el que una entidad opera influye en los riesgos a los
que est expuesta
La complejidad de una entidad, as como el tipo y el alcance de sus
actividades, repercuten en sus actividades de control. Una organizacin
compleja, con diversidad de actividades, se enfrentar a problemas de
control ms difciles que una organizacin ms sencilla con actividades
menos variadas. Una entidad con operaciones descentralizadas y con
12
AUDITORIA I
nfasis en la autonoma local y en la innovacin necesita tipos de controles

distintos a los aplicados por una entidad altamente centralizada.
Algunas actividades de control son las siguientes:
Anlisis efectuados por la direccin
Seguimiento y revisin por parte de los responsables de las diversas
funciones o actividades
Niveles de aprobacin, autorizacin y revisin
Comprobacin de las transacciones en cuanto a su exactitud,
totalidad, y autorizacin pertinente: aprobaciones, revisiones, cotejos,
re clculos, anlisis de consistencia, pre numeraciones
Controles fsicos patrimoniales: arqueos, conciliaciones, recuentos
Dispositivos de seguridad para restringir el acceso a los activos y
registros
Segregacin de funciones
Indicadores de desempeo
Controles de las tecnologas de informacin
INFORMACIN Y COMUNICACIN
Debe identificarse, capturarse y comunicarse informacin pertinente en una
forma y en un tiempo que les permita a los empleados cumplir con sus
responsabilidades. Los sistemas de informacin producen reportes,
contienen informacin operacional, financiera y relacionada con el
cumplimiento, que hace posible operar y controlar el negocio. Tiene que ver
no solamente con los datos generados internamente, sino tambin con la
informacin sobre eventos, actividades y condiciones externas necesarias
para la toma de decisiones, informe de los negocios y reportes externos. La
comunicacin efectiva tambin debe darse en un sentido amplio, fluyendo
hacia abajo, a lo largo y hacia arriba de la organizacin.
Todo el personal debe recibir un mensaje claro de parte de la alta gerencia
respecto a que las responsabilidades de control deben tomarse
seriamente. Deben entender su propio papel en el sistema de control
interno, lo mismo que la manera como las actividades individuales se
relaciona con el trabajo de otros. Deben tener un medio H de comunicar la
informacin significativa. Tambin necesitan comunicarse efectivamente con
las partes externas, tales como clientes, proveedores, reguladores o y
accionistas.
Informacin
En todos los niveles de la organizacin se requiere la informacin para que
el negocio pueda operar y direccionarse hacia los objetivos de la actividad
en todas las categoras, operaciones, informacin financiera y cumplimiento.
La informacin financiera por ejemplo no solamente es usado para elaborar
estados financieros de difusin externa, sino tambin para decisiones de
operacin como es el caso del monitoreo del desempean y asignacin de
recursos.
Los reportes administrativos de mediciones monetarias permite el Monitoreo
como es el caso de utilidades definidas, desempeo de cuentas por cobrar
13
AUDITORIA I
por tipo de cliente, participacin en el mercado, tendencias en las

reclamaciones de los clientes y estadsticas de accidentes. Las mediciones
financieras internas es esencial para la planeacin, presupuesto,
establecimiento de precios, evaluacin desempeo de vendedores y otras
alianzas.
Informacin operacional es fundamental para el desarrollo de los estados
financieros que incluye lo de rutina- compras, ventas y otras transacciones.
La informacin sobre competidores, expansin de productos o condiciones
econmicas, que pueda ser que afecten las evaluaciones de inventarios y
cuentas por cobrar. Tambin puede necesitarse emisiones de particulares
reas como datos personales para recepcionar objetivos tanto de
cumplimento como de informacin financiera.
La informacin es identificada, capturada, procesada y reportada mediante:
Sistemas de informacin:
Este trmino es usado en el mbito del procesamiento de datos
generados internamente, que tienen relacin con las transacciones
(como compras y ventas) y actividades de operacin interna
produccin en proceso)
Se relacionan con informacin sobre eventos, actividades condiciones
EXTERNAS. Que abarca: Datos econmicos del mercado o de la
industria que sealan cambios en demanda por los productos o
servicios de la compaa.
Operan algunas veces en un mercado de MONITOREO, realizando
captura rutinaria de datos especficos, realizando acciones especiales
que recaban la informacin sobre la satisfaccin de os cliente con los
productos de la entidad.
Pueden identificar y reportar las venta de los clientes, retornos y
solicitudes de asignacin, aplicaciones de las provisiones de garanta
de productos y retroalimentacin directa en forma de quejas y otros
comentario o si no para obtener informacin sobre los cambios en lo
que requiere el mercado teniendo en cuenta las especificaciones
tcnicas, o entregas de los clientes o servicios requeridos. Que se
pueda obtener esta mediante cuestionarios, entrevistas, estudios de
la demanda del mercado elaborados sobre grupos de inters.
Pueden ser formales o informales las conversaciones con los clientes,
proveedores, sirven de informacin para formar una crtica sobre la
identificacin de riesgos y oportunidades.
Deben cambiar de acuerdo con las necesidades para apoyar los
nuevos objetivos de la entidad. Como el caso de disminuir el ciclo del
tiempo ofrecer los productos al mercado, el outsorcing (subcontratar
trabajos de manufactura de agentes externos o compaas no
vinculadas) de ciertas funciones y las transformaciones en la fuerza
de trabajo
Deben no solamente identificar y capturar la informacin financiera
no financiera requerida sino adems procesar y reportar en un lapso
de tiempo y de forma que sea til para controlar actividades de la
entidad.
14
AUDITORIA I
Sistemas estratgicos e integrados

Los sistemas de informacin son parte integral de las actividades
operacionales. Porque no solamente capturan informacin para la toma de
decisiones al momento de controlar, sino adems son crecientemente
diseados, para llevar a cabo las iniciativas estratgicas.
Sistemas de apoyo a las iniciativas estratgicas
El usar estratgicamente los sistemas de informacin ha conllevado xito
para las organizaciones. Ejemplo de ello es el sistema de reservas de
aerolnea permite a los agentes de viaje acceso fcil a la informacin e
vuelos y registro de ellos. Permitiendo de esta forma ventaja competitiva.
Al usar la tecnologa conlleva tener mejor manera de responder las
tendencias crecientes del mercado, de esa forma los sistemas se usan para
apoyar estrategias de negocios proactivas.
Integracin con las operaciones:
El usar estratgicamente los sistemas dan a conocer en l cambio hecho
desde los sistemas nicamente financieros a los sistemas integrados en las
operaciones de una entidad .Estos sistemas apoyan a controlar el proceso
de los negocios, siguiendo y registrando transacciones en una base de
tiempo real.
Los sistemas de informacin en las organizaciones de manufactura apoyan
todas las reas de produccin. Son usadas para pruebas de aceptacin y
recepcin de materias primas, control de calidad sobre productos
terminados y registros de clientes.
Los sistemas integrados de operaciones se ven reflejado en el sistema
de inventarios justo a tiempo (JIT). Las compaas que utilizan JIT tienen
inventarios mnimos (a mano), disminuyendo sus costos; ya que los
sistemas mismos ordenan y programan automticamente la llegada de
materias primas, mediante el uso de EDI (intercambio electrnico de
datos).Los que emplean JIT dependen de su sistema para que cumplan los
objetivos de productos, puesto que sera imposible sin ellos.
Tecnologas coexistentes:
Con las revoluciones de las tecnologas sobre sistemas de informacin es
falso pensar que un sistema ms nuevo proporcione mayor control; ya que
solo se necesita adaptar ciertos requerimientos para que
pueda estar en la vanguardia de la tecnologa La adquisicin de
tecnologas es un aspecto fundamental de la estrategia corporativa y las
selecciones relacionadas con la tecnologa pueden ser factores crticos para
conllevar los objetivos de w crticos para conllevar los objetivos de
crecimiento. En donde su implementacin depende de muchos factores
como: objetivos organizacionales, necesidades del mercado, requerimientos
competitivos y como los nuevos sistemas ayudan a realizar el control y en el
momento deben ser sujetos de los controles necesarios, para promover la
consecucin de los objetivos de la entidad.
15
AUDITORIA I
Calidad de la informacin
Los sistemas generados por la calidad de la informacin afecta la habilidad
de la gerencia para tomar decisiones oportunas para la administracin y el
control de las actividades de la entidad.
La calidad de la informacin incluye indagar si:
Contenido apropiado. se necesita la informacin contenida en l?
Informacin oportuna. Est disponible cuando es requerida?
Informacin actual. Est disponible la ms reciente?
Informacin exacta Los datos son correctos?
Informacin accesible Pueden obtenerse fcilmente por la parte
apropiadas?
Todas estas preguntas deben hacerse en el momento de disear el sistema
Si no es posible que ste no de la informacin que requieren los
administradores y otro personal.
Puesto que tener la informacin correcta tiempo, en lugar proceso, es
fundamental para realizar el control, los sistema de informacin; ya que
ellos son un componente del Sistema de Control Interno, tambin deben
controlarse .La calidad de la informacin puede depender del
funcionamiento de las actividades de control
Comunicacin
Es inherente a los sistemas de informacin; ya que estos brindan
informacin al personal en forma apropiada a fin de que ellos puedan
cumplir sus responsabilidades de operacin, informacin financiera y de
cumplimiento. Asimismo tambin se dan las comunicaciones
relacionndose, con las expectativas, las responsabilidades de los individuos
y de los grupos y otros asuntos fundamentales.
Interna
Adems de recibir datos relevante para administrar su actividad, todo el
personal, especficamente el que est a cargo de responsabilidades de
administracin operativa o financiera, necesita recibir un mensaje claro de
parte de la alta administracin con relacin a que responsabilidades de
control interno deben tomarse seriamente .Asimismo cada persona necesita
entender los aspectos relevantes del Sistema de Control Interno , como
trabaja y cul es su papel y su responsabilidad en el Sistema de lo contrario
aparecern problemas rpidamente. Por ejemplo en una compaa los jefes
de unidades son requeridos para firmar un reporte mensual afirmando que
se han realizado las conciliaciones especficas. Cada mes los reportes fueron
firmados y presentados.
Luego, despus de que apareci problemas serios, se conoci que los dos
ltimos jefes de unidad no conocan lo que realmente se esperaba de ellos;
ya que ambos tenan opiniones distintas sobre la conciliacin .Uno
consideraba que estaba completa cuando la cantidad de la diferencia entre
dos figuras era simplemente identificada .Otro tomaba el proceso solo como
un paso adicional .Entonces tuvieron que tomar acciones correctivas.
Externa
16
AUDITORIA I
Hay necesidad de comunicacin oportuna no solamente con la entidad sino

hacia el exterior. Por medio de canales de comunicacin abiertos , los
clientes y proveedores pueden proporcionar datos de entrada altamente
significativos con respecto al diseo o calidad de los productos o servicios
facilitando a la entidad orientarse al desarrollo de las demandas .o
preferencias de los clientes .Asimismo cualquiera que se relacione con la
entidad puede reconocer acciones impropias como es el caso cuando por la
adjudicacin de un contrato se debe da una cantidad de dinero an
funcionario corrupto. Las compaas se deben comunicar directamente con
los vendedores por ejemplo observando cmo la compaa espera que
acten los empleados de los vendedores para actuar de acuerdo a ello.
Las informaciones recibidas externamente con frecuencia proporcionan
informacin fundamental sobre el funcionamiento del sistema de control
interno. El entender de los auditores externos tienen con respecto a las
operaciones de una entidad y los sucesos y sistemas de control de los
negocios relacionados le proporciona la administracin al consejo
importante informacin de control.
Los organismos reguladores como por ejemplo la banca estatal reportan
resultados de las revisiones o exmenes de cumplimiento que puedan
aclarar las debilidades de control. Los reclamos o preguntas sobre
embargue, recepcin, facturacin u otras actividades con frecuencia
identifican problemas de operacin .Que debern recibirse por estar
dispuesto a reconocer las implicaciones a tales circunstanciase investigar y
tomar las acciones correctivas necesarias.
Las comunicaciones dirigidas a accionistas ,reguladores, analistas
financieros y otras partes externas, deber bridar infraccin relevante para
sus necesidades, para con la finalidad de que ellos puedan entender
fcilmente las circunstancias y los riesgos que enfrenta la entidad , en
donde estas tienen que ser comprensibles, proveer informacin pertinente y
oportuna y estar de acuerdo con los requerimientos legales y reguladores.
Las comunicaciones dirigidas a partes externas, ya sean abiertas y
venideras tambin envan mensajes internos a travs de la organizacin.
Medios de comunicacin
La comunicacin:
Adopta formas como manuales de polticas, memorandos, boletines
de noticias del consejo y mensajes en videocinta. Cuando los
mensajes se transmiten oralmente (en grupos grandes), pequeas
reuniones o sesiones uno a uno el tono de la voz y el lenguaje
corporal sirven para enfatizar lo que se est diciendo
Se da a travs de la accin que toda la administracin en el trato con
los subordinados .Los administradores debe recordarse a s mismos,
las acciones hablan ms frecuentemente que las palabras. Asimismo
las acciones estn influenciadas por la historia y la cultura de la
entidad.
17
AUDITORIA I
La entidad debe operar con integridad y cultura bien entendida por la gente
a todo lo largo de la operacin, encontrar pocas dificultades para
comunicar su mensaje.
El desenvolvimiento de las responsabilidades, el personal debe conocer que
si ocurren sucesos inesperados se debe presentar atencin no solamente al
suceso mismo sino tambin a la causa. De esa forma se puede identificar
una debilidad potencial en el sistema y tomarse las acciones necesarias
para prevenir su recurrencia.
Esta componente est conformado por:
Informacin para toma de decisiones

Sistemas de informacin ligados a planeacin estratgica
Sistemas de informacin ligados a las operaciones
Calidad de la informacin
Medios de comunicacin
MONITOREO O SUPERVISIN
Los sistemas de control interno deben monitorearse, proceso que valora la
calidad del desempeo del sistema en el tiempo. Es realizado por medio de
actividades de monitoreo ongoing, evaluaciones separadas o combinacin
de las dos. El monitoreo ongoing ocurre en el curso de las operaciones.
Incluye actividades regulares de administracin y supervisin y otras
acciones personales realizadas en el cumplimiento de sus obligaciones. El
alcance y la frecuencia de las evaluaciones separadas depender
primeramente de la valoracin de riesgos y de la efectividad de los
procedimientos de monitoreo ongoing. Las deficiencias del control interno.
Actividades del monitoreo ongoing
Los siguientes son ejemplos de actividades de monitoreo ongoing:
En el desarrollo de las actividades regulares de administracin, la

gestin operativa obtiene evidencia de que el sistema de control
interno contina funcionando. Cuando los reportes de operacin estn
integrados o se concilian con el sistema de informacin financiera y
se usan para administrar operaciones en una base ongoing, las
inexactitudes o excepciones significativas a los resultados anticipados
es probable que sean detectadas fcilmente.
Los reportes emitidos por los administradores de inversin respecto
de ganancias, prdidas e ingresos de valores pueden corroborar o
sealar problemas con los registros de la entidad (o de los
administradores). Una revisin en una compaa sobre las polticas y
prcticas de seguridad proporciona informacin sobre el
funcionamiento de los controles, desde perspectivas de seguridad
operacional como de cumplimiento, sirviendo de esa manera como
una tcnica de monitoreo.
La estructura organizacional apropiada y las actividades de
supervisin proporcionan una visin amplia de las funciones de
control y de la identificacin de deficiencias.
18
AUDITORIA I
Los datos registrados mediante los sistemas de informacin se

comparan con los activos fijos. Los inventarios de productos
terminados, por ejemplo, se pueden examinar peridicamente. Los
conteos se comparan con los registros contables, y se reportan las
diferencias.
Los auditores internos y externos regularmente proporcionan
informacin sobre la manera como los controles internos pueden
fortalecerse. En muchas entidades, los auditores dedican
considerable atencin a evaluar el diseo de controles internos y
aprobar su efectividad. Se identifican las debilidades potenciales y se
recomiendan a la administracin acciones alternativas, acompaadas
a menudo de informacin til para realizar determinaciones de costo-
beneficio. Los auditores o el personal que desempea funciones
similares de revisin pueden ser particularmente efectivos en el
monitoreo de las actividades de una entidad.
Los seminarios de entrenamiento, las secciones de planificacin y

otras ; reuniones proporcionan retroalimentacin importante a la
administracin respecto de si los controles son efectivos. Adems de
los problemas particulares que se pueden sealar asuntos de control,
la conciencia de control de los participantes a menudo se convierten
en aparente.
Al personal se le pregunta peridicamente para establecer
explcitamente si entiende y cumple con el cdigo de conducta de la
entidad. El personal de operacin y financiero puede similarmente ser
requerido para establecer si determinados procedimientos de
controles, tales como conciliar cantidades o especificadas, se estn
desempeando regularmente. Tales estados pueden o: ser verificados
por personal administrativo o de auditora interna.
Evaluaciones separadas
a) Alcance y frecuencia
Las evaluaciones del control interno varan en alcance y frecuencia,
dependiendo del significado de los riesgos que estn siendo controlados y w
de la importancia de los controles en la reduccin de aqullos. Los controles
que se orientan a riesgos de prioridad alta y a aquellos ms crticos para
reducir un riesgo dado, tendern a ser evaluados ms frecuentemente. La
evaluacin de un sistema de control interno completo, que ser necesitada
con menos frecuencia que la valoracin de los controles especficos, puede
motivarse por diversas razones: estrategia principal o cambio
administrativo, adquisiciones y disposiciones, o cambios significativos en las
operaciones o en los mtodos de procesamiento de informacin financiera.
Cuando se toma una decisin para evaluar el sistema de control interno
completo de una entidad, la atencin se debe dirigir a cada uno de los
componentes del control interno con respecto a todas las actividades
significativas.
b) Quin evala?
A menudo, las evaluaciones toman la forma de auto-valoraciones, en las
que las personas responsables por una unidad o funcin en particular
19
AUDITORIA I
determinan la efectividad de los controles para sus actividades. El director

ejecutivo de una divisin, por ejemplo, puede dirigir la evaluacin de su
sistema de control interno. Puede personalmente valorar los factores del
ambiente de control, y tener individuos a cargo de las actividades de
operacin de las distintas divisiones para determinar la efectividad de los
otros componentes. Los administradores de lnea pueden centrar su
atencin principalmente en objetivos de operacin y de cumplimiento, y el
contralor de divisin puede centrarse en los objetivos de informacin
financiera. Luego, todos los resultados estarn sujetos a la revisin del
director ejecutivo. La valoracin de la divisin ser considerada por la
administracin corporativa, junto con las evaluaciones del control interno de
las otras divisiones.
c) El Proceso de Evaluacin
La evaluacin del sistema de control interno es un procedimiento en s
mismo; puesto que las aproximaciones y las tcnicas varan, deber existir
una disciplina en el proceso, as como ciertas bases inherentes a l.
El evaluador debe entender cada una de las actividades de la entidad y
cado uno de los componentes del sistema de control interno que estn
siendo dirigidos. Puede ser til centrarse primero en cmo operan las
funciones significativas del sistema, generalmente referidas como diseo
del sistema. Ello puede implicar discusiones con el personal de la entidad y
revisin de la documentacin existente.
El evaluador debe determinar cmo trabaja el sistema actualmente. Los
procedimientos diseados para operar de una manera particular pueden ser
modificados en el tiempo para operar de forma diferente, o pueden no
operar ampliamente. Algunas veces se establecen controles nuevos pero no
son conocidos por las personas que describieron el sistema y no estn
incluidos en la documentacin disponible. Una determinacin del actual
funcionamiento del sistema puede acompaarse de discusiones conjuntas
realizadas con el personal que desempea o es afectado por los controles,
examinando registros del desempeo de los controles o una combinacin de
procedimientos.
El evaluador debe analizar el diseo del sistema de control interno y los
resultados de las pruebas aplicadas. El anlisis debe conducirse frente a los
criterios establecidos, con el objetivo ltimo de determinar si el sistema
provee seguridad razonable con respecto a los objetivos establecidos.
d) Metodologa
Como parte de su metodologa de evaluacin, algunas compaas comparan
sus sistemas de control interno con las otras entidades, referidos
comnmente como benchmarking. Una compaa puede, por ejemplo,
medir su sistema contra compaas que tienen reputacin de tener
particularmente sistemas de control interno. Las comparaciones se pueden
hacer directamente con los de otra compaa, o bajo los auspicios de
20
AUDITORIA I
asociaciones de comercio o industriales. Los consultores administrativos

pueden ser capaces de proporcionar informacin comparativa, y funciones
de revisin similar en algunas industrias, pueden ayudar a la compaa a
evaluar su sistema de control con base en el de empresas del mismo
gnero. Cuando se comparan sistemas de control interno, deben
considerarse las diferencias que siempre existen objetivos, hechos y
circunstancias.
e) Documentacin
La existencia de la documentacin del sistema de control interno de una
entidad vara con el tamao, la complejidad y factores similares de la
entidad. Las empresas grandes usualmente tienen manuales de polticas,
organigramas formales, descripciones de trabajo escritas, instrucciones de
operacin, diagramas de flujo del sistema de informacin, etc. Las
compaas pequeas que requieren menos informacin.
Muchos controles son informales e indocumentados, no obstante lo cual
algunos se desempean regularmente y son altamente efectivos. El hecho
de que existan controles de documentados no significa que el control
interno no sea efectivo, o que no pueda ser evaluado. Un nivel apropiado de
documentacin usualmente hace ms eficiente la evaluacin. Ello es til en
otros aspectos: facilita el entendimiento de los empleados sobre cmo
operar el sistema y sus roles particulares, y hace que sea fcil modificarlo
cuando sea necesario.
La naturaleza y la extensin de la documentacin normalmente sern ms
sustantivas cuando se hacen informes sobre el sistema o sobre la
evaluacin, dirigidos a partes adicionales. Cuando la administracin quiere
hacer un informe dirigido a partes externas mirando la efectividad del
sistema de control interno, deber considerar el desarrollo y la retencin de
documentacin para soportar el informe. Tal documentacin puede ser til si
el informe es cambiado subsecuentemente.
Plan de accin
Los ejecutivos dirigen evaluaciones de los sistemas de control interno
para, en primer lugar, poder considerar los siguientes aspectos
sugeridos sobre donde iniciar y que hacer:
Decidir sobre el alcance de la evaluacin, en trminos de las
categoras de objetivos, componentes del control interno y
actividades a orientar.
Identificar actividades de monitoreo ongoing que rutinariamente
proporcionan tranquilidad respecto a que el control interno es
efectivo.
Analizar el trabajo de evaluacin del control realizado por auditores
internos, y considerar los hallazgos relacionados con el control hechos
por los auditores externos.
Priorizar por unidad, componente o global las mayores reas de
riesgo que exigen atencin inmediata.
Basados en lo anterior, desarrollar un programa de evaluacin con
segmentos cortos y largos.
21
AUDITORIA I
Realizar un conjunto de evaluacin por parte de todas las partes que

la puedan llevar a cabo. Y al mismo tiempo, considerar no slo el
alcance y la duracin, sino tambin la metodologa y las herramientas
a usar, los datos de entrada provenientes de auditores internos y
externos y de reguladores, los medios para informar los hallazgos y la
documentacin esperada.
Monitorear el progreso y la revisin de los hallazgos.
Ver que se realizan las acciones siguientes, y modificar los segmentos
de evaluacin subsecuentes si es necesario.
Informacin De Deficiencias
Las deficiencias en el control interno de una entidad brotan de muchas
fuentes, incluyendo los procedimientos de monitoreo ongoing de la entidad,
las evaluaciones separadas del sistema de control interno y las partes
externas.
El trmino deficiencia como se emplea aqu es definido en sentido amplio
como una condicin dentro de la cual un sistema de control interno es digno
de atencin. Una deficiencia, por consiguiente, puede representar una falta
percibida, potencial o real, o una oportunidad para fortalecer el sistema de
control interno a fin de proporcionar una mayor probabilidad de que se
puedan conseguir los objetivos de la entidad.
a) Fuentes de Informacin
Una de las mejores fuentes de informacin sobre deficiencias es el mismo
sistema de control interno. Las actividades de monitoreo ongoing de una
empresa, incluyendo las actividades administrativas y la diaria supervisin
de los empleados, genera intuiciones al personal directamente implicado
en las actividades de la entidad. Esas intuiciones son obtenidas en tiempo
real y pueden proporcionar identificacin rpida de las deficiencias. Otras
fuentes de deficiencias de control interno son las evaluaciones separadas de
un sistema de control interno. Las evaluaciones realizadas por la
administracin, los auditores internos u otro personal pueden iluminar reas
que requieran mejoramiento.
Un buen nmero de partes externas frecuentemente proporcionan
informacin importante sobre el funcionamiento del control interno de una
entidad. Incluye clientes, vendedores y otros que hacen negocios en la
entidad, contadores pblicos independientes y reguladores. Los informes
provenientes de fuentes externas deben considerarse cuidadosamente a
causa de sus implicaciones para el control interno, y deben tomarse las
acciones correctivas necesarias.
b) Qu debe informarse?
No es posible una respuesta universal, pues esto es altamente subjetivo. Sin
embargo, pueden trazarse ciertos parmetros. De hecho, todas las
deficiencias de control interno que puedan afectar la consecucin de los
objetivos de la entidad deben informarse a aquellos que toman las acciones
necesarias. La naturaleza de los asuntos a comunicar variar dependiendo
de la autoridad de los individuos para relacionarse con circunstancias que
surjan, y las actividades globales de los superiores.
22
AUDITORIA I
c) A quin informar?
La informacin generada por los empleados en la realizacin de sus
actividades de operacin regulares usualmente es reportada a sus
superiores mediante los canales normales. A su turno, el superior en
cuestin comunica hacia arriba o lateralmente en la organizacin hasta que
la informacin llegue a la gente que puede actuar sobre el particular,
adems deber de existir canales de comunicacin alternativos para
reportar informacin sensible as como actos ilegales o impropios.
Los hallazgos de deficiencias de control interno usualmente se reportarn no
slo a los responsables de la funcin o actividad implicada, que estn en
posicin de tomar la accin correctiva, sino tambin al menos al nivel de
administracin que es responsable directo de la persona. Este proceso
permite a los individuos proporcionar el apoyo o la percepcin necesarios
para tomar la accin correctiva y para comunicarse con aquellos otros en la
organizacin cuyas actividades pueden afectarse. Cuando los hallazgos
cruzan los lmites organizacionales, la informacin deber cruzar y dirigirse
directamente al nivel suficientemente alto para asegurar la accin
apropiada.
d) Directrices sobre reportes
El proporcionar la informacin necesaria sobre las deficiencias de control
interno a la parte correcta es crtico para la continuada efectividad de un o
sistema de control interno. Pueden establecerse para identificar qu
informacin es necesaria en un nivel particular de toma de decisiones.
Tales protocolos estn basados en la regla general que dice que un
administrador debe recibir la informacin necesaria para afectar la accin o
el comportamiento de la gente bajo su responsabilidad, o para conseguir
los objetivos de la actividad. Un director ejecutivo normalmente esperar
ser advertido, por ejemplo, de las diversas infracciones serias a las polticas
y a los procedimientos. Tambin espera informacin de apoyo sobre la
naturaleza de los asuntos que pueden tener consecuencias financieras
significativas o implicaciones estratgicas, o que puedan afectar la
reputacin de la entidad. Los administradores principales esperan ser
advertidos de las deficiencias de control que afectan sus unidades.
Los protocolos son establecidos por los supervisores, quienes les definen a
los subordinados qu asuntos deben informarse. El grado de especificidad
variar, usualmente incrementndose a los niveles bajos de la organizacin.
Puesto que los protocolos de informacin pueden inhibir los reportes
efectivos si la definicin hecha es demasiado estrecha, ellos pueden
engrandecer el proceso de informacin si se les provee de la flexibilidad
suficiente.
23
AUDITORIA I
INFORME COSO II - GESTION DE RIESGO CORPORATIVO (ERM)
ANTECEDENTES
Hacia fines de Septiembre de 2004, como respuesta a una serie de
escndalos, e irregularidades que provocaron prdidas importante a
inversionistas, empleados y otros grupos de inters.
Nuevamente el Committee of Sponsoring Organizations of the Treadway
Commission, public el Enterprise Risk Management - Integrated Framework
y sus aplicaciones tcnicas asociadas.
Ampla el concepto de control interno, proporcionando un foco ms robusto
y extenso sobre la identificacin, evaluacin y gestin integral de riesgo.
24
AUDITORIA I
En septiembre de 2004 se publica el estudio ERM (Enterprise Risk

Management) como una ampliacin de Coso 1, de acuerdo a las
conclusiones de los servicios de Pricewaterhouse a la comisin.
DEFINICION
La administracin de riesgos es un proceso efectuado por la junta de
directores de una entidad, por la administracin y por otro personal aplicado
en el establecimiento de la estrategia ya travs del emprendimiento,
diseado para identificar los eventuales potenciales que pueden afectar la
entidad, y para administrar los riesgos que se encuentran dentro de su
apetito por el riesgo a fin de proveer seguridad razonable en relacin con el
logro de los objetivos de la entidad.
El COSO II pretende ser una herramienta para la administracin de riesgos
empresariales al desarrollar principios integrales, terminologa comn y una
gua prctica de implementacin, que soporte los programas en las
entidades, para desarrollar el proceso de la administracin de riesgos.
OBJETIVOS
Objetivos estratgicos. Se trata de los objetivos establecidos al ms

alto nivel, y relacionados con el establecimiento de la misin y visin
de la compaa.
Objetivos operativos. Se trata de aquellos relacionados directamente
con la eficacia y eficiencia de las operaciones, incluyendo por
supuesto 0 objetivos relacionados con el desempeo y la
rentabilidad.
Objetivos relacionados con la informacin suministrada a terceros. Se

trata de aquellos objetivos que afectan a la efectividad del reporting
de la informacin suministrada (interna y externa) y va ms all de la
informacin estrictamente financiera.
Objetivos relacionados con el cumplimiento regulatorio. Se trata de
aquellos objetivos relacionados con el cumplimiento por parte de la
compaa con todas aquellas leyes y regulaciones que le son
aplicacin
BENEFICIOS
Conocimiento ms exhaustivo de los riesgos que afectan a la organizacin,
desde diversos puntos de vista (riesgos estratgicos, de reputacin,
operativos, regulatorios, de reporting, financieros.)
Gestin ms eficaz del control sobre los riesgos, ya que permite estar
prevenido y anticiparse a los mismos.
25
AUDITORIA I
Identificacin proactiva y aprovechamiento de oportunidades de

diferenciacin frente a competidores.
Respuesta ms rpida y mejor a los cambios en el entorno a los
mercados y a las expectativas de los grupos de inters.
Ayuda en el cumplimiento con las exigencias del regulador en materia
de gestin y control de los riesgos del negocio.
Asignacin mejor y ms eficiente de recursos para la gestin de
riesgos y oportunidades.
Toma de decisiones "ms segura", evitando "sorpresas" derivadas de
riesgos no identificados.
Mejor previsin del posible impacto de los riesgos que afectan a la
organizacin.
Mayor identificacin de oportunidades por parte de la direccin.
Establecimiento de una base comn para la comprensin y gestin
del riesgo en la organizacin y, especialmente, en el consejo de
administracin.
Aumento de la credibilidad y confianza ante los mercados y los
diversos grupos de inters.
Mejora de la reputacin corporativa de la compaa.
Mayor probabilidad de xito de la implantacin de la estrategia.
COMPONENTES DEL COSO II

A diferencia del COSO I, este COSO se compone de 8 elementos:
1. Ambiente de control
2. Establecimiento de objetivos
3. Identificacin de eventos
4. Valoracin de riesgos
5. Respuesta al riesgo
6. Actividades de control
7. Informacin y comunicacin
8. Monitoreo
COMPONENTES CLAVES DE ERM
26
AUDITORIA I
Ambiente de control:
Constituye la base de todos de los componentes de gestin de riesgos.
Proporciona disciplina y estructura e influye en la forma como deben ser
establecidas las estrategias y objetivos organizacionales, como se deben
estructurar las actividades empresariales y la forma como los riesgos se
deben identificar, evaluar y tratar. Asimismo, determina el diseo y
funcionamiento de las actividades de control, los sistemas de informacin y
las actividades de monitoreo. El ambiente interno determina la forma como
las personas en las organizaciones deben percibir y a afrontar el control y el
riesgo. Establece como base fundamental de la empresa a las personas
(integridad, los valores ticos y la competencia) y el entorno en el que
actan. El ambiente interno incluye: la filosofa de la gestin de riesgos, el
apetito de riesgo, la integridad y los valores ticos, el compromiso por la
27
AUDITORIA I
competencia, estructura organizacional, asignacin de autoridad y

responsabilidad, y normas para recursos humanos.
Establecimiento de objetivos:
Los objetivos en la compaa deben ser definidos antes de que se
determinen los riesgos que puedan afectar el logro de los mismos. Los
objetivos se definen a escala estratgica, definiendo con ellos una base para
los objetivos operativos, de informacin y de cumplimiento. Las
organizaciones se enfrentan a riesgos internos y externos; una condicin
fundamental para la identificacin, evaluacin y respuesta hacia los riesgos,
es fijar los objetivos que deben estar alineados con el riesgo aceptado por la
compaa. La gestin de riesgos empresariales asegura que la direccin ha
definido un proceso para fijar objetivos, que los objetivos seleccionados
apoyan la misin de la entidad y se alinean con ella, y que se es consistente
con el riesgo aceptado. Los objetivos se dividen en cuatro categoras:
Objetivos estratgicos: se relacionan con las metas de alto nivel,
alineados con y apoyando la misin.
Objetivos operacionales: relacionados con la efectividad y eficiencia
de las operaciones de la compaa. Incluyen metas de desempeo y
de rentabilidad.
Objetivos de informacin (presentacin de reportes): relacionados con
la efectividad de la presentacin de reportes de la organizacin.
Incluyen reporte interno y externo e informacin financiera y no
financiera.
Objetivos de cumplimiento: relacionadas con el cumplimiento de
leyes y regulaciones aplicables.
Identificacin de Riesgos:
La administracin identifica eventos potenciales, que en caso de
materializarse, afecten la compaa, y determina si representan
oportunidades o si pueden afectar negativamente la capacidad de la
empresa para llevar a cabo su estrategia y lograr los objetivos. Las
oportunidades se redireccionan hacia la estrategia o hacia los procesos para
fijar objetivos Los factores internos y externos que pueden generar riesgos a
la organizacin, incluyen: Factores externos: econmicos,
medioambientales, polticos, sociales, y tecnolgicos. Factores internos:
infraestructura, personal, procesos, tecnologa. Algunas tcnicas para la
identificacin de riesgos son: inventarios de riesgos (comunes a empresas
de un determinado sector, o a un proceso o actividad especfica), anlisis
interno (mediante reuniones con el personal), dispositivos de escala o
umbral (dispositivos que alertan a la direccin respecto a reas con
problemas comparando transacciones o eventos actuales con criterios
predefinidos), talleres de trabajo o entrevistas, anlisis de flujo del proceso,
indicadores de eventos importantes y metodologa para datos de eventos
con prdidas (registro de eventos)
Valoracin o Evaluacin de riesgos:
La evaluacin de riesgos facilita a la administracin el entendimiento de la
forma como los riesgos potenciales podran impactar la consecucin de los
28
AUDITORIA I
objetivos. Los riesgos se evalan desde una doble perspectiva (probabilidad

e impacto), mediante la combinacin de mtodos cualitativos y
cuantitativos. Los riesgos se evalan en un doble enfoque: riesgo inherente
(aquel que una entidad enfrente en ausencia de controles para mitigar su
probabilidad o impacto) y riesgo residual (es el riesgo que permanece
despus de que la administracin ha implementado medidas de control).Las
tcnicas cualitativas para la evaluacin de riesgos, generalmente se utilizan
cuando los riesgos no facilitan su cuantificacin o cuando no hay disponible
datos suficientes y confiables para una evaluacin cuantitativa o la
obtencin y anlisis de ellos no resulte eficaz por su alto costo.
Respuesta al riesgo:
Las tcnicas cuantitativas otorgan ms precisin y se usan en actividades
complejas, para complementar las tcnicas cualitativas. Algunos ejemplos
de tcnicas cuantitativas de evaluacin de riesgos son:
o Benchmarking: proceso comparativo entre entidades, que enfoca
eventos o procesos concretos y compara medidas y resultados.
o Modelos probabilsticos: se evala la probabilidad e impacto a partir
de datos histricos o resultados simulados que reflejan hiptesis de
comportamiento futuro.
o Modelos no probabilsticos: aplican hiptesis subjetivas para estimar
el impacto de eventos sin una probabilidad asociada cuantificada.
Las categoras de respuesta al riesgo son:
o Evitarlo: Se toman acciones de modo de descontinuar las actividades
que generan riesgo
o Reducirlo: Se toman acciones de modo de reducir el impacto, la
probabilidad de ocurrencia del riesgo o ambos.
o Compartirlo: Se toman acciones de modo de reducir el impacto o la
o probabilidad de ocurrencia al transferir o compartir una
porcin del riesgo.
o Aceptarlo: No se toman acciones que afecten el impacto y
probabilidad de ocurrencia del riesgo.
Al seleccionar la respuesta al riesgo, se debe analizar el efecto sobre la
probabilidad y sobre el impacto, as como los costos y beneficios y,
finalmente, se debe seleccionar aquella respuesta al riesgo que site el
riesgo residual dentro de la tolerancia hacia el riesgo definida por la
empresa.
Actividades de control:
Son las polticas y procedimientos que ayudan a asegurar que se lleven a
cabo las medidas seleccionadas en respuesta a los riesgos identificados. Las
actividades de control se desarrollan en todos los niveles y en todas las
funciones. Incluye actividades como: aprobaciones, autorizaciones,
verificaciones, conciliaciones, segregacin de funciones, seguridad de los
activos y revisiones de funcionamiento operativo.
Informacin y comunicacin:
29
AUDITORIA I
Las organizaciones deben identificar, captar y comunicar informacin

relevante, en un modo y plazo tal, que las personas pueda llevar a cabo sus
responsabilidades. La informacin es necesaria en todos los niveles, para
poder identificar, evaluar y responder a los riesgos. Todos los funcionarios
de la organizacin deben recibir un mensaje claro de la direccin, de
considerar de forma seria las responsabilidades de gestin de los riesgos
organizacionales, con el fin de que puedan entender su papel en dicha
gestin y cmo las actividades individuales se relacionan con las actividades
de los dems. Debe existir en las organizaciones, medios eficaces para
comunicar hacia arriba la informacin significativa; as como medios que
permitan un comunicacin adecuada con terceros (clientes, proveedores,
reguladores y accionistas).
Monitoreo:
La gestin de riesgos empresariales se debe monitorear, con el fin de
determinar la presencia y funcionamiento de sus componentes a travs del
tiempo, mediante actividades permanentes de supervisin, evaluaciones
independientes o una combinacin de ambas. El alcance y frecuencia de las
evaluaciones, depender de la evaluacin de riesgos y la eficacia de los
procedimientos de supervisin permanente.
LIMITACIONES DEL COSO II
Las limitaciones inherentes al sistema de control interno, son las mismas
que tienen los sistemas de administracin de riesgos:
Juicios humanos en la toma de decisiones.

Resquebrajamientos: Fallas humanas (errores y equivocaciones)
Colusin de dos o ms personas.
Desbordamiento (violacin) del sistema de control interno por parte
de la administracin.
Anlisis costo beneficio de los controles.
Eventos externos que afecten negativamente el negocio
30
AUDITORIA I
COSO III
ACTUALIDAD
En mayo del 2013 se ha publicado la tercera versin COSO III. Las
novedades que introducir este Marco Integrado de Gestin de Riesgos son:
Mejora de la agilidad de los sistemas de gestin de riesgos para

adaptarse a los entornos
Mayor confianza en la eliminacin de riesgos y consecucin de
objetivos
Mayor claridad en cuanto a la informacin y comunicacin.
El pasado 14 de mayo se public la actualizacin de COSO I. Ya es oficial, el

Committe of Sponsoring Organizations of the Tread way Commission acaba
de publicar la esperada actualizacin del Marco sobre Control Interno
editado en 1992.
ETAPAS
No puede decirse que haya sido una labor breve, pues como en la propia
powerpoint que ha sido difundida por el citado Committe las etapas para
conseguirlo han sido:
2010. Evaluacin y encuestas a las partes interesadas.
1011. Diseo y estructura marco actualizado
2012. Exposicin pblica, evaluacin y mejoras
2013. Finalizacin.
CAMBIOS
El camino recorrido en la actualizacin ha permitido que se haya podido
seguir con detalle la evolucin de los cambios que finalmente se han
materializado, por lo que la primera conclusin es que esta nueva edicin no
aporta sorpresas, pues sus previsibles modificaciones la hemos podido
conocer a lo largo del proceso, fundamentalmente desde la exposicin
pblica del borrador sometido a consulta.
31
AUDITORIA I
Aunque a continuacin podamos verlo con algn detalle, podemos decir que
los 5 componentes de Control Interno no varan con respecto al Marco
original de 1992. No obstante, los principios y puntos de enfoque s que han
introducido cambios claves todos ello con el objetivo de mejorar y facilitar la
implantacin y mantenimiento de Sistema de Control Interno.
A continuacin enumeramos dichos cambios:
Se aplica un enfoque basado en 17 principios.

Aclara la necesidad de establecer los objetivos estratgicos como
condicin previa a la fijacin de los objetivos de Control Interno.
Refleja la relevancia incrementada de la Tecnologa de la Informacin
Fortalece los conceptos de Gobierno Corporativo.
Ampla el objetivo del reporte financiero, pasando a ser reporte en
general.
Fortalece la consideracin de las expectativas contra el fraude.
Considera los diferentes modelos de negocio y estructuras
organizacionales.
PRINCIPIOS
A continuacin detallamos estos diecisiete principios con los que
implementar un adecuado Control Interno, relacionndolos con sus
correspondientes elementos:
Entorno de Control
1. La Organizacin ha de demostrar su compromiso con la integridad y
los valores ticos.
2. El Consejo de Administracin debe demostrar independencia en la
gestin y ejercer la supervisin del desarrollo y ejecucin del control
interno.
3. La alta direccin debe establecer, con la supervisin del Consejo de
Administracin: la estructura, lneas de reporting, autoridad y
responsabilidad en la consecucin de objetivos.
4. En sinfona con los objetivos, la Organizacin debe demostrar su
compromiso para atraer, desarrollar, y retener personas
competentes.
5. En la consecucin de los objetivos, la Organizacin debe disponer de
personas responsables para atender sus responsabilidades de Control
Interno.
Evaluacin de Riesgos
6. La Organizacin ha de especificar los objetivos con suficiente claridad
para permitir la identificacin y evaluacin de los riesgos
relacionados.
7. La Organizacin debe identificar y evaluar sus riesgos.
8. La Organizacin gestionar el riesgo de fraude.
32
AUDITORIA I
9. La Organizacin debe identificar y evaluar los cambios importantes

que podran impactar en el sistema de control interno.
Actividades de Control
10.La Organizacin ha de seleccionar y desarrollar actividades de control
o que contribuyan a la mitigacin de los riesgos para el logro de sus
objetivos.
11.La Organizacin seleccionar y desarrollar Controles Generales
sobre q Tecnologa de la Informacin
12.La Organizacin implementa sus actividades de control a travs de
polticas y procedimientos adecuados
Informacin y Comunicacin
13.La Organizacin ha de generar la informacin relevante para
respaldar el funcionamiento de los otros componentes de Control
Interno.
14.La Organizacin compartir internamente la informacin, incluyendo
los objetivos y responsabilidades para el control interno, necesaria
para respaldar el funcionamiento de los otros componentes de
Control Interno.
15.La Organizacin comunicar externamente las materias que afecten
al funcionamiento de los otros componentes de Control Interno.
Actividades de Monitorizacin
16.La Organizacin llevar a cabo evaluaciones continuas e individuales,
con el fin de comprobar si los componentes del control interno estn
presentes y estn funcionando.
17.La Organizacin evala y comunica las deficiencias de control interno.
Principios que lgicamente introducen ciertos cambios en los componentes
del Control Interno, de los que destacaramos el correspondiente a la
evaluacin de los riesgos que, a partir que ahora, han de incluir los
conceptos de velocidad y persistencia de los riesgos como criterios para
evaluar la criticidad de los mismos.
La velocidad de riesgo se refiere a la rapidez con la que impacta un
riesgo en la organizacin una vez este se ha materializado, es decir,
hace referencia al ritmo con el que se espera que la entidad
experimente el impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto
despus de que le riesgo se haya materializado.
Adicionalmente a la actualizacin de los 5 componentes de Control Interno,
tambin se ha modificado la informacin acerca de los participantes en el
proceso, tales como:
33
AUDITORIA I
Las responsabilidades del CEO y CFO para que formalmente asuman

la efectividad del control interno en ciertas jurisdicciones.
La actividad a desarrollar por los distintos tipos de Comits y su
campo de actuacin
Se insiste en la necesidad de incorporar, aparte de los auditores
externos, a otros proveedores de aseguramiento evaluadores con los
que completar los diferentes tipos de revisin que puede realizar una
entidad sobre su control interno (riesgos medioambientales, prcticos
de comercio justo o seguridad laboral, entre otros).
Se recogen las exigencias reguladoras y legislativas, como por
ejemplo Sarbanes-Oxley o el Sistema de Control Interno de la
Informacin Financiero espaol, sobre la informacin distribuida a los
mercados, por la que la Gerencia de las compaas deben certificar la
eficacia del control interno de su compaa sobre el reporte
financiero.
Se incluye una seccin especfica para los proveedores externos de
servicios, sealando que la Direccin no puede olvidar su
responsabilidad en la gestin de los riesgos de los procesos
externalizados. Debiendo implantar un programa para evaluar dichas
actividades realizadas por otros en su nombre, y evaluar la eficacia
del sistema de control interno sobre las actividades realizadas por los
proveedores externos de servicios.
Como vemos los cambios no son complicados de entender, ya que son

consecuencia de la evolucin acontecida a lo largo de los 20 aos de
existencia de este protocolo. En concreto, y en opinin de los expertos que
han opinado sobre el tema, debido fundamentalmente por:
La variacin de los modelos de negocio como consecuencia de la
globalizacin.
Una mayor necesidad de informacin a nivel interno, fruto de los
cambios cada vez ms rpidos en el entorno.
El incremento del nmero y complejidad de las normativas aplicables
al mundo empresarial a nivel internacional.
Las nuevas expectativas sobre la responsabilidad y competencias de
los gestores de las organizaciones.
El incremento de las expectativas de determinados grupos de inters
(inversores, los reguladores, etc.) sobre la prevencin y deteccin del
fraude.
El uso de las nuevas tecnologas y su constante desarrollo.
Las nuevas exigencias de los reguladores y otros grupos de inters en
relacin a la fiabilidad de la informacin reportada.
Motivos por lo que, el nuevo COSO no nos obligar a introducir cambios
inesperados en los procedimientos de Control Interno aplicables en las
Organizaciones, pues lo que esta nueva edicin representa la
materializacin formal de los cambios que evolutivamente se haban
observado necesarios introducir con los que eficiencia el Control Interno de
nuestras empresas, sin olvidar la inter-relacin que existe entre el
34
AUDITORIA I
denominado COSO II (ERM) y el COSO I, que ahora se ve explcitamente

reconocida.
Gua para la Implementacin del Sistema de Control

Interno de las entidades del Estado
RESOLUCIN DE CONTRALORA N 458-2008-CG
Rene lineamientos, herramientas y mtodos y, expone con mayor amplitud
los conceptos utilizados en las Normas de Control Interno; con la finalidad
de orientar su efectiva y adecuada implementacin, y para coadyuvar a la
mejora de la gestin pblica y al logro de los objetivos y metas
institucionales.
Resumen:
La Gua para la Implementacin del Sistema de Control Interno de las
entidades del Estado tiene como objetivo principal proveer de lineamientos,
herramientas y mtodos a las entidades del Estado para la implementacin
de los componentes que conforman el Sistema de Control Interno (SCI)
establecido en las Normas de Control Interno (NCI). As tambin se pueden
sealar los objetivos siguientes:
Servir de referencia para la implementacin o adecuacin del Sistema

de Control Interno, y
35
AUDITORIA I
Promover la aplicacin de una estructura de control interno uniforme

que se adapte a cada entidad
La Contralora General de la Repblica (CGR) ha elaborado la presente gua
con la finalidad que este constituya un documento que permita una
adecuada implementacin del Sistema de Control Interno (SCI), as como
dar orientacin sobre herramientas de gestin que se podran implementar
de acuerdo con la naturaleza y recursos de las entidades.
Con la finalidad de fortalecer la organizacin y contribuir al logro de sus
objetivos, la gua considera tres fases para el proceso de implementacin
del Sistema de Control Interno (SCI):
La primera fase es la Planificacin, la cual tiene como objetivo la
formulacin de un Plan de Trabajo que incluya los procedimientos
orientados a implementar adecuadamente el SCI, en base a un
diagnstico previamente elaborado. Son aspectos inherentes a esta
fase asegurar el compromiso de la Alta Direccin y la conformacin
de un comit de Control Interno;
La segunda fase es la Ejecucin, en la que se implantar el SCI en sus
procesos, actividades, recursos, operaciones y actos institucionales,
para lo cual la entidad procede al desarrollo del Plan de Trabajo para
la implantacin del SCI;
La tercera fase es la Evaluacin, en la que se evalan los avances
logrados y las limitaciones encontradas en el proceso de
implementacin como parte de la autoevaluacin mencionada en el
componente de Supervisin.
1. PLANIFICACIN
En esta fase se considera la importancia de establecer el compromiso de
todos los niveles organizacionales de la entidad y se plantea la
formalizacin de dicho compromiso mediante documentos que reflejen las
acciones a seguir para la implementacin. Entre las acciones sugeridas en
esta fase, estn la formulacin de un Diagnstico de la situacin actual del
SCI de la entidad, lo que facilitar la posterior elaboracin de un Plan de
Trabajo. Este comprende las acciones apropiadas que deben seguirse para
la implementacin del SCI que asegure razonablemente su efectivo
funcionamiento. Para ello se plantean como condiciones previas la
necesidad de contar con el Compromiso formal y por escrito de la Alta
Direccin con el proceso de implementacin y la constitucin de un Comit
de Control Interno responsable del mismo.
COMPROMISO DE LA ALTA DIRECCIN
Es importante que el Titular y la Alta Direccin se comprometan
formalmente en la implementacin del SCI, as como velar por su eficaz
funcionamiento. Para ello se sugiere que las entidades cuenten con un
documento que evidencie dicho compromiso en relacin con el proceso de
implementacin, para lo cual se sugiere elaborar un Acta de Compromiso u
otro documento similar, as como la designacin formal de los responsables.
En tal sentido el comit constituye una instancia a travs de la cual se
monitorea el proceso de implementacin del SCI.
36
AUDITORIA I
Acta de compromiso
La Alta Direccin deber suscribir y difundir en toda la entidad el Acta de
Compromiso, la que pone de manifiesto la necesidad e importancia de
implementar un SCI eficaz. En dicho documento se deber invocar a todos
los servidores y funcionarios, que conforman la entidad, para que participen
activamente en la implementacin del SCI. El Acta deber incluir la
conformacin de un comit encargado de dirigir la adecuada
implementacin del SCI.
Constitucin del Comit
Un paso importante para implementar un SCI eficaz es la constitucin de un
Comit de Control Interno encargado de poner en marcha las acciones
necesarias para la adecuada implementacin del SCI y su eficaz
funcionamiento, a travs de la mejora continua.
DIAGNSTICO
El Diagnstico se presenta como un medio de anlisis para determinar el
estado situacional actual del SCI, con respecto a lo establecido por las NCI
aprobadas por la CGR. Habindose establecido los compromisos de la Alta
Direccin para el proceso de implementacin del SCI, el Comit de Control
Interno tendr a su cargo la realizacin de un Diagnstico que, mediante la
recopilacin, estudio y anlisis del sistema de control interno existente en la
entidad, permitir tomar conocimiento de su situacin actual y de su grado
de desarrollo. El Diagnstico que constituye una etapa previa al proceso de
implementacin del SCI en todos los niveles de la organizacin, debe ser
realizado bajo el enfoque conocido como top down (descendente, de lo
general hacia lo particular), esto quiere decir que se empieza con un
diagnstico de los controles que estn a un nivel general de la entidad, para
luego pasar de manera progresiva a los controles que estn a nivel de
procesos o actividades. Los resultados del Diagnstico deben permitir a la
entidad conocer las acciones necesarias a seguir para dar inicio a la etapa
de en implementacin del SCI. Para ello, como parte del diagnstico, se
deber evaluar, entre otros aspectos:
a. el nivel de desarrollo y organizacin del SCI;
b. los elementos de control que conforman el sistema existente;
c. las deficiencias, vacos y oportunidades de mejora que presenta el
sistema;
d. los ajustes o modificaciones que deben desarrollarse;
e. los componentes y normas de control que deben ser
implementados;
f. las prioridades en la implementacin (identificacin de los
principales procesos o crticos);
g. una estimacin de los recursos econmicos, materiales y de
personal requeridos para z la implementacin,
h. los lineamientos a considerar por el equipo institucional para su plan
de trabajo.
Los resultados deben ser plasmados en un informe que ser presentado a la
Alta Direccin de la entidad, el mismo que contendr conclusiones y
recomendaciones, producto del anlisis realizado. Tal informacin constituir
37
AUDITORIA I
la base para la formulacin del Plan de Trabajo para la implementacin del

SCI.
Programa de trabajo
Para dar inicio al proceso de diagnstico, ser necesario que el Comit
elabore y apruebe un programa de trabajo, el cual contendr las actividades
a desarrollar y su cronograma.
El programa contemplar, entre otros, lo siguiente:
Objetivos del diagnstico

Alcance del diagnstico: Controles a nivel entidad o general bajo el
marco de las NCI
Descripcin de las actividades a desarrollar
Cronograma de trabajo (con fechas programadas de inicio y trmino)
Responsable de cada actividad.
Recopilacin de informacin
Se deber identificar, clasificar y seleccionar la informacin interna de tipo
documental que regule o contenga informacin relacionada con los
controles establecidos en la entidad, as como sobre sus procesos. Algunos
de los documentos ms comunes a consultar son:
Organigrama
Manuales (de organizacin y funciones, de procedimientos, entre
otros)
Polticas institucionales
Acuerdos, oficios, circulares y lineamientos internos
Principales metas y objetivos
Reportes estadsticos e indicadores
Informacin financiera y presupuestal
Evaluaciones, diagnsticos, informes situacionales, entre otros
Observaciones, y recomendaciones de auditora interna y externa.
Asimismo, existen tcnicas (verbales, oculares, documentales y escritas)

que permitirn obtener mayor informacin.
1. Verbales: Consisten en obtener informacin oral mediante
averiguaciones o indagaciones dentro o fuera de la entidad, sobre
posibles debilidades en la aplicacin de los procedimientos, prcticas
de control interno u otras situaciones que el evaluador considere
relevantes. Algunas tcnicas verbales pueden ser:
Indagacin: consiste en la averiguacin mediante la

aplicacin de entrevistas directas al personal de la entidad o
a terceros.
Encuestas: cuestionarios o listas de verificacin: es la
aplicacin de preguntas, relacionadas con las acciones
38
AUDITORIA I
realizadas por la entidad, para conocer la verdad de los

hechos, situaciones u operaciones.
2. Oculares: Consisten en verificar en forma directa y paralela, la

manera cmo los responsables desarrollan y documentan los
procesos o procedimientos, mediante cuales la entidad ejecuta sus
actividades. Algunas tcnicas oculares pueden ser:
Observacin: consiste en la contemplacin a simple vista,

que realiza el equipo de trabajo durante la ejecucin de una
actividad o proceso
Comparacin o confrontacin: es cuando se fija la atencin
en las operaciones realizadas por la entidad y se contrastan
con los lineamientos normativos de control establecidos
para ello, pudiendo descubrir sus relaciones e identificar sus
diferencias.
Revisin selectiva: radica en el examen de ciertas
caractersticas importantes que debe cumplir una actividad,
informes o documentos, seleccionndose as parte de las
operaciones que sern evaluadas o verificadas.
3. Documentales: Consisten en obtener informacin escrita para

soportar las afirmaciones, anlisis o estudios realizados por el
evaluador. Estas pueden ser:
Comprobacin: consiste en verificar la evidencia que apoya o

sustenta las operaciones evaluadas, con el fin de corroborar
su autoridad, legalidad, integridad, propiedad, veracidad.
Revisin analtica: consiste en el anlisis de ndices,
indicadores, tendencias y la investigacin de las
fluctuaciones, variaciones y relaciones que resulten
inconsistentes o se desven de las operaciones
pronosticadas.
4. Escritas: Consisten en reflejar informacin importante para el trabajo

del evaluador, tal como las que se sealan a continuacin:
Anlisis: consiste en la separacin de los elementos o partes

que conforman una operacin, actividad, o proceso, con el
propsito de establecer sus propiedades y conformidad con
los criterios de orden normativo y tcnico; permite identificar
y clasificar para su posterior anlisis, todos los aspectos de
mayor significacin y que en un momento dado pueden
afectar la operatividad de la entidad; por ejemplo, el anlisis
de las NCI versus las polticas normativas internas
establecidas por la entidad
Confirmacin: radica en corroborar la verdad, certeza o
probabilidad de hechos, situaciones, sucesos u operaciones,
mediante datos o informacin obtenidos de manera directa y
por escrito de los funcionarios o terceros que participan o
ejecutan las operaciones; por ejemplo, se puede confirmar a
39
AUDITORIA I
travs de encuestas que el personal de la entidad desconoce

el accionar del control interno en las operaciones que realiza
Tabulacin: se realiza mediante la agrupacin de los
resultados importantes obtenidos en las reas y elementos
analizados para arribar o sustentar las conclusiones; por
ejemplo, las encuestas realizadas al personal de la entidad
pueden ser tabuladas con la finalidad de cuantificar los
resultados.
Anlisis de informacin
El Comit de Control interno efectuar el anlisis a la informacin obtenida
como resultado de la aplicacin del programa de trabajo, con el fin de
identificar las debilidades de control que presente el SCI de la entidad, en
relacin con las NCI. Para ello se recomiendan algunas herramientas que
van a facilitar el anlisis de la informacin, las cuales podrn ser utilizadas
en forma individual o combinada, tales como las que se sealan a
continuacin.
Pruebas selectivas.
Permiten simplificar la labor total de evaluacin mediante la seleccin de
muestras que a juicio del evaluador sean representativas del alcance total
de la revisin.
Es factible tambin que se puedan aplicar tcnicas de muestreo con la
finalidad de obtener una seleccin adecuada. A la muestra seleccionada se
le aplicarn pruebas con la finalidad de identificar las debilidades de control
respectivas. Por ejemplo, de todos los procesos que tiene la entidad se
debern seleccionar algunos.
De existir debilidades en stos, se podr concluir sobre el resto del universo.
Entrevistas
La entrevista es una de las fuentes primarias de informacin para la
obtencin de informacin sobre polticas de control que podran estar
pendientes de implementacin. Las entrevistas podrn ser desarrolladas a
nivel personal o grupal.
Encuestas
Las encuestas son tiles para obtener informacin estadstica sobre una
muestra representativa de las unidades de informacin seleccionadas
(personal, jefes, gerentes, directores, entre otros) que componen el universo
de evaluacin. La informacin que se obtenga como resultado de su
aplicacin podr ser organizada de forma cuantitativa y cualitativa.
El anlisis de esta informacin permitir obtener debilidades de control
interno que no se hayan podido identificar mediante pruebas o revisiones
selectivas. Por ejemplo, se puede desarrollar encuestas de percepcin al
personal de la entidad sobre el funcionamiento del SCI en la entidad; los
40
AUDITORIA I
mismos que podran brindar informacin sobre el deficiente funcionamiento

de algunos controles establecidos por la entidad.
Cuestionarios y listas de verificacin
El desarrollo de cuestionarios y listas de verificacin ser con base en
criterios, normas de control, buenas prcticas y otros aspectos adicionales
que el evaluador considere que la entidad deba cumplir.
La informacin que se obtenga como resultado de la aplicacin de estas
herramientas podr ser:
Validada a travs de pruebas de verificacin,

Analizada a travs de tcnicas cualitativas y cuantitativas.
Los cuestionarios y listas de verificacin Los cuestionarios y listas de

verificacin debern ser desarrollados con apoyo de todas las unidades,
gerencias y jefaturas de la entidad.
Anlisis Normativo
Como parte del diagnstico se realizar un anlisis de la normativa interna
que existe con respecto de las NCI. ste consistir en elaborar una
concordancia del marco normativo interno de la entidad (resoluciones,
directivas, reglamentos entre otros) con las NCI. La normativa interna viene
dada por aquellos procedimientos, actividades, tareas y controles que
regulan las operaciones de la entidad para el logro de los objetivos
institucionales.
El anlisis de la normativa interna deber ser realizado considerando los
objetivos de cada uno de los componentes de las NCI.
A continuacin se presenta en el Cuadro 1 un modelo de Concordancia
Normativa del SCI.
Identificacin de Debilidades y Fortalezas
Finalmente, tomando en consideracin el anlisis efectuando a la entidad
con respecto a las NCI, se podr mostrar los resultados de forma agrupada,
por cada componente, identificando las debilidades (con sus causas) y las
fortalezas del SCI.
41
AUDITORIA I
Informe Diagnstico
Es el documento que contiene los resultados del diagnstico al SCI, el cual
se presentar al titular o a quien haga sus veces. Su objetivo es
proporcionar informacin a la Direccin para su toma de decisiones en lo
que respecta a la adecuada implementacin y mejora del SCI.
Previo a su presentacin, debe haber sido discutido por el equipo de trabajo
responsable del diagnstico y puesto a consideracin de la Direccin de la
entidad para su validacin.
Entre otros aspectos, el Informe de Diagnstico permitir establecer:
El nivel de desarrollo, organizacin y vigencia del SCI actual

Los elementos de control que conforman el SCI existente
Las deficiencias, vacos y oportunidades de mejora que presenta el
SCI en operacin
Los ajustes o modificaciones que deben efectuarse
Los componentes y normas de control que deben ser implementados,
y su priorizacin
Identificacin de los principales procesos y reas crticas
Las normas internas pendientes a implementar o actualizar
Una estimacin de los recursos econmicos, materiales y de personal
requeridos para la implementacin
Los lineamientos a considerar por el Comit de Control Interno para
su plan de trabajo
ESTRUCTURA DE INFORME DE DIAGNOSTICO
42
AUDITORIA I
PLAN DE TRABAJO
El Plan de Trabajo es el documento por el cual se definir el curso de accin
a seguir para la implementacin del SCI.
Como insumo principal para la elaboracin del Plan de Trabajo, se
considerarn los resultados proporcionados del Informe de Diagnstico
conducentes a la implementacin de las NCI.
Las acciones consideradas en el Plan de Trabajo deben guardar correlacin

con los planes operativos de la entidad, con el fin de asegurar los recursos
necesarios y la sostenibilidad del mismo.
Se debe considerar dos (2) fases en la elaboracin del Plan de Trabajo:
Descripcin de actividades y cronograma.

Desarrollo del Plan de Trabajo.
Descripcin De Actividades Y Cronograma

Se deber identificar las acciones conducentes a implementar del SCI. En
ese sentido, los pasos a seguir sern:
a) Identificar y designar a las personas responsables para el diseo del
plan, quienes a su vez debern definir las herramientas o medios
necesarios que les permitan alcanzar los objetivos a trazar en el plan;
b) Determinar los tiempos y plazos a considerar;
43
AUDITORIA I
c) Elaborar un cronograma de ejecucin de las actividades incluyendo la

fecha de culminacin.
Es necesario sealar que adicionalmente al Plan de Trabajo, se deberan
considerar otros documentos de coordinacin tales como: un cronograma
general, la estructura organizativa, los roles y responsabilidades y el plan de
comunicacin.
Desarrollo del Plan de Trabajo
Para su desarrollo de considerarn los siguientes aspectos:
a) Estructura organizativa
Establecer los niveles de autoridad y responsabilidad para el desarrollo y
ejecucin del plan de trabajo en concordancia con la planeacin. Dichas
responsabilidades y autoridades se deben definir claramente. A modo de
ejemplo, se puede asumir la estructura mostrada en el Cuadro siguiente.
b) Elaboracin del cronograma general

Documento por el cual se organiza de manera resumida el Plan de Trabajo
en sus diversas etapas y en los tiempos programados para su ejecucin.
Dicha informacin, adicional al conocimiento del desarrollo de la
implementacin de las NCI, brindar un mecanismo de control con respecto
del cumplimiento de los tiempos y grados de avance.
c) Elaboracin detallada del Plan de Trabajo.
Presentacin de las diversas fases que componen las etapas del plan de
trabajo, en la cual se describen las actividades a desarrollarse para la
consecucin del objetivo de implementar el SCI.
El Plan de Trabajo debe contemplar aspectos definidos por la Alta Direccin
y debe contener bsicamente:
Reglamento de Funciones
44
AUDITORIA I
Se elabora y formaliza sus objetivos y las funciones de sus

integrantes, estableciendo la metodologa y documentacin a
emplear, as como el lugar, periodicidad y horario de sus reuniones de
trabajo.
Provisin de recursos
El equipo de trabajo debe determinar objetivamente para cada una
de las actividades programadas los recursos que requerir para su
ejecucin. Al respecto, considerar que el costo de los insumos,
actividades e implementacin en general debe ser lo mnimo posible
y no mayor a los resultados o beneficios previstos.
Capacitacin
El equipo de trabajo debe definir las necesidades de capacitacin
para dar cumplimiento a los objetivos y actividades del Plan. La
capacitacin abordar los conceptos, caractersticas y dems
aspectos necesarios para el adecuado diseo, implementacin y
evaluacin de la estructura de control interno.
2. EJECUCIN
En esta etapa se sealaran pautas y buenas prcticas para la
implementacin o adecuacin de SCI de acuerdo a lo sealado por la
normativa vigente. Aqu se desarrollan detalladamente cada uno de los
componentes sealados en las NCI y se proponen herramientas que pueden
ayudar a la gestin de las entidades del Estado su implementacin.
El Comit o equipo encargado de la implementacin o adecuacin del SCI
empezar tomando en cuenta el Plan de Trabajo elaborado en la etapa de
planificacin.
La implementacin se desarrollar de manera progresiva tomando en
cuenta las siguientes fases:
Implementacin a nivel entidad
Implementacin a nivel de proceso.
IMPLEMENTACIN A NIVEL DE ENTIDAD

En esta fase se iniciar con el diseo e implementacin de aquellos
controles que estn a nivel entidad o general, estos afectan al mismo
tiempo a toda la entidad es decir a todos los procesos, actividades y
unidades de la organizacin.
En esta fase del proceso de implementacin, se establecer las polticas y
normativas de control necesarias para la salvaguarda de los objetivos
institucionales, bajo el marco de las NCI. Asimismo, esta fase ser previa a
la implementacin a nivel de procesos o actividades, ya que si no se
45
AUDITORIA I
disean e implementan los controles adecuados que afectan al

funcionamiento organizacional de la entidad no tendr sentido querer
establecer o disear controles que afecten a las actividades de los procesos
ya que los mismos no garantizarn el cumplimiento de los objetivos
institucionales; por ejemplo:
o Si no se cuenta con un adecuado plan estratgico que defina
claramente los objetivos institucionales en cumplimiento de la misin,
no se podrn establecer procesos y actividades eficaces que
produzcan logros y metas
o El no establecer polticas que fomenten y controlen los actos tica e
integridad en el personal, no se podr garantizar la disminucin actos
de corrupcin en las operaciones
o No se podr establecer y disear controles en las actividades y tareas
si previamente no se tiene identificado y documentados los procesos
de la institucin.
De esta manera el anlisis propuesto comienza con implementar primero el
SCI a nivel entidad para luego descender a implementar los controles que
regulan a los procesos y actividades.
De otro lado los resultados obtenidos en la etapa de planificacin sern de
utilidad para definir las polticas y disposiciones de control necesarias a
implementar, tomando en cuenta los lineamientos establecidos en las NCI.
Componentes sealados en las NCI:
Implementacin del componente ambiente de control
De acuerdo con las NCI, la importancia de este componente radica en el

establecimiento de una cultura de control interno mediante el ejercicio de
lineamientos y conductas apropiadas. El ambiente de control es la base que
sostiene a los dems componentes del control interno. Sin un slido
ambiente de control el adecuado establecimiento de los dems
componentes resulta ineficaz, tal como en toda buena construccin es
fundamental colocar buenos cimientos, ya que sin ellos sera imposible que
una construccin sea estable y duradera.
Implementacin del componente evaluacin de riesgos
Para implementar el presente componente se disear y aplicar una

metodologa para la administracin de riesgos, identificando, analizando,
valorando y dando respuesta a los riesgos que est expuesta la institucin,
optimizando los recursos disponibles a travs de la minimizacin de las
prdidas que pudieran presentarse como por la no consecucin de sus
objetivos.
Es preciso sealar que el presente componente permitir la identificacin de
riesgos a nivel de entidad y a nivel de procesos, para el primer caso estarn
en funcin a los objetivos institucionales de carcter general y el segundo
en funcin de los objetivos de cada proceso
46
AUDITORIA I
Implementacin del componente actividades de control

gerencial
La implementacin del componente actividades de control gerencial estar
relacionada con el anterior componente de evaluacin de riesgos y deber
ser aplicada de manera conjunta y en forma continua. Asimismo, las
actividades de control gerencial que se presentan en la NCI podrn ser
implementados tanto a nivel de entidad como a nivel de procesos.
Implementacin del componente de informacin y
comunicacin
El presente componente busca implementar los mecanismos y soportes de
la informacin y comunicacin dentro de una entidad.
Implementacin del componente supervisin
El presente componente permitir cerrar el proceso de control interno

dentro de una entidad buscando garantizar la adecuada implantacin de los
controles y su funcionamiento.
IMPLEMENTACIN A NIVEL DE PROCESOS
La adecuacin a una gestin por procesos por parte de la entidad, ser
fundamental para el desarrollo de una implementacin o mejoramiento de
controles a este nivel.
El tener identificados los procesos contribuye a que la entidad pueda
identificar debilidades y aportar en la eficiencia de las operaciones. El hecho
de contribuir a mejoras en la entidad, constituye el mejoramiento continuo a
travs del cual se logra ser ms productivo y competitivo.
Dado que un proceso tiene la capacidad de cruzar horizontal y
verticalmente a toda la entidad nos va a permitir conocer a toda la entidad
y focalizarnos en:
o Identificar los puntos crticos de riesgo operativo del proceso.
o Evaluar las tres E (eficiencia, eficacia y economa) de la entidad

sobre la base de objetivos estratgicos institucionales.
o Identificar y proponer acciones preventivas de la ocurrencia de

eventos no deseados (riesgos) y que sean preponderantes sobre los
correctivos.
o Promover la adopcin de mejoras evitando su proliferacin.
o Aplicar las NCI para evitar la discrecionalidad en el ejercicio de

facultades o en la aplicacin de recursos.
o Proponer mecanismos de autocontrol y autoevaluacin.
47
AUDITORIA I
PARA LA IMPLEMENTACIN DEL SCI A NIVEL DE PROCESOS SE

REQUIERE QUE AL MENOS LA ENTIDAD REALICE LOS
SIGUIENTES PASOS
a) La entidad debe tener pleno conocimiento de las condiciones
que identifican un proceso:
Debe describir las entradas y salidas
El proceso cruza uno varios lmites organizativos funcionales
Una caracterstica de los procesos es que son capaces de cruzar
vertical y horizontalmente toda la organizacin
Un proceso responde a la pregunta del qu? y no al cmo?
Debe ser fcilmente comprendido por cualquier persona de la entidad
El nombre asignado a cada proceso debe estar relacionado con los
conceptos y actividades que se realizan.
b) Identificacin de los procesos

Se debe contar con una lista de los procedimientos, actividades y tareas que
realiza la empresa, tomando en consideracin: El nombre asignado al
proceso debe ser representativo de lo que conceptualmente representa; la
totalidad de las actividades que desarrolla la empresa deben estar incluidas
en alguno de los procesos listados; la forma ms sencilla de identificar
procesos propios es tomar como referencia otras listas afines al sector en el
cual se mueven y trabajan sobre la misma aportando las particularidades de
cada uno.
Es conveniente que el equipo de trabajo a cargo identifique en el mismo
proceso los ciclos de Planificar-Hacer-Verificar-Actuar (Ciclo de mejora
continua).
c) Diagrama de Flujo
De acuerdo a las actividades identificadas en el proceso, ests debern
representarse a travs de un diagrama, en el que se puedan identificar con
claridad los subprocesos y flujos de informacin. Los diagramas debern
validarse por parte de los responsables de dichos proceso. El diagrama de
flujo es una descripcin grfica del proceso, que puede ser entendida por
todos los niveles de la entidad; se debe cuidar que reflejen fielmente las
actividades, nivel de personal responsable, tiempos de ejecucin tipo de
actividad, formato de la informacin y controles existentes, entre otros
aspectos.
d) Priorizacin de procesos
Una vez establecido la lista de los procesos de la entidad por el equipo de
trabajo se deber identificar los procesos crticos.
48
AUDITORIA I
Para la determinacin de los procesos crticos, el equipo de trabajo debe

calcular el impacto del proceso, para cada proceso a revisar, se debe
determinar una valoracin de la importancia del proceso tomando en cuenta
cuan involucrados se encuentran con los objetivos estratgicos y las metas
institucionales.
LA ENTIDAD IMPLEMENTAR ESTA FASE PROGRESIVAMENTE,

COMENZANDO CON SUS PROCESOS CRTICOS, PARA LUEGO SEGUIR
CON LOS RESTANTES, PARA ESTO EL COMIT O EQUIPO ENCARGADO
DE IMPLEMENTAR REALIZARA LO SIGUIENTE
Efectuar el seguimiento al proceso seleccionado, identificando
primero, los objetivos que estn involucrados en todo el proceso.
Seguidamente se identificar y evaluar los riesgos o eventos
negativos que dificulten el logro de los objetivos del proceso. El
anlisis de los riesgos consiste en la identificacin y anlisis de los
puntos crticos que podran afectar la consecucin de las metas y
objetivos de los procesos, se realizar sobre informacin registrada en
el diagrama de flujo, adems de la obtenida por observacin directa.
Asimismo, los elementos de control y los riesgos que se identifiquen,
sern sealados en los diagramas de flujo.
El desempeo de una entidad puede verse amenazado tanto por factores
internos como externos; dichos factores, a su vez, pueden incidir en las
metas y objetivos.
La evaluacin de riesgos de una entidad debe tener en cuenta eventos
adversos que puedan surgir, siendo esencial que los riesgos ms relevantes
sean identificados.
Despus de que se hayan identificado los riesgos del proceso deben llevarse
a cabo un anlisis y administracin de los mismos a travs de matrices y
mapas de riesgos.
Una vez clasificados y cuantificados los riesgos se deben identificar
los controles que permitiran mitigar los riesgos, para esto se debe
efectuar una evaluacin a la suficiencia de estos mediante pruebas
de cumplimiento, lo cual permitir implementar, disear y establecer
los controles necesarios. Asimismo, se deber tener en cuenta las
caractersticas y el cumplimiento de cada actividad de control con los
objetivos de control interno.
El equipo o comit de implementacin deber determinar criterios y
parmetros para medir el nivel del control en cuanto a criterios de
eficiencia, eficacia y economa.
e) Diagnstico al proceso
Es el resultado de la evaluacin de los controles actuales y de los riesgos del
proceso, los mismos que deben describirse en forma precisa y clara.
El diagnstico describe los aspectos especficos de la problemtica
detectada, las debilidades del sistema de control interno, as como los
49
AUDITORIA I
riesgos que pudieran afectar el cumplimiento de las metas y objetivos

establecidos para el proceso evaluado.
Como punto final del diagnstico es la incorporacin de las acciones de
mejoras a juicio del equipo de trabajo acorde a la normativa
correspondiente, sean las ms convenientes para prevenir o dar solucin de
raz a la problemtica y minimizar los riesgos detectados.
3. EVALUACIN DEL PROCESO DE IMPLEMENTACIN
Siguiendo el proceso de implementacin del SCI, la fase de evaluacin se
presenta de forma alternada y posterior a la evolucin de las fases de
planificacin y ejecucin.
Este proceso de evaluacin deber ser efectuado en concordancia con las
necesidades y consideraciones que la entidad establezca como pertinentes,
las cuales tendrn como objetivo principal determinar con certeza que los
procedimientos y mecanismos establecidos se desarrollen de forma
adecuada. En los casos que como producto de esta evaluacin se detecten
desviaciones o incumplimientos sustanciales, se deber tomar las medidas
que modifiquen los procedimientos para reorientar el cumplimiento del
objetivo programado.
El resultado de esta evaluacin busca obtener informacin que aporte a la
retroalimentacin en el proceso de implementacin del SCI. Para ello se
sugiere que el informe contenga como mnimo lo siguiente:
1. Objetivos: Se identificarn aquellos objetivos que se quiere lograr en la
presente evaluacin;
2. Alcance: Estar determinado por el periodo de evaluacin;
3. Cumplimiento del plan de trabajo: Se evaluar la utilidad que se le
ha dado, y cmo se han desarrollado las actividades en el proceso de
implementacin, as mismo, se examinar si es conveniente cambiar,
agregar o retirar alguna actividad que no sea indispensable. Tambin se
podr sealar sobre las dificultades o inconvenientes ocasionados durante
la ejecucin de las actividades y dems situaciones que deban ser
mencionadas;
4. Cronograma de actividades: Es necesario revisar los plazos de
ejecucin de las actividades que fueron programadas, si estas fueron
realizadas acorde al cronograma y si el tiempo fue suficiente para llevarlas
a cabo;
5. Recursos necesarios: Es importante determinar si los recursos
(humanos, logsticos y de informacin) han sido suficientes;
6. Desempeo de los equipos de trabajo y participantes: Se
evaluar el trabajo de los equipos designados o participantes en el
desarrollo de las diferentes actividades; se tendr en cuenta si se requiere
de una mayor participacin de la organizacin, con la finalidad de apoyar
labores especficas;
50
AUDITORIA I
7. Limitaciones o debilidades: Aquellas que hayan sido detectadas

durante la ejecucin de la implementacin;
8. Conclusiones y recomendaciones: Se incluirn aquellas acciones
correctivas que es necesario implementar para la mejora del proceso de
implementacin. Asimismo, en forma resumida se determinar el nivel de
implementacin alcanzado.
CONCLUSIONES
Despus de la realizacin del presente trabajo, hemos llegado a las
siguientes conclusiones:
El control interno comprende el plan de organizacin, los mtodos y
procedimientos que tiene establecidos una empresa o negocio, constituidos
en un todo para la obtencin de tres objetivos principales:
La obtencin de informacin financiera correcta y segura,
La salvaguarda de los activos y
La eficacia de las operaciones
51
AUDITORIA I
Es as como identificamos los principales componentes de control interno los

cuales son:
Ambiente de control.
Proceso de evaluacin del riesgo.
El sistema de informacin contable.
Actividades de control.
Monitoreo de los controles.
Los cuales son tiles para que el control interno funcione apropiadamente,
puesto que con la implantacin de un buen sistema de control interno,
reduce en gran medida los posibles riesgos que la entidad pueda tener, lo
que hace que el auditor tenga ms confianza y pueda disminuir las pruebas
en ciertas reas. En esencia el propsito final del control es,
fundamentalmente, preservar la existencia de cualquier organizacin y
apoyar su desarrollo. Los controles son procedimientos y medidas que se
aplican a acciones, actividades o procesos.
52

Sistema de Control Interno Final

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Sistema de Control Interno Final

Загружено:

Авторское право:

Доступные форматы

UNIVERSIDAD NACIONAL DE TRUJILLO

SISTEMA DE CONTROL INTERNO, BAJO METODOLOGA

INFORME COSO I - CONTROL INTERNO

fraudulentas y cuestionables. Esos mismos factores tambin influyen en la

Entre las tentaciones a los empleados para involucrarse en actos impropios

La manera ms efectiva de transmitir un mensaje de comportamiento tico

e) Consejo de directores o comit de auditoria

Una entidad que ha tenido xito asumiendo riesgos significativos puede

la competitividad y la satisfaccin del cliente. Tal delegacin acrecentada

o Objetivos de Operaciones.- Los objetivos de operaciones se

d) Consecucin de los objetivos

F = Frecuencia, veces probables en que el riesgo se concrete

CIRCUNSTANCIAS QUE DEMANDAN ATENCIN ESPECIAL

contados y comparados con las cantidades presentadas en los registros de

nfasis en la autonoma local y en la innovacin necesita tipos de controles

por tipo de cliente, participacin en el mercado, tendencias en las

Sistemas estratgicos e integrados

Hay necesidad de comunicacin oportuna no solamente con la entidad sino

Informacin para toma de decisiones

En el desarrollo de las actividades regulares de administracin, la

Los datos registrados mediante los sistemas de informacin se

Los seminarios de entrenamiento, las secciones de planificacin y

determinan la efectividad de los controles para sus actividades. El director

asociaciones de comercio o industriales. Los consultores administrativos

Realizar un conjunto de evaluacin por parte de todas las partes que

INFORME COSO II - GESTION DE RIESGO CORPORATIVO (ERM)

En septiembre de 2004 se publica el estudio ERM (Enterprise Risk

Objetivos estratgicos. Se trata de los objetivos establecidos al ms

Objetivos relacionados con la informacin suministrada a terceros. Se

Identificacin proactiva y aprovechamiento de oportunidades de

COMPONENTES DEL COSO II

COMPONENTES CLAVES DE ERM

competencia, estructura organizacional, asignacin de autoridad y

objetivos. Los riesgos se evalan desde una doble perspectiva (probabilidad

Las organizaciones deben identificar, captar y comunicar informacin

Juicios humanos en la toma de decisiones.

Mejora de la agilidad de los sistemas de gestin de riesgos para

El pasado 14 de mayo se public la actualizacin de COSO I. Ya es oficial, el

Se aplica un enfoque basado en 17 principios.

9. La Organizacin debe identificar y evaluar los cambios importantes

Las responsabilidades del CEO y CFO para que formalmente asuman

Como vemos los cambios no son complicados de entender, ya que son

denominado COSO II (ERM) y el COSO I, que ahora se ve explcitamente

Gua para la Implementacin del Sistema de Control

Servir de referencia para la implementacin o adecuacin del Sistema

Promover la aplicacin de una estructura de control interno uniforme

la base para la formulacin del Plan de Trabajo para la implementacin del

Objetivos del diagnstico

Asimismo, existen tcnicas (verbales, oculares, documentales y escritas)

Indagacin: consiste en la averiguacin mediante la

realizadas por la entidad, para conocer la verdad de los

2. Oculares: Consisten en verificar en forma directa y paralela, la

Observacin: consiste en la contemplacin a simple vista,

3. Documentales: Consisten en obtener informacin escrita para

Comprobacin: consiste en verificar la evidencia que apoya o

4. Escritas: Consisten en reflejar informacin importante para el trabajo

Anlisis: consiste en la separacin de los elementos o partes

travs de encuestas que el personal de la entidad desconoce

mismos que podran brindar informacin sobre el deficiente funcionamiento

Validada a travs de pruebas de verificacin,

Los cuestionarios y listas de verificacin Los cuestionarios y listas de

El nivel de desarrollo, organizacin y vigencia del SCI actual

ESTRUCTURA DE INFORME DE DIAGNOSTICO

Las acciones consideradas en el Plan de Trabajo deben guardar correlacin