UNIVERSIDAD LAICA “ELOY ALFARO” DE MANABÍ

EXTENSIÓN EN EL CARMEN

CARRERA: Ingeniería en Contabilidad y Auditoría

OPTATIVA 3 (AUDITORIA TRIBUTARIA) (CONTRATACION PUBLICA)

AUTORES:
 NIVEL:

Contenido
INTRODUCCION ............................................................................................................ 4

DESARROLLO ................................................................................................................ 5

¿QUÉ ES COSO? ....................................................................................................... 5

Objetivos .................................................................................................................. 5

COSO I............................................................................................................................ 5

LAS CATEGORÍAS DE LOS OBJETIVOS SON LAS SIGUIENTES: .......................... 7

Objetivos de Cumplimiento. ..................................................................................... 7

Objetivos de Operación. ........................................................................................... 7

Objetivos de la Información Financiera. ................................................................... 7

Relación entre los objetivos y los componentes..................................................... 10

COSO II O COSO ERM (ENTERPRISE RISK MANAGEMENT) .................................. 11

OBJETIVOS .............................................................................................................. 12

ELEMENTOS ............................................................................................................ 12

BENEFICIOS ............................................................................................................. 14

COSO III........................................................................................................................ 15

MODELO COSO III MARCO INTEGRADO DE CONTROL INTERNO ÐINTERNAL

CONTROL INTEGRATED FRAMEWORK ................................................................ 15

Algunos de los factores más relevantes que contribuyeron a la actualización del

Marco Integrado de Control Interno son: ................................................................ 16

Cambios más significativos presentes en el Marco Integrado de Control Interno

2013, a nivel general y en cada componente. ........................................................ 17
 Se caracteriza por tener en cuenta los siguientes aspectos y generar diferentes
beneficios: .............................................................................................................. 20

El Marco Integrado de Control Interno establece tres categorías de objetivos que

permiten a las organizaciones centrarse en diferentes aspectos del control interno.
Estas son: .............................................................................................................. 21

CONCLUSION .............................................................................................................. 33

BIBLIOGRAFÍA ............................................................................................................. 34
INTRODUCCION
El presente trabajo consiste en la identificación de los aspectos más importantes del
COSO I, COSO II y COSO III, que gracias a estos informes ayuda a las empresas en la
implementación del control interno, ayuda en la optimización de recursos, en una
adecuada gestión de riesgos en todos los niveles de la organización y es de mucha
utilidad para la comunicación dentro de la organización.

El Informe COSO es un documento que contiene información dirigida a la implantación y

gestión del Sistema del Control Interno, esta ha sido de gran aceptación desde su primera
publicación en 1992. El Informe COSO se ha convertido en la mejor práctica y el estándar
de referencia para todo tipo de empresas públicas y privadas, con el paso del tiempo
estas lineaciones se han ido modificando de acuerdo a las necesidades típicas de la
evolución del entorno empresarial.
DESARROLLO
¿QUÉ ES COSO?
Es una comisión que fue formada por cinco organizaciones de contadores y auditores de
los Estados Unidos, que se llamó Committee of Sponsoring Organizations of the
Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), siendo
estas organizaciones:
- La Asociación Americana de Contabilidad (AAA)
- El Instituto Americano de Contadores Públicos Certificados (AICPA)
- El Instituto de Auditores Internos (IIA)
- El Instituto de Contadores Gestión (IMA).
- Instituto de Ejecutivos Financieros (FEI.

Objetivos

- Establecer una definición común de control interno que responda a las

necesidades de las distintas partes
- Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera
sea su tamaño y naturaleza, puedan evaluar sus sistemas de control interno
- Además, existen objetivos operacionales de informe financiero y de
cumplimiento, todos ellos relacionados con los componentes del control
interno según el informe COSO I.

COSO I

En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework”

denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus
sistemas de control interno, facilitando un modelo en base al cual pudieran valorar sus
sistemas de control interno y generando una definición común de “control interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto
del personal de una entidad, diseñado con el objeto de proporcionar un grado de
seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes
categorías:

- Eficacia y eficiencia de las operaciones

- Confiabilidad de la información financiera
- Cumplimiento de las leyes, reglamentos y normas que sean aplicables

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.

Ambiente de Control:

- El núcleo de un negocio es su personal (sus atributos individuales incluyendo la

integridad y valores éticos y su personalidad) y el entorno en el que trabaja.
- Es el fundamento de todos los demás componentes del control interno,
proporcionando disciplina y estructura.

Factores del Ambiente de Control:

- La integridad y los valores éticos.

- El compromiso a ser competente.
- Las actividades de la junta directiva y el comité de auditoría.
- La mentalidad y estilo de operación de la gerencia.
- La estructura de la organización.
- La asignación de autoridad y responsabilidades.
- Las políticas y prácticas de recursos humanos.
 Evaluación de Riesgos.

La entidad debe conocer y abordar los riesgos a los que se enfrenta. Ha de fijar objetivos,
integrados en las actividades de ventas, producción, comercialización, finanzas, entre
otras.

Identificación y análisis de los riesgos relevantes para la consecución de los objetivos,

constituyendo una base para determinar cómo se deben administrar los riesgos.

La evolución de riesgos debe ser una responsabilidad ineludible para todos los niveles
que están involucrados en el logro de los objetivos. Esta actividad de autoevaluación
debe ser revisada por los auditores interno para asegurar que tanto el objetivo, enfoque,
alcance y procedimiento han sido apropiadamente llevados a cabo.

LAS CATEGORÍAS DE LOS OBJETIVOS SON LAS SIGUIENTES:

Objetivos de Cumplimiento.

Están dirigidos a la adherencia a leyes y reglamentos, así como también a las políticas
emitidas por la administración.

Objetivos de Operación.

Son aquellos relacionados con la efectividad y eficacia de las operaciones de la

organización.

Objetivos de la Información Financiera.

Se refieren a la obtención de información financiera confiable.

Los riesgos de actividades también deben ser identificados, ayudando con ello a
administrar los riesgos en las áreas o funciones más importantes; las causas en este
nivel pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con
distintos grados de significación, deben incluir entre otros aspectos los siguientes:
 - La estimación de la importancia del riesgo y sus efectos.
- La evaluación de la probabilidad de ocurrencia.
- El establecimiento de acciones y controles necesarios.
- La evaluación periódica del proceso anterior.

Actividades de Control.

- Deben establecerse y ejecutarse políticas y procedimientos que ayuden a

conseguir una seguridad razonable de que se lleva a cabo de forma eficaz las
acciones consideradas necesarias para afrontar los riesgos que existen respecto
a la consecución de los objetivos de la entidad.
- Políticas y procedimientos que ayudan a asegurar que las directivas
administrativas se lleven a cabo.
- Las actividades de control tienen distintas características. Pueden ser manuales
o computarizadas, administrativas u operacionales, generales o específicas,
preventivas o detectivas. Sin embargo, lo trascendente es que, sin importar su
categoría o tipo, todas ellas están apuntando hacia los riesgos (reales o
potenciales) en beneficio de la organización, su misión y objetivos, así como la
protección de los recursos propios o de terceros en su poder.
- Las actividades de control son importantes no solo porque en sí mismas implican
la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de
asegurar en mayor grado el logro de objetivos.

Información y Comunicación

Las mencionadas actividades están rodeadas de sistemas de información y

comunicación. Éstos permiten que el personal de la entidad capte e intercambie la
información requerida para desarrollar, gestionar y controlar sus operaciones.

De manera amplia, se considera que existen controles generales y controles de

aplicación sobre los sistemas de información.
Controles Generales:

Tienen como propósito asegurar una operación y continuidad adecuada, e incluyen al

control sobre el centro de procesamiento de datos y su seguridad física, contratación y
mantenimiento del hardware y software, así como la operación propiamente dicha.
También se relacionan con las funciones de desarrollo y mantenimiento de sistemas,
soporte técnico y administración de base de datos.

Controles de Aplicación:

Están dirigidos hacia el interior de cada sistema y funcionan para lograr el procesamiento,
integridad y confiabilidad, mediante la autorización y validación correspondiente. Desde
luego estos controles cubren las aplicaciones destinadas a las interfaces con otros
sistemas de los que se reciben o entregan información.

Supervisión

Todo el proceso ha de ser supervisado, introduciéndose las modificaciones pertinentes

cuando se estime oportuno. De esta manera el sistema puede reaccionar ágilmente y
cambiar de acuerdo con las circunstancias.

Para un adecuado seguimiento (monitoreo) se deben tener en cuenta las siguientes

reglas:

- El personal debe obtener evidencia de que el control interno está funcionando.

- Sí las comunicaciones externas corroboran la información generada
internamente.
- Se deben efectuar comparaciones periódicas de las cantidades registradas en el
sistema de información contable con el físico de los activos.
- Revisar si se han implementado controles recomendados por los auditores
internos y externos; o por el contrario no se ha hecho nada o poco.
- Sí son adecuadas, efectivas y confiables las actividades del departamento de la
auditoría interna.
La misión del coso es proporcionar liderazgo intelectual a través del desarrollo de marcos
generales y orientaciones sobre la Gestión del Riesgo, Control Interno y Disuasión del
Fraude, diseñado para mejorar el desempeño organizacional y reducir el alcance del
fraude en las organizaciones.

Relación entre los objetivos y los componentes

Existe una relación directa entre los objetivos, que es lo que la entidad se esfuerza por
conseguir, y los componentes, que representan lo que se necesita para cumplir dichos
objetivos.

- Las tres categorías de objetivos: operacionales, de información financiera y de

cumplimiento están representadas por columnas verticales.
- Los componentes están representados por filas.
- Las unidades o actividades de la entidad que están relacionadas con el control
interno están representadas por la tercera dimensión de la matriz.
- El control interno es relevante para la totalidad de la entidad o para cualquiera de
sus unidades o actividades.
- La información es necesaria para las tres categorías de objetivos, gestionar las
operaciones empresariales eficazmente, preparar estados financieros fiables y
determinar si se están cumpliendo las leyes aplicables.
Fuente: (Coopers y Lybrand, 1997)
COSO II O COSO ERM (ENTERPRISE RISK MANAGEMENT)
El COSO II es un sistema de gestión de riesgo y control interno para cualquier
organización. Se basa en un marco cuyo objetivo es diagnosticar problemas, generar los
cambios necesarios para gestionarlos y evaluar la efectividad de los mismos. Sus siglas
se refieren al Committee of Sponsoring Organizations of the Treadway Commission, una
institución dedicada a guiar a los ejecutivos y las entidades de gobierno en aspectos
relevantes del gobierno corporativo, ética empresarial, control interno, gestión de riesgos
empresariales, fraude e informes financieros.

Este proyecto inició en el 2001 con la implantación de los principios del COSO I y en el
2004 se modificó para una versión mejorada: el COSO II o COSO ERM (Enterprise Risk
Management). Se trata de un proceso continuo efectuado por el personal de una
compañía (en todos los niveles) y diseñado para identificar eventos potenciales y
evaluarlos. Así, provee de seguridad a todo tipo de organización para el cumplimiento de
objetivos o proyectos sin el impacto de los riesgos.

El COSO II define la gestión de riesgos corporativos de la siguiente manera: “La gestión

de riesgos corporativos es un proceso efectuado por el consejo de administración de una
entidad, su dirección y restante personal, aplicable a la definición de estrategias en toda
la organización y diseñado para identificar eventos potenciales que puedan perjudicar a
ésta, gestionar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad
razonable sobre el logro de los objetivos”. (ISOTools, 2015)

La definición se caracteriza por:

- Proporciona seguridad.

- Ser un proceso continuo.

- Se orienta hacia la consecución de unos objetivos.

- Estar diseñada para identificar peligros potenciales y gestionar los riesgos.

- Se traslada a todos los niveles de la organización.

OBJETIVOS
Abella Rubio (Febrero, 2006) afirma que: dentro de este contexto, el modelo divide los
objetivos de las compañías en cuatro categorías diferentes:

- Objetivos estratégicos. Se trata de los objetivos establecidos al más alto nivel, y

relacionados con el establecimiento de la misión y visión de la compañía.

- Objetivos operativos. Se trata de aquellos relacionados directamente con la

eficacia y eficiencia de las operaciones, incluyendo por supuesto objetivos
relacionados con el desempeño y la rentabilidad.

- Objetivos relacionados con la información suministrada a terceros. Se trata

de aquellos objetivos que afectan a la efectividad del reporting de la información
suministrada (interna y ex- terna), y va más allá de la información estrictamente
financiera.

- Objetivos relacionados con el cumplimiento regulatorio. Se trata de aquellos

objetivos relacionados con el cumplimiento por parte de la compañía con todas
aquellas leyes y regulaciones que le son de aplicación.

ELEMENTOS
Como lo menciona ISOTools (2015), pasamos a tener de cinco componentes en COSO
I, a ocho en COSO II, siendo éstos:
- Ambiente de control. Trata de los valores y filosofía de la entidad, este aspecto
influye en la visión de los empleados de los riesgos y sus actividades de control.
Es la base de sobre la que posicionan al resto de elementos, e influye
fundamentalmente en los objetivos y en la estrategia.

- Establecimiento de objetivos. Se lleva a cabo el establecimiento de objetivos

tanto estratégicos como operativos, de información y de cumplimiento. Tiene que
establecerse antes de la identificación de posibles acontecimientos que dificulten
su consecución. Tienen que alinearse con la estrategia de la empresa.

- Identificación de eventos. Nos interesa todo evento que pueda tener impacto
sobre el cumplimiento de objetivos, pudiendo ser tanto negativos como positivos.

- Evaluación de Riesgos. Se basa en la identificación y análisis de los riesgos

fundamentales en la consecución de objetivos. Es necesario para poder
determinar el efecto que podrían tener, de materializarse, en la consecución de
objetivos. Se llevarán a cabo técnicas cuantitativas y cualitativas. La evaluación
del riesgo primero se centrará en el riesgo inherente y, a continuación de éste, en
el riesgo residual.

- Respuesta a los Riesgos. La respuesta al riesgo será evaluada en base a cuatro

clases: evitar, reducir, compartir y aceptar. En el momento que se tenga la
respuesta al riesgo más correcta para una situación en cuestión, se efectuará otra
evaluación del riesgo residual.

- Actividades de control. Se trata de políticas y procedimientos que aseguran la

adecuada ejecución de acciones contra riesgos. Dichas actividades serán
generadas en toda la entidad, a todos los niveles y funciones.

- Información y comunicación. La información tiene que estar disponible para la

totalidad de niveles de la empresa, para no cometer errores en la identificación,
evaluación al riesgo y no comprometa la consecución de objetivos.

- Supervisión. La supervisión consiste en el seguimiento de la metodología con el

fin de garantizar que funciona adecuadamente y que está ofreciendo datos de
calidad.
BENEFICIOS
Como lo menciona Abella Rubio (Febrero, 2006), una gestión de riesgos corporativos
adecuada permitirá la obtención de los siguientes beneficios para las organizaciones:

- Conocimiento más exhaustivo de los riesgos que afectan a la organización,

desde diversos puntos de vista (riesgos estratégicos, reputacionales, operativos,
regulatorios, de reporting, financieros,)

- Gestión más eficaz del control sobre los riesgos, ya que permite estar prevenido
y anticiparse a los mismos.

- Identificación proactiva y aprovechamiento de oportunidades de diferenciación

frente a competidores.

- Respuesta más rápida y mejor a los cambios en el entorno, a los mercados y a

las expectativas de los grupos de interés.

- Ayuda en el cumplimiento con las exigencias del regulador en materia de gestión

y control de los riesgos del negocio.

- Asignación mejor y más eficiente de recursos para la gestión de riesgos y

oportunidades.

- Toma de decisiones “más segura”, evitando “sorpresas” derivadas de riesgos no

identificados.

- Mejor previsión del posible impacto de los riesgos que afectan a la organización.

- Mayor identificación de oportunidades por parte de la dirección.

- Establecimiento de una base común para la comprensión y gestión del riesgo en

la organización y, especialmente, en el consejo de administración.

- Aumento de la credibilidad y confianza ante los mercados y los diversos grupos

de interés.

- Mejora de la reputación corporativa de la compañía.

- Mayor probabilidad de éxito de la implantación de la estrategia.

Todas estas capacidades están implícitas en una gestión de riesgos corporativos como
la que promueve COSO II, enfocada a lograr los objetivos de las empresas, así como a
asegurar una información eficaz cumpliendo con las leyes y normas, evitando por tanto
daños a su reputación. En definitiva, una gestión de riesgos corporativos con este
enfoque ayuda a las compañías a llegar al destino deseado, salvando obstáculos y
sorpresas en el camino, todo ello con la creación de valor como objetivo último por parte
de las mismas.

COSO III
MODELO COSO III MARCO INTEGRADO DE CONTROL INTERNO
ÐINTERNAL CONTROL INTEGRATED FRAMEWORK
Este nuevo enfoque no sustituye el marco de control interno sino que lo incorpora como
parte de él, y permite a las compañías mejorar sus prácticas de control interno o decidir
encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado
que COSO Enterprise Risk Management - Integrated Framework se encuentra
completamente alineado con el Internal Control - Integrated Framework, las mejoras en
la gestión de riesgo permiten mejorar un trabajo eficaz en control interno bajo las
disposiciones de la Ley Sarbanes-Oxley.

En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de

Control Interno, cuyos objetivos son: aclarar los requerimientos del control interno,
actualizar el contexto de la aplicación del control interno a muchos cambios en las
empresas y ambientes operativos, y ampliar su aplicación al expandir los objetivos
operativos y de emisión de informes. Este nuevo Marco Integrado permite una mayor
cobertura de los riesgos a los que se enfrentan actualmente las organizaciones.
 1992- COSO I 2004- COSO II 2013- COSO III
• Internal Control- • Enterprise Risk • Internal Control-
Integrated Framework Management- Integrated Framework
• Control Interno- Integrated Framework • Control Interno-
Marco Integrado • Gestión de Riesgo Marco Integrado
Empresarial- Marco
Integrado

Fuente: (AUDITOOL, 2013, pág. 5)

Algunos de los factores más relevantes que contribuyeron a la actualización

del Marco Integrado de Control Interno son:

- Variación de los modelos de negocio como consecuencia de la globalización.

- Mayor necesidad de información a nivel interno debido a los entornos cambiantes.
- Incremento del número y complejidad de las normativas aplicables al mundo
empresarial a nivel internacional.
- Nuevas expectativas sobre la responsabilidad y competencias de los gestores de
las organizaciones.
- Incremento de las expectativas de los grupos de interés (inversores, reguladores)
en la prevención y detección del fraude.
- Aumento del uso de las nuevas tecnologías, y su desarrollo constante.
- Exigencias en la fiabilidad de la información reportada.
Cambios más significativos presentes en el Marco Integrado de Control
Interno 2013, a nivel general y en cada componente.

COSO 1992 COSO 2013

Se mantiene: Cambia
Definición del concepto de Control Interno Ampliación y aclaración de conceptos con
el objetivo de abarcar las actuales
condiciones del mercado y la economía
global
Cinco componentes del control interno Codificación de principios y puntos de
enfoque con aplicación internacional para
el desarrollo y evaluación de la eficacia del
Sistema de Control Interno
Aclaración de la necesidad de establecer
objetivos de negocio como condición
previa a los objetivos de control interno
Criterios a utilizar en el proceso de Extensión de los objetivos de reporte más
evaluación de la eficacia del Sistema de allá de los informes financieros externos,
Control Interno a los de carácter interno y a los no
financieros tanto externos como internos
Uso del Juicio profesional para la Inclusión de una guía orientadora para
evaluación de la eficacia del Sistema de facilitar la supervisión del Control Interno
Control Interno sobre las operaciones, el cumplimiento y
los objetivos de reporte
Fuente: (AUDITOOL, 2013, pág. 6)
Componentes Cambios Representativos

Entorno de Control Se recogen en cinco principios la

relevancia de la integridad y los valores
éticos, la importancia de la filosofía de la
administración y su manera de operar, la
necesidad de una estructura organizativa,
la adecuada asignación de
responsabilidades y la importancia de las
políticas de recursos humanos
Se explican las relaciones entre los
componentes del Control Interno para
destacar la importancia del Entorno de
Control
Se amplía la información sobre el
Gobierno Corporativo de la organización,
reconociendo diferencias en las
estructuras, requisitos, y retos a lo largo
de diferentes jurisdicciones, sectores y
tipos de entidades
Se enfatiza la supervisión del riesgo y la
relación entre el riesgo y la respuesta al
mismo
Evaluación de Riesgos Se amplía la categoría de objetivos de
Reporte, considerando todas las
tipologías de reporte internos y externos
Se aclara que la evaluación de riesgos
incluye la identificación, análisis y
respuesta a los riesgos
Componentes Cambios Representativos

Se incluyen los conceptos de velocidad y

persistencia de los riesgos como criterios
para evaluar la criticidad de los mismos
Se considera la tolerancia al riesgo en la
evaluación de los niveles aceptables de
riesgo
Se considera el riesgo asociado a las
fusiones, adquisiciones y
externalizaciones
Se amplía la consideración del riesgo al
fraude
Actividades de Control Se indica que las actividades de control
son acciones establecidas por políticas y
procedimientos
Se considera el rápido cambio y evolución
de la tecnología
Se enfatiza la diferenciación entre
controles automáticos y Controles
Generales de Tecnología
Información y Comunicación Se enfatiza la relevancia de la calidad de
información dentro del Sistema de Control
Interno
Se profundiza en la necesidad de
información y comunicación entre la
entidad y terceras partes
Se enfatiza el impacto de los requisitos
regulatorios sobre la seguridad y
protección de la información
Componentes Cambios Representativos

Se refleja el impacto que tiene la

tecnología y otros mecanismos de
comunicación en la rapidez y calidad del
flujo de información
Actividades de Monitoreo – Se clarifica la terminología definiendo dos
Supervisión categorías de actividades de monitoreo:
evaluaciones continuas y evaluaciones
independientes
Se profundiza en la relevancia del uso de
la tecnología y los proveedores de
servicios externos
Fuente: (AUDITOOL, 2013, págs. 6-7)

Se caracteriza por tener en cuenta los siguientes aspectos y generar

diferentes beneficios:
- Mayores expectativas del gobierno corporativo.
- Globalización de mercados y operaciones.
- Cambio continuo en mayor complejidad en los negocios.
- Mayor demanda y complejidad en leyes, reglas, regulaciones y estándares.
- Expectativas de competencias y responsabilidades.
- Uso y mayor nivel de confianza en tecnologías que evolucionan rápidamente.
- Expectativas relacionadas con prevenir, desalentar y detectar el fraude.
El Marco Integrado de Control Interno establece tres categorías de objetivos
que permiten a las organizaciones centrarse en diferentes aspectos del
control interno. Estas son:
- Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la
misión y visión de la entidad. Hacen referencia a la efectividad y eficiencia de las
operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la
protección de sus activos frente a posibles pérdidas. Por lo tanto, estos objetivos
constituyen la base para la evaluación del riesgo en relación con la protección de
los activos de la entidad, y la selección y desarrollo de los controles necesarios
para mitigar dichos riesgos.
Los objetivos operativos deben reflejar el entorno empresarial, industrial y
económico en que se desenvuelve la entidad; y están relacionados con el
mejoramiento del desempeño financiero, la productividad, la calidad, las prácticas
ambientales, y la innovación y satisfacción de empleados y clientes.
- Objetivos de información/Reporting: estos objetivos se refieren a la
preparación de reportes para uso de la organización y los accionistas, teniendo
en cuenta la veracidad, oportunidad y transparencia. Estos reportes relacionan la
información financiera y no financiera interna y externa y abarcan aspectos de
confiabilidad, oportunidad, transparencia y demás conceptos establecidos por los
reguladores, organismos reconocidos o políticas de la entidad. La presentación
de informes a nivel externo da respuesta a las regulaciones y normativas
establecidas y a las solicitudes de los grupos de interés, y los informes a nivel
interno atienden a las necesidades internas de la organización tales como la
estrategia de la entidad, plan operativo y métricas de desempeño.
- Objetivos de cumplimiento: están relacionados con el cumplimiento de las leyes
y regulaciones a las que está sujeta la entidad. La entidad debe desarrollar sus
actividades en función de las leyes y normas específicas.
Fuente: (AUDITOOL, 2013, pág. 14)

Principios y puntos de enfoque

Los puntos de enfoque representan las características importantes de cada principio, lo
que permite que sean más fáciles de entender y que la entidad pueda evaluar si el
principio está presente y funcionando en su sistema de control interno.

Debido a que cada principio es fundamental para los componentes, todos estos son
relevantes para todas las entidades; si un principio no está presente y funcionando, en
consecuencia el componente relacionado no está presente ni funcionando. Por el
contrario, todos los puntos de enfoque no son requeridos para valorar la efectividad del
sistema de control. La administración puede determinar que algunos de estos no son
relevantes y puede identificar y considerar otros.

De esta manera, el Marco Integrado de Control Interno facilita la labor de diseño y

supervisión del Sistema de Control Interno y permite comprender con más claridad el
contenido, significado y el impacto que los Sistemas de Control Interno implementados
tienen al momento de mitigar los riesgos de la organización.
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
Entorno de control 1. La organización Establece el tono de la
demuestra compromiso gerencia, la Junta
con la integridad y los Directiva. La Alta
valores éticos Gerencia y el personal
supervisor están
comprometidos con los
valores y principios éticos
y los refuerzan en sus
actuaciones
Establece estándares de
conducta. Las
expectativas de la Junta
Directiva y la Alta
Dirección con respecto a
la integridad y los valores
éticos son definidos en los
estándares de conducta
de la entidad y entendidos
en todos los niveles de la
organización y por los
proveedores de servicio
externos y socios de
negocios
Aborda y decide sobre
desviaciones en forma
oportuna. Las
desviaciones de los
estándares de conducta
esperados en la entidad
son identificadas y
corregidas oportuna y
adecuadamente
2. El consejo de Establece las
administración demuestra responsabilidades de
independencia de la supervisión de la
dirección y ejerce la dirección. La Junta
supervisión del Directiva identifica y
desempeño del sistema acepta su responsabilidad
de control interno. de supervisión con
respecto a establecer
requerimientos y
expectativas
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
Aplica experiencia
relevante. La Junta
directiva define, mantiene
y periódicamente evalúa
las habilidades y
experiencia necesaria
entre sus miembros para
que puedan hacer
preguntas de sondeo de la
Alta Dirección y tomar
medidas proporcionales
3. La dirección estable con Considera todas las
la supervisión del consejo, estructuras de la entidad.
las estructuras, líneas de La Administración y la
reporte y los niveles de Junta Directiva
autoridad y consideran las estructuras
responsabilidad múltiples utilizadas
apropiados para la (incluyendo unidades
consecución de los operativas, entidades
objetivos. legales, distribución
geográfica, y proveedores
de servicios externos)
para apoyar la
consecución de los
objetivos
Define, asigna y delimita
autoridades y
responsabilidades. La
Administración y la Junta
Directiva delegan
autoridad, definen
responsabilidades, y
utilizan procesos y
tecnologías adecuadas
para asignar
responsabilidad, segregar
funciones según sea
necesario en varios
niveles de la organización:
– Junta directiva:
conservar autoridad sobre
las decisiones
significativas y revisar las
evaluaciones
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
de la administración y las
limitaciones de
autoridades y
responsabilidades. – Alta
Dirección: establece
instrucciones, guías, y
control habilitando a la
administración y otro
personal para entender y
llevar a cabo sus
responsabilidades de
control interno. –
Administración: guía y
facilita la ejecución de las
instrucciones de la Alta
Dirección dentro de la
entidad y sus sub-
unidades. – Personal:
entiende los estándares
de conducta de la entidad,
los riesgos evaluados
para los objetivos, y las
actividades de control
relacionadas con sus
respectivos niveles de la
entidad, la información
esperada y los flujos de
comunicación, y las
actividades de monitoreo
relevantes para el
cumplimiento de los
objetivos. – Proveedores
de servicios externos:
cumple con la definición
de la administración del
alcance de la autoridad y
la responsabilidad para
todos los que no sean
empleados
comprometidos
Evalúa la competencia y
direcciona las
deficiencias. La Junta
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
Directiva y la
Administración evalúan la
competencia a través de
la organización y en los
proveedores de servicios
externos de acuerdo con
las políticas y prácticas
establecidas, y actúa
cuando es necesario
direccionando las
deficiencias
5. La organización define Hace cumplir la
las responsabilidades de responsabilidad a través
las personas a nivel de de estructuras,
control interno para la autoridades y
consecución de los responsabilidades. La
objetivos Administración y la Junta
Directiva establecen los
mecanismos para
comunicar y mantener
profesionales
responsables para el
desempeño de las
responsabilidades de
control interno a través de
la organización, e
implementan acciones
correctivas cuando es
necesario
Evalúa medidas de
desempeño, incentivos y
premios para la relevancia
en curso. La
Administración y la Junta
Directiva alinean
incentivos y premios con
el cumplimiento de las
responsabilidades de
control interno para la
consecución de los
objetivos
Evaluación de riesgos 6. La organización define Reflejan las elecciones
los objetivos con administrativas
suficiente claridad para
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
permitir la identificación y Considera la tolerancia al
evaluación de los riesgos riesgo.
relacionados Incluye las metas de
desempeño operativo y
financiero.
Constituye una base para
administrar los recursos.
Objetivos de Reporte no
Financiero Externo:
Cumple con los
estándares y marcos
externos establecidos.
Considera los niveles de
precisión requeridos.
Refleja las actividades de
la entidad.
7. La organización Incluye la entidad,
identifica los riesgos para sucursales, divisiones,
la consecución de sus unidad operativa y niveles
objetivos en todos los funcionales. La
niveles de la entidad y los organización identifica y
analiza como base sobre evalúa los riesgos a nivel
la cual determina cómo se de la entidad, sucursales,
deben gestionar divisiones, unidad
operativa y niveles
funcionales relevantes
para la consecución de los
objetivos
Evalúa la consideración
de factores externos e
internos en la
identificación de los
riesgos que puedan
afectar a los objetivos
Analiza la relevancia
potencial de los riesgos
identificados y entiende la
tolerancia al riesgo de la
organización
8. La organización Considera varios tipos de
considera la probabilidad fraude: La evaluación del
de fraude al evaluar los fraude considera el
riesgos para la Reporting fraudulento,
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
consecución de los posible pérdida de activos
objetivos y corrupción
9. La organización Evalúa cambios en el
idéntica y evalúa los modelo de negocios. La
cambios que podrían organización considera
afectar significativamente impactos potenciales de
al sistema de control las nuevas líneas del
interno negocio, composiciones
alteradas dramáticamente
de las líneas existentes de
negocios, operaciones de
negocios adquiridas o de
liquidación en el sistema
de control interno, rápido
crecimiento, el cambio de
dependencia en
geografías extranjeras y
nuevas tecnologías.
Actividades de control 10. La organización define Se integra con la
y desarrolla actividades evaluación de riesgos. Las
de control que contribuyen actividades de control
a la mitigación de los ayudan a asegurar que las
riesgos hasta niveles respuestas a los riesgos
aceptables para la que direccionan y mitigan
consecución de los los riesgos son llevadas a
objetivos cabo
Evalúa una mezcla de
tipos de actividades de
control. Las actividades de
control incluyen un rango
y una variedad de
controles que pueden
incluir un equilibrio de
enfoques para mitigar los
riesgos teniendo en
cuenta controles
manuales y
automatizados, y
controles preventivos y de
detección
Direcciona la segregación
de funciones. La
administración segrega
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
funciones incompatibles,
y donde dicha
segregación no es
práctica, la administración
selecciona y desarrolla
actividades de control
alternativas
Establece actividades de
control relevantes para los
procesos de adquisición,
desarrollo y
mantenimiento de la
tecnología: la dirección
selecciona y desarrolla
actividades de control
sobre la adquisición,
desarrollo y
mantenimiento de la
tecnología y su
infraestructura
12. La organización Establece políticas y
despliega las actividades procedimientos para
de control a través de apoyar el despliegue de
políticas que establecen las directivas de la
las líneas generales del administración: la
control interno y administración establece
procedimientos que llevan actividades de control que
dichas políticas están construidas dentro
de los procesos del
negocio y las actividades
del día a día de los
empleados a través de
políticas estableciendo lo
que se espera y los
procedimientos
relevantes especificando
acciones
Toma acciones
correctivas: el personal
responsable investiga y
actúa sobre temas
identificados como
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
resultado de la ejecución
de actividades de control
Información y 13. La organización Identifica los
comunicación obtiene o genera y utiliza requerimientos de
información relevante y de información: un proceso
calidad para apoyar el está en ejecución para
funcionamiento del control identificar la información
interno requerida y esperada para
apoyar el funcionamiento
de los otros componentes
del control interno y el
cumplimiento de los
objetivos de la entidad
Mantiene la calidad a
través de procesamiento:
los sistemas de
información producen
información que es
oportuna, actual, precisa,
completa, accesible,
protegida, verificable y
retenida. La información
es revisada para evaluar
su relevancia en el
soporte de los
componentes de control
interno
Considera costos y
beneficios: la naturaleza,
cantidad y precisión de la
información comunicada
están acorde con, y
apoyan, el cumplimiento
de los objetivos
14. La organización Comunica la información
comunica la información de control interno: un
internamente, incluidos proceso está en ejecución
los objetivos y para comunicar la
responsabilidades que información requerida
son necesarios para para permitir que todo el
apoyar el funcionamiento personal entienda y lleve
del sistema de control a cabo sus
interno responsabilidades de
control interno
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
responsabilidades de
control interno
15. La organización se Permite comunicaciones
comunica con los grupos de entrada: canales de
de interés externos sobre comunicación abiertos
los aspectos clave que permiten los aportes de
afectan al funcionamiento clientes, consumidores,
del control interno proveedores, auditores
externos, reguladores,
analistas financieros,
entre otros, y
proporcionan a la
administración y Junta
Directiva información
relevante.
Se comunica con la Junta
Directiva: la información
relevante resultante de
evaluaciones conducidas
por partes externas es
comunicada a la Junta
Directiva.
Proporciona líneas de
comunicación separadas:
separa canales de
comunicación, como
líneas directas de
denuncia de
irregularidades, las cuales
sirven como mecanismos
a prueba de fallos para
permitir la comunicación
anónima o confidencial
cuando los canales
normales son inoperantes
o ineficientes
Actividades de 16. La organización Considera tasa de
supervisión – monitoreo selecciona, desarrolla y cambio: la administración
realiza evaluaciones considera la tasa de
continuas y/o cambio en el negocio y los
independientes para procesos del negocio
determinar si los cuando selecciona y
componentes del sistema desarrolla evaluaciones
de control interno están
COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE -
ATRIBUTOS
presentes y en continuas e
funcionamiento independientes
Se integra con los
procesos del negocio: las
evaluaciones continuas
son construidas dentro de
los procesos del negocio y
se ajustan a las
condiciones cambiantes
17. La organización Evalúa resultados: la
evalúa y comunica las Administración o la Junta
deficiencias de control Directiva, según
interno de forma oportuna corresponda, evalúa los
a las partes responsables resultados de las
de aplicar medidas evaluaciones continuas e
correctivas, incluyendo la independientes
alta dirección y el consejo, Comunica deficiencias:
según corresponda las deficiencias son
comunicadas a las partes
responsables para tomar
las acciones correctivas y
a la Alta Dirección y la
Junta Directiva, según
corresponda
Supervisa acciones
correctivas: la
administración monitorea
si las deficiencias son
corregidas
oportunamente
Fuente: (AUDITOOL, 2013, págs. 15-30)
CONCLUSION
El control interno dentro de una entidad es de vital importancia para asegurar el
cumplimiento de los objetivos de dicha entidad, es por ello que a lo largo de los años se
han venido desarrollando herramientas administrativas que cumplan con este fin,
apareciendo así el denominado COSO el cual esta constituido por cinco organizaciones
con la finalidad de dictaminar directrices o lineamientos enfocados en el control interno
dentro de una organización.

COSO I, II, III se han convertido en un gran referente para un control interno oportuno el
cual se centra en todos los componentes que afectan directa e indirectamente a los
resultados esperados de las entidades, optimizando de alguna manera los resultados
esperados.
BIBLIOGRAFÍA
Abella Rubio, R. (Febrero, 2006). COSO II y la gestión integral de riesgos del negocio.
Estrategia Financiera , 20-24.

AUDITOOL. (2013). MODELO COSO III - MARCO. AUDITOOL, 75.

Coopers y Lybrand. (1997). Los nuevos conceptos del Control Interno: Informe Coso.
Madrid: Ediciones DÍaz De Santos S.A.

ISOTools. (12 de Enero de 2015). ISO 9001:2015, COSO como metodología de gestión
de riesgo. Obtenido de ISOTools: https://www.isotools.org/2015/01/12/iso-
90012015-coso-como-metodologia-gestion-riesgo/