You are on page 1of 34

COSO I 2011

COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION - (C.O.S.O.)

COMITÉ DE ORGANIZACIONES PATROCINADORAS DE LA COMISIÓN TREADWAY

INFORME COSO
1.

Origen Del Informe Coso

1

AUDITORIA INTERNA

COSO I 2011
Como forma de solucionar la diversidad de conceptos, definiciones e interpretaciones existentes en torno al control interno, es publicado en 1992, en EEUU, el ―Informe COSO‖ sobre control interno (COSO: Committee of Sponsoring Organizations of the Treadway Commission) El grupo de trabajo estuvo constituido profesionales:  AAA – Asociación Americana de Contadores  AICPA – Instituto Americano de Contadores Públicos por representantes de cinco organismos

Autorizados  FEI – Instituto de Ejecutivos Financieros  IIA – Instituto de Auditores Internos  IMA – Instituto de Contadores Gerenciales La redacción del informe fue encomendada a Coopers & Lybrand Su objetivo fue:  Acordar una definición de Control Interno que sea aceptada como un marco común que satisfaga las necesidades de todos los sectores.  Aportar una estructura de Control Interno que facilite la evaluación de cualquier sistema en cualquier organización.

2. Definición de C.O.S.O.
Debido al mundo económico integrado que existe hoy en día se ha creado la necesidad de integrar metodologías y conceptos en todos los niveles de las diversas áreas administrativas y operativas con el fin de ser competitivos y responder a las nuevas exigencias empresariales. Surge así una nueva perspectiva sobre el control interno donde se brinda una estructura común que es documentada en el denominado ―Informe C.O.S.O‖

2

AUDITORIA INTERNA

COSO I 2011
El Comité de Organizaciones Patrocinadoras de la Comisión Treadway (C.O.S.O.) es una organización voluntaria del sector privado, establecida en los Estados Unidos y dedicada a proporcionar orientación al ámbito privado y gubernamental sobre aspectos críticos de gestión de la organización, control interno de la empresa, gestión del riesgo, el fraude y la presentación de informes financieros. El ―Informe C.O.S.O.‖ es un documento que especifica un modelo común de control interno con el cual las organizaciones pueden implantar, gestionar y evaluar sus sistemas de control interno para asegurar que éstos se mantengan funcionales, eficaces y eficientes. El ―Informe COSO‖ constituyó un gran avance al acordar una definición respecto al concepto de control interno. El informe COSO logra definir un marco conceptual común y se constituye en una visión integradora del control interno. El Informe COSO se estructura en cuatro partes:  Resumen Ejecutivo: visión de alto nivel sobre la estructura conceptual del control interno, dirigido a directores ejecutivos, miembros del consejo, legisladores.  Estructura Conceptual: Define control interno, describe sus componentes y proporciona criterios para que administradores, Consejeros y otros puedan valorar sus sistemas de control.  Reportes a Partes Externas: Es un documento suplementario que proporciona orientación a aquellas entidades que publican informes sobre control interno además de la preparación de estados financieros.  Herramientas de evaluación: Proporciona materiales que se pueden usar en la realización de una evaluación de un sistema de control interno.

3

AUDITORIA INTERNA

 No es un evento o circunstancia sino una serie de acciones que permean en las actividades de una organización. Es llevado a cabo por la Dirección y el resto del personal. no es un fin en si mismo. así como la información financiera extraída de estos estados.  Cumplimiento de políticas..1 Definición El control interno es un proceso efectuado por la dirección y el resto del personal de una entidad.. ejecución y supervisión. La gente diseña los objetivos de la entidad y establece los mecanismos de control. leyes y normas Como proceso.  Es una cadena de acciones extendida a todas las actividades inherentes a la gestión e integradas a los demás procesos básicos de la misma: planificación. diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:  Efectividad y eficiencia en las operaciones: Que permiten lograr los objetivos empresariales básicos de la organización (rendimiento.  Confiabilidad de la información financiera: control de la elaboración y publicación de estados contables confiables.  Es efectuado por personas.  Es ejecutado por la gente de una Organización a través de lo que ellos hacen y dicen. incluyendo estados intermedios y abreviados.  Los controles deben constituirse ―dentro‖ de la infraestructura de la Organización y no ―sobre ella‖..COSO I 2011 3. rentabilidad y protección de los activos). Concepto De Control Interno Según el Informe Coso 4.. 4 AUDITORIA INTERNA .  Es un medio para alcanzar un fin.

. sino que contribuye a ello.  Dispone de la información adecuada sobre hasta qué punto se están logrando los objetivos operacionales de la Unidad. El control interno se puede considerar eficaz en cada una de las tres categorías respectivamente. Si bien el control interno es un proceso. Limitaciones del Control Interno El control interno no puede por sí mismo asegurar el logro de los objetivos generales definidos anteriormente Un sistema de control interno efectivo. puede dar sólo una seguridad razonable –no así AUDITORIA INTERNA 5 .  No asegura con certeza el cumplimiento de los objetivos de la Organización. sin importar cuán bien concebido y administrado pueda ser.  No importa lo bien diseñado que esté el sistema de control. si la dirección de la Unidad tiene la seguridad razonable de que: Auditoría Interna de la Nación. Aunque los directores tienen como obligación primaria la vigilancia del control. 4.  Se cumplen las leyes y normativa a las que se encuentra sujeta.  Se prepara de forma fiable la información financiera de la misma. Eficacia del Sistema de Control Interno: La eficacia del control interno se puede dar en tres niveles distintos. su eficacia es el estado o la situación del proceso en un momento dado. Proporciona una seguridad razonable. lo más que se puede esperar es que proporcione una seguridad razonable.. también proporcionan directrices y aprueban ciertas transacciones y políticas.COSO I 2011  La Dirección es responsable de la existencia de un eficaz y eficiente sistema de control.  Cada individuo dentro de la Organización tiene algún rol respecto al control interno.

siempre habrá riesgo de que el control interno sea diseñado de manera deficiente o falle en operar como se espera. Otro factor limitante es que el diseño del sistema de control interno se enfrente a la disminución de recursos. es sujeto a las debilidades en el diseño. 6 AUDITORIA INTERNA . comunicar los cambios al personal. mala comprensión. distracción. la probabilidad de que exista un riesgo y el efecto potencial de éste en la entidad deben ser considerados junto con los costos relacionados a la implantación del nuevo control. Por ello. hacia el logro de los objetivos. Pero el control interno no puede cambiar una gerencia inherentemente mala por una buena. Los beneficios de los controles deben ser considerados consecuentemente en relación a su costo. o la ausencia de los mismos. Los cambios organizacionales y la actitud gerencial tienen un profundo impacto en la eficacia del control interno y el sistema en el que opera el personal. errores de juicio o interpretación. Al determinar si un control particular debe o no ser diseñado. abuso o excesos.COSO I 2011 absoluta– a la gerencia sobre el logro de los objetivos de la entidad o sobre su supervivencia. y dar el ejemplo con la adhesión a estos controles. colusión. Dado que el control interno depende del factor humano. Puede dar información gerencial sobre los progresos de la entidad. fatiga. descuido. Un efectivo sistema de control interno reduce la probabilidad de no alcanzar los objetivos. la gerencia necesita revisar y actualizar los controles continuamente. De cualquier manera. Mantener un sistema de control interno que elimine el riesgo de pérdida no es realista y probablemente costaría mas que los beneficios derivados.

Son los responsables directos por todas las actividades de una organización. Examinan y contribuyen a la continua efectividad del sistema de control interno a través de sus evaluaciones y recomendaciones y por lo tanto desempeñan un papel importante en un control interno efectivo. Para ello debe contar con una ubicación jerárquica adecuada (contar con permisos de acceso. los auditores y el personal. a las políticas establecidas o a la legalidad de las acciones realizadas. incluyendo el diseño. el que fija las pautas y la visión global de la organización. El Consejo de Administración fija las pautas y la visión global del negocio. La Alta Gerencia es la mayor responsable del correcto funcionamiento del sistema de control. Ellos deben comunicar al nivel superior los desvíos que detecten con respecto a los códigos de conducta. etc. 7 AUDITORIA INTERNA . Responsables Interno del Control Entre los principales responsables del control interno destacamos la alta gerencia. Los empleados tienen la responsabilidad de participar en el esfuerzo de aplicar el control interno.COSO I 2011 5. el mantenimiento y la documentación del sistema de control interno. la implantación.). cuyos detalles deben ser incorporados a la descripción de los puestos de trabajo. La Auditoría Interna debe desempeñar un papel de supervisión sobre la eficiencia y permanencia de los sistemas de control. Debe asegurarse de contar con vías de comunicación efectivas con la Alta Dirección y las áreas financieras. legales y de auditoría interna para garantizar que dichos sectores comprendan los lineamientos. estando sobre todos estos el Consejo de Administración. la supervisión del funcionamiento correcto. autoridad para solicitar y obtener información. La integridad y la ética deben ser elementos que aporten ejemplo a los demás empleados.

La esencia de una organización controlada de forma eficaz está en la actitud de su administración. De cualquier modo. puesta en marcha.COSO I 2011 Las partes externas también juegan un rol importante en el proceso de control interno. 6. o pueden proveer información útil para efectuar el control interno. otras personas en la empresa lo percibirán y responderán a ello 8 AUDITORIA INTERNA . Si los altos niveles de la administración consideran que el control interno es importante. El ambiente de control sirve como unificador de los otros cuatro componentes. Monitoreo. Componentes Del Control Interno Entorno o Ambiente de control Evaluación del riesgo Actividades de control Información y comunicación Seguimiento o Monitoreo El control interno comprende cinco componentes interrelacionados: • • • • • AMBIENTE DE CONTROL Evaluaciòn del riesgo. Actividades de Control. mantenimiento o documentación del sistema de control interno. Sin un ambiente de control efectivo. no son responsables del diseño. funcionamiento adecuado. sin importar su calidad. Informaciòn y Comunicaciòn. Pueden contribuir a que la organización alcance sus objetivos. es poco probable que los otros cuatro den como resultado un control interno efectivo.

También comprenden la comunicación de valores de la entidad y normas de conducta al personal a través de declaraciones de políticas. El comportamiento ético y la integridad son producto de una cultura corporativa. Si los miembros de una empresa consideran que el control no es una preocupación importante para la administración. Esta la determina la dirección y se materializa en las normas éticas y de comportamiento y en la forma en que éstas se comunican y refuerzan en la práctica. es casi seguro que los objetivos de control de la administración no se lleven a cabo de forma eficaz. Factores del Ambiente de Control:  Integridad y Valores Éticos: Los objetivos de una entidad y la manera como se logren. 6. ilegales o pocos éticos.COSO I 2011 observando conscientemente los controles que se establecieron.. así como estos se comunican y refuerzan en la práctica. Tales preferencias y juicios reflejan la integridad de los administradores y su compromiso con los valores éticos. códigos de conducta y por medio del ejemplo.  Incentivos y Tentaciones: Los individuos pueden cometer actos fraudulentos. están basados en preferencias. Incluyen las acciones de la administración para eliminar o reducir iniciativas o tentaciones que podrán invitar al personal a participar en actos deshonestos. políticas y procedimientos que reflejan las actitudes generales de los altos niveles de la administración.AMBIENTE DE CONTROL: Consiste en acciones. La integridad y los valores éticos son el producto de las normas éticas y de la conducta de la entidad. 9 AUDITORIA INTERNA . juicios de valor y estilos administrativos. directores y propietarios de una entidad en cuanto al control interno y su importancia para la organización.1. ilegales y pocos éticos simplemente porque la empresa en la que trabajan les incita y tienta.

particularmente resultados de corto plazo. Aunque el consejo delega la responsabilidad del control interno a la administración. función que debe desarrollarse teniendo en cuenta los objetivos de la entidad. para de esta manera perder sus valores y desinhibirlos. tales como malas segregaciones de funciones en áreas sensibles.  Compromiso con la competencia: La competencia es el conocimiento y las habilidades necesarias para cumplir con las tareas que definen el trabajo de un individuo. Suele ser función de la dirección determinar el grado de perfección con el que debe llevarse a cabo una tarea. su responsabilidad es proporcionar habitualmente 10 AUDITORIA INTERNA .  Una función de auditoría interna débil que no tiene la capacidad de detectar e informar conductas impropias.  Alta descentralización que abandona la buena administración. que ofrecen facilidad para robos o para encubrir malos desempeños.  Sanciones insignificantes o no publicadas a conductas impropias.  Un consejo de directores inefectivo que no proporciona advertencias a la negligencia de la alta administración.COSO I 2011 Los incentivos que permiten involucrarse en prácticas de información financiera fraudulenta o cuestionable son:   Presiones para cumplir objetivos de rendimiento poco realistas. y Entre las tentaciones a los empleados para involucrarse en actos impropios se encuentran:  Controles no existentes o inefectivos. ignorante de acciones tomadas en los niveles bajos de la organización y por consiguiente reduce las oportunidades de conseguir resultados.  Participación del consejo directivo o el comité de auditoría: Un consejo directivo eficaz es independiente de la administración. Altas recompensas dependientes del desempeño. así como las estrategias y los planes de dirección.

de su tamaño y de la naturaleza de sus actividades que desarrolla y dichas actividades deben estar organizadas con el fin de llevar a cabo las estrategias diseñadas para conseguir los objetivos específicos de la organización. el auditor aprende los elementos administrativos y funcionales de la empresa y percibe cómo se implementan los controles. 11 AUDITORIA INTERNA . Una entidad que ha tenido éxito a la hora de correr riesgos significativos puede tener una perspectiva distinta del control interno que una empresa que haya tenido que enfrentarse a consecuencias adversas desde el punto de vista económico o administrativo por haberse adentrado a territorios peligrosos. Además. Entender estos y otros aspectos similares de la filosofía y el estilo de operación de la administración da al auditor una idea de su actitud acerca del control interno.  Estructura organizativa: La estructura organizativa de la entidad define las líneas de responsabilidad y autoridad existentes.  La Filosofía de la dirección y el estilo de gestión: La Filosofía de la dirección y el estilo de gestión afectan a la manera en que la empresa es gestionada. e incluso. un consejo activo y objetivo con frecuencia puede reducir de manera eficaz la probabilidad del proceso de los informes financieros. o ― solamente correcta‖. proporciona señales claras a sus empleados acerca de la importancia del control interno.COSO I 2011 evaluaciones independientes del control interno establecido por la administración. al tipo de riesgo empresarial que se acepta. depende. Por ejemplo: ¿Puede describirse a la administración como ― gorda y burocrática‖ o ― austera y eficiente‖. en parte. dominada por uno o unos cuantos individuos. La adecuación de la estructura organizativa de una entidad. Una entidad desarrolla la estructura organizativa que mejor se adapta a sus necesidades. Al entender la estructura organizativa del cliente. a través de sus actividades. La administración.

comportamiento ético y competencia que se espera de ellos. 12 AUDITORIA INTERNA . La delegación de autoridad significa. Es indispensable que el personal esté preparado para hacer frente a nuevos retos a medida que las empresas se enfrentan a cambios y se hacen más complejas. También hace necesario la existencia de procedimientos eficaces que permitan a la dirección supervisar los resultados. Una delegación puede exigir implícitamente un mayor nivel de competencia al personal así como mayor responsabilidad. entregar el control central sobre determinadas decisiones empresariales a los niveles inferiores de la organización. a las personas que están más cerca de las operaciones diarias.  Políticas y prácticas de recursos humanos: Las prácticas aplicadas en el campo de los recursos humanos indican a los empleados los niveles de integridad. a utilizar su iniciativa a la hora de abordar temas y solucionar problemas y establecer límites de autoridad. promoción. debido en parte a los rápidos cambios que se están produciendo en el mundo de la tecnología y al aumento de la competencia. Estas prácticas se refieren a contratación. conocimiento y experiencia del personal clave. remuneración y corrección. Es indispensable que todo miembro de la entidad sepa cómo su actuación se relaciona con las de los demás y contribuye a la consecución de los objetivos. trata de las políticas que describen las prácticas empresariales adecuadas. y los recursos puestos a disposición para llevar a cabo sus funciones. Asimismo. El proceso de formación debe ser continuo. a menudo. tanto a nivel individual como de equipo. evaluación. capacitación.COSO I 2011 Asignación de autoridad y responsabilidad: Se refiere a la medida en que se autoriza e impulsa al personal.

Existen diversas categorías de objetivos los cuales se agrupan en:  Objetivos relacionados con las operaciones: Se refieren a la eficacia y eficiencia en las operaciones de la entidad. Los objetivos específicos son derivados de la estrategia global de la entidad. Por lo tanto el primer paso de la Dirección seria el establecimiento de objetivos. la empresa corre el riesgo de que la utilización de sus recursos este mal orientada. y además se considera como se administra el riesgo.EVALUACIÓN DEL RIESGO: Consiste en la identificación y análisis de los riesgos relevantes que existen que podrían afectar la consecución de los objetivos. Estos objetivos deben ser coherentes entre sí. tener una posición financiera fuerte y una imagen pública positiva. se relacionan con la consecución del objeto social. Si estos no son claros. Estos deben reflejar el entorno empresarial. competir con éxito dentro de su sector.COSO I 2011 6. En la identificación del riesgo se incluye el análisis de los factores externos e internos. la evaluación de la probabilidad de la ocurrencia del error. Objetivos Existen los objetivos globales los cuales están integrados en objetivos más específicos establecidos para las diferentes actividades de la empresa. Los riesgos afectan la habilidad de cada entidad para sobrevivir. La administración de la empresa debe decidir el nivel de riesgo que considerara aceptable. Es necesario que estos hayan sido adoptados a las presiones ejercidas por la competencia en materia de calidad.. En el análisis del riesgo se estima el significado del riesgo. industrial y económico en que se desenvuelve la entidad. 13 AUDITORIA INTERNA . la reducción de los ciclos necesarios para la introducción de productos en el mercado o los cambios tecnológicos.2. ya que estos no pueden reducirse a 0. para tomar las medidas oportunas sobre el impacto que los riesgos puedan producirle a estos. además de una calidad global de sus productos servicios y empleados. Antes de identificar los riesgos la empresa debe fijar sus objetivos.

esto es realizado con el fin de cumplir las obligaciones externas. Las entidades deben conducir sus actividades. inspecciones en el lugar y entrenamiento. bienestar de los empleados y comercio internacional.COSO I 2011  Objetivos relacionados con la Información Financiera: Están referidos a la preparación de estados financieros fiables y a la prevención de la falsificación de la información financiera publicada. precios. Riesgos: La dirección de la empresa debe examinar detalladamente los riesgos existentes a todos los niveles de la empresa y tomar las medidas oportunas y poder gestionarlos. las políticas y los procedimientos se relacionarán con programas de comunicaciones. Esas leyes y regulaciones establecen los niveles mínimos de comportamiento los cuales son integrados por la entidad en su cumplimiento de objetivos. Se identifican los riesgos de la siguiente forma: 14 AUDITORIA INTERNA . embalaje y etiquetado de todos los químicos de acuerdo con las regulaciones. por ejemplo. impuestos. Estas leyes establecen requisitos mínimos de comportamiento que la entidad debe integrar a sus objetivos de cumplimiento.  Objetivos de Cumplimiento: Las entidades deben adoptar medidas específicas en función de las leyes y normas aplicables. En este caso. La identificación de los riesgos es un proceso iterativo y suele integrarse en el proceso de planificación. y a menudo tomar acciones específicas. Por ejemplo. con mercados. Esos requerimientos se pueden relacionar. de acuerdo con leyes y regulaciones aplicables. el ambiente. La fiabilidad que se requiere para prepararlos estados financieros implica que estos sean presentados de acuerdo con los principios de contabilidad generalmente aceptados. las regulaciones se seguridad y salud ocupacional pueden hacer que una compañía defina sus objetivos como. Implica: Identificación de los Riesgos: En la medida que los objetivos se alejen de las pautas de comportamiento de la entidad en el pasado el nivel de riesgo aumenta.

− La competencia.− provocando cambios en marketing y servicios. etc. Análisis de los riesgos: Implica: Valoración del riesgo: Para administrar el riesgo no sólo es necesario identificarlo. A Nivel de Actividad: Los riesgos a este nivel son principalmente enfocados a su evaluación en las unidades o funciones más importantes del negocio como ventas. 15 AUDITORIA INTERNA . Uno de los propósitos clave de la evaluación del riesgo es informar a la gerencia sobre las áreas de riesgo y tomar las acciones respectivas. mediano y bajo. − Cambios económicos. Valoración de la “tolerancia” de riesgo de una organización: Es la cantidad de riesgos a que una entidad esta preparada a exponerse antes de tomar alguna acción. − Necesidades y expectativas de los clientes. − Averías en los sistemas informáticos − Calidad de los empleados y métodos usados en la empresa para su motivación y formación − Cambios de Responsabilidades para los directivos − Naturaleza de las actividades de la entidad − Un comité de auditoría o de administración ineficaz. − Desastres naturales. sino valuar la probabilidad de que este riesgo se dé. − Avances tecnológicos. producción. − Nuevas normas y reglamentos. marketing. Por ejemplo: Usar un marco de categorización del riesgo y dividirlo en alto.COSO I 2011 A Nivel de Empresa: Aquí se analizan los factores externos e internos que pueden incidir: Factores externos. Factores Internos.

ha de analizarse independientemente. Un ambiente regulador o económico modificado puede dar como resultado incremento en las presiones competitivas y en lo significativo de los riesgos diferentes. y la desregulación de las tasas de comisión en la industria de corretaje. la cultura de la entidad. Factores de la Gestión del Cambio. Las entidades que activamente identifican y manejan los riesgos tienen MEJORES PROBABILIDADES de estar bien preparadas para responder rápidamente cuando las cosas salen mal y responder a cualquier cambio en general. por ejemplo. dada su gran importancia para un control interno eficaz y porque puede pasar inadvertida fácilmente en el transcurso de la gestión diaria. Un ejecutivo principal nuevo en una entidad puede no entender.COSO I 2011 Desarrollo de las respuestas: El propósito del tratamiento no es necesariamente eliminar el riesgo. • Personal nuevo. o centrarse solamente en el desempeño 16 AUDITORIA INTERNA . La gestión de cambios es un proceso muy parecido al proceso de evaluación de riesgos habitual e incluso puede formar parte del mismo. Gestión del Cambio: Los cambios producidos hacen que el sistema de control interno que se considera eficaz en un contexto determinado no lo será en otro. • Cambió el ambiente de operación. introduce a las entidades en un ambiente competitivo cambiado ampliamente. Este proceso supone la identificación de la circunstancia que ha cambiado y el análisis de las oportunidades o riesgos asociados. La Desinversión en la industria de las telecomunicaciones. Lo fundamental es identificar las condiciones que hayan cambiado y tomar las acciones necesarias ante las mismas. sino mantenerlo bajo control.

actividades nuevas. La alta rotación de personal. por ejemplo. Las tecnologías justo a tiempo para manejo de inventarios de manufactura. entrenamiento y supervisión efectivos. por ejemplo. Cuando se incorporan nuevas tecnologías en el proceso de producción o en los sistemas de información. por ejemplo que se arriesgan en inversiones y préstamos en los cuales tienen poca o no experiencia previa. o de declinaciones significativas de 17 AUDITORIA INTERNA .COSO I 2011 de la exclusión de las actividades relacionadas con el control. con ausencia de. particularmente cuando existe presión de disminuir los tiempos de ejecución. • Líneas. comúnmente requieren cambios en los sistemas de costos y en los controles relacionados para asegurar reporte de información significativa. los sistemas existentes pueden forzarse excesivamente hasta el punto de que los controles se averían. los supervisores existentes pueden ser incapaces de mantener control adecuado. Cuando las operaciones se expanden significativa y rápidamente. Cuando una entidad incorpora nuevas líneas de negocioso realiza transacciones con las cuales no está familiarizada. cuando se cambian los procesos o se añade personal de oficina. los controles existentes pueden no ser adecuados. productos. centrándose en cómo controlar los riesgos implicados. puede generar desastres. • Restructuración corporativa. Normalmente los controles. Las organizaciones de ventas y préstamos. por ejemplo. • Tecnología nueva. de una compra apalancada. existe una alta probabilidad de que los controles internos necesiten ser modificados. efectivos pueden averiarse cuando se desarrollan sistemas nuevos. • Sistemas de información nuevos o reconstruidos. Las reestructuraciones resultantes. para obtener ventajas competitivas o realizar movimientos tácticos. • Crecimiento rápido.

que ayudan asegurar que se implementen las acciones necesarias para abordar los riesgos que entraña el cumplimiento de los objetivos de la entidad. • Operaciones en el extranjero. archivo. un trabajo que desempeña una función clave de con control puede ser eliminado sin compensar los controles en su lugar. y tener un costo adecuado. funcionar consistentemente de acuerdo a un plan a lo largo de un período. que comprenda muchos aspectos. 6. Por ejemplo. También. los cuales debe orientar la administración. Un número de compañías aprendió muy tarde que ellos hicieron recortes de personal rápidos y en gran escala sin consideraciones adecuadas de las serias implicaciones de control. el ambiente de control es apropiado para ser dirigido por la cultura y las costumbres de la administración local. O.COSO I 2011 negocios o de programas de reducción de costos pueden estar acompañadas de reducciones de personal e inadecuadas supervisión y segregación de funciones. ser razonables y estar relacionadas directamente con los objetivos de control. revisión). Para ser efectivas. La expansión o la adquisición de operaciones en el extranjero acarrean riesgos nuevos a menudo.3-ACTIVIDADES DE CONTROL: Son políticas y procedimientos. las actividades de control deben ser apropiadas. 2. O. 18 AUDITORIA INTERNA . los canales de comunicación y los sistemas de información pueden no estar bien establecidos y disponibles para todos los individuos. Segregación de funciones (autorización. Incluyen una gama de actividades de control de detección y prevención tan diversas como por ejemplo: 1. procesamiento. en todos los niveles y en todas las funciones. los riesgos del negocio pueden derivar de factores singulares para la economía local y para el ambiente regulador. Las actividades de control se dan en toda la organización. Procedimientos de autorización y aprobación.

se separan las responsabilidades de autorizar transacciones. procesos y actividades. Así. La autorización específica tiene que ver con las operaciones individuales. revisiones y aprobaciones. Las entidades deben alcanzar un balance adecuado entre la detección y la prevención en las actividades de control. el resultado sería un caos total. Verificaciones. Supervisión (asignaciones. los subordinados reciben instrucciones de llevar a cabo estas autorizaciones generales al aprobar todas las operaciones dentro de los límites que establece la política. II. Revisión de desempeño operativo. por ejemplo. De acuerdo con la autorización general. dirección y capacitación). Las acciones correctivas son un complemento necesario para las actividades de control en la búsqueda del logro de los objetivos. Conciliaciones. limites de crédito para clientes y puntos fijos de reabastecimiento para adquisiciones. Controles sobre el acceso a recursos y archivos. Revisión de operaciones. 19 AUDITORIA INTERNA . Autorización adecuada de las operaciones y actividades: Cada operación debe ser autorizada de manera adecuada si se desea que los controles sean satisfactorios. 6. Segregación de funciones: Con el fin de reducir el riesgo de que se cometan errores o irregularidades. Las decisiones de las autorizaciones generales pueden incluir la emisión de listas de precios fijos para la venta de productos. 7. la administración establece políticas que la organización debe seguir. Tipos de Actividades de control: I. 4. 8.COSO I 2011 3. Si cualquier persona en una empresa pudiera adquirir o ampliar activos a voluntad. 5. La autorización puede ser general o específica. de registrarlas y de gestionar los activos correspondientes. las tareas se reparten entre los empleados.

órdenes de compra. Controles sobre los Documentos y archivos: Los documentos y registros son los objetos físicos en los que se asientan y resumen las transacciones. si el departamento receptor llena un informe de recepción cuando se obtiene un material. permiten que se esfuerce el cumplimiento de los planes de acción establecidos y que se mantengan sus organizaciones en el camino adecuado para la consecución de sus objetivos. Estos incluyen cuestiones tan diversas como las facturas de ventas. aplicados de forma cotidiana en las empresas. Si se permite que una persona realice ambas funciones. o 20 AUDITORIA INTERNA . Por ejemplo. el departamento de cuentas por pagar puede verificar la cantidad y descripción de la factura del proveedor al compararla con la información del informe de recepción. recibe efectivo y es responsable de los datos que se asientan en los registros de entradas de efectivo y ventas. diarios de ventas. según sea posible. III. esa persona puede tomar el efectivo recibido y ajustar la cuenta del cliente no registrando una venta o registrando una venta o registrando un crédito ficticio para esa cuenta.  Preparados en el momento que ocurra una operación inmediatamente después. aumenta el riesgo de que una persona disponga del activo para una ganancia personal y ajuste los registros para cubrir el robo.COSO I 2011 Una persona que tiene la custodia temporal o permanente de un activo no debe ser responsable de rendir cuentas relacionadas condicho activo. Los documentos deben ser adecuados para proporcionar una seguridad razonable que todos los activos y todas las operaciones se controlan de manera correcta y se registran correctamente. Si el cajero. Estos son solamente algunos ejemplos de los múltiples procedimientos que. Los documentos cumplen la función de transmitir información en toda la empresa del cliente y entre las diferentes empresas. etc. por ejemplo. Los documentos y registros deben estar:  Pre enumerado de manera consecutiva a fin de facilitar el control sobre documentos faltantes y como ayuda para localizar documentos cuando se necesitan en una fecha posterior.

Verificaciones independientes referentes al desempeño: La necesidad de verificaciones independientes surge porque una estructura de control interno tiende a cambiar con el tiempo a menos que exista un mecanismo para un análisis constante. los pueden robar. IV. Es probable que el personal olvide o no siga intencionalmente los procedimientos. espacios en blanco para autorizaciones y aprobaciones. Elaborados de manera que fomenten una preparación adecuada. Control físico sobre activos y registros: Para tener un control interno adecuado es esencial proteger los activos y los registros. el personal puede llevar a cabo acciones fraudulentas y cometer errores no intencionados. es muy importante proteger su equipo de cómputo. Revisión de desempeño operativo El desempeño de las operaciones es revisado a la luz de las normas sobre una base regular. V.I. Si los activos están desprotegidos. Si los análisis de 21 AUDITORIA INTERNA . Por ejemplo.I. Conciliaciones Los archivos son conciliados con los documentos apropiados sobre una base regular.I.COSO I 2011   Lo suficientemente sencillos para asegurar que se entiendan de manera clara. ejemplo: los archivos de contabilidad relacionados con las cuentas bancarias son conciliados con los estados bancarios correspondientes. sus programas y archivos de datos. valorando la efectividad y eficiencia. un documento puede incluir instrucciones sobre la ruta adecuada que ha de seguirse. V. V. Cuando una compañía está muy computarizada. En el caso de que esto ocurra. dañar o extraviar. se puede dañar seriamente el proceso de contabilidad y las operaciones habituales. Sin importar la calidad de los controles. o se vuelva descuidado a no ser que alguien observe y evalué su desempeño.

La delegación de trabajo de un supervisor no debe disminuir la responsabilidad del supervisor por estas responsabilidades y funciones. revisión y aprobación del trabajo de un empleado comprende: • La comunicación clara de las funciones. procesos y actividades Las operaciones. V. La lista antes mencionada no es exhaustiva pero enumera las actividades más comunes de control preventivo y de detección. Los supervisores además deberán dar a los empleados la suficiente guía y capacitación para ayudar a asegurarse de que los errores.I. Las 22 AUDITORIA INTERNA .COSO I 2011 gestión determinan que las acciones existentes no alcanzan los objetivos o normas establecidas.I. La asignación. desperdicio y actividades incorrectas sean minimizados y que las directivas de la gerencia sean entendidas y cumplidas. responsabilidades y responsabilidad asignada a cada miembro del personal. mientras que 7-8 son tanto preventivas como de detección. políticas.I. dirección y La supervisión competente ayuda a asegurar que los objetivos de control interno sean alcanzados. V. revisión y aprobación. procedimientos en vigor y con el resto de los requisitos. • La revisión sistemática del trabajo de cada miembro hasta donde sea necesario: • La aprobación del trabajo en puntos críticos para asegurarse de que marcha como se quiere.I Supervisión capacitación) (valoración. los procesos y las actividades deben ser periódicamente revisadas para asegurar que cumplen con los reglamentos. Las actividades de control 1-3 son preventivas. los procesos y las actividades establecidas para alcanzar los objetivos deberían ser objeto de análisis para determinar si son necesarias mejoras. 46 son de detección.I Revisión de operaciones.

Dentro de los mencionados datos existen algunos que son relevantes para la consecución de los objetivos propuestos por la organización. Deben estar integradas a los otros cuatro componentes. Más aún. todo el personal debe recibir un claro mensaje de la Alta Gerencia de sus responsabilidades sobre el control así como la forma en que las actividades individuales se relacionan con el trabajo de otros. tenemos: I. es esencial que se obtenga seguridad sobre su efectividad. así como también de fuentes formales e informales. los datos económicos de la organización y de los mecanismos de control. así como a entidades externas. debe quedar claro que las actividades de control forman sólo un componente del control interno.duales. Esto es debido a las herramientas que permitieron una mayor disponibilidad de los mismos. Asimismo debe contarse con medios para comunicar información relevante hacia los mandos superiores. 23 AUDITORIA INTERNA . es decir. Una información pertinente debe ser capturada. Estas herramientas son llamados sistemas de información.-INFORMACIÓN Y COMUNICACIÓN En la actualidad.trol. Una vez que una actividad de control es implantada. 6. Consecuentemente.4. por esta razón frecuentemente se utiliza una mezcla de estos controles para compensar desventajas particulares de controles indivi. INFORMACIÓN: La información es esencial para que la empresa pueda funcionar y para que la dirección tome decisiones acertadas. procesada y comunicada al personal en forma y dentro al tiempo indicado. las organizaciones tienen acceso a un gran volumen de datos. Estos pueden ser obtenidos de fuentes internas o externas a la organización.COSO I 2011 entidades deben alcanzar un balance adecuado entre la detección y la prevención en las actividades de control. de forma tal que le permita cumplir con sus responsabilidades. Esta información incluye los datos del sector. las acciones correctivas son un complemento necesario para las actividades de con.

Según la Presentación:   Fuentes Formales: Por ejemplo la información obtenida en seminarios. Según el Contenido:   Información Financiera: Es información que refleja cualquier actividad relacionada con el origen o el manejo de fondos.   Fuentes Internas: Es la información recabada del personal perteneciente a la organización. Fuentes Externas: Es la información recogida de personas ajenas a la organización.COSO I 2011 Dado que las empresas se mueven en un entorno cada vez más cambiante. es también parte esencial de la toma de decisiones así como de seguimiento de las operaciones. También se distribuye en un formato predefinido y de manera oportuna para permitir al 24 AUDITORIA INTERNA . Según el Origen de Donde Provenga: La información tanto generada internamente como aquellos que se refiere a eventos acontecidos en el exterior. congresos o eventos. Fuentes Informales: Por ejemplo la información que surge con los clientes o proveedores. La misma pueden presentarse y ser adquirida de diversas maneras sin perder así la cualidad de información. Información de Control Interno: Se identifica y captura información utilizada para poner en marcha otros componentes de control. resulta importante que los sistemas de información puedan adaptarse en forma oportuna y ágil a alas condiciones del entorno. es por ello que la flexibilidad de los mismos resulta fundamental.

conciso. Desde el punto de vista jerárquico. Según la Calidad de la Información:  El grado de calidad de la información condiciona fuertemente la toma de decisiones de los individuos de la organización y pueden llegar a determinar si las decisiones son acertadas o no. Por lo expuesto se puede determinar que la comunicación forma parte de los sistemas de información. La calidad de la información dependerá de los siguientes factores:       Contenido: Está toda la información necesaria. debe producirse de arriba hacia abajo. exacto y oportuno. Es necesario que los informes ofrezcan los suficientes datos relevantes para posibilitar un control eficaz. También se indicó que los sistemas de información debían proporcionar información que debe ser accesible sólo para las personas adecuadas. las acciones correctivas. Se hizo foco en que el resultado debía ser claro. Los canales por los que se envía la misma deben ser adecuados y debe estar presente en todos los niveles de la organización. Oportunidad: Tiempo de obtención adecuado. Exactitud: Contiene datos correctos y precisos. Actualidad: Información reciente. II.COSO I 2011 personal llevar a cabo. No es un dato menor que si no se cumple algunos de los factores anteriores. Accesibilidad: Fácil obtención por las personas autorizadas y denegación de acceso a las no autorizadas. la información pierde parte de su utilidad dado que debe servir para que el personal pueda cumplir con sus responsabilidades operacionales. COMUNICACIÓN: Anteriormente se habló de la obtención y depuración de los datos para transformarlos en información. de abajo hacia 25 AUDITORIA INTERNA . de información financiera o de control. si correspondiere.

también debe conocer cómo sus acciones se relacionan con el trabajo de los demás. tomar Para tomar las medidas correctivas adecuadas. Así como la información. Un ejemplo remarcable de este tipo de comunicación son los estudios de mercado tanto para iniciar un negocio como para mejorar la calidad de uno en marcha. Comunicación Interna: Cada miembro de la organización debe entender la importancia del sistema de control interno y saber cuáles son sus derechos. denuncias teniendo como premisa la mejoría del ambiente de control. que el personal cuente con mecanismos para enviar y registrar información y que la alta gerencia esté dispuesta a escuchar para que así los empleados puedan enviar sus inquietudes. si correspondiere. preocupaciones y. la comunicación puede producirse de manera interna o externa.COSO I 2011 arriba y hacia ambos lados. 26 AUDITORIA INTERNA . ya sea por desconocimiento o por mala intención. Es muy importante debido a que se puede obtener información de las preferencias y exigencias de los clientes de fuentes muy confiables. obligaciones y responsabilidades dentro de este sistema. También es importante que los canales de comunicación estén abiertos hacia los niveles superiores. De no ser así es muy probable la consecución de problemas y violaciones a los controles establecidos. y cómo afecta cualquier desvío de sus actividades en el resto. Esto aumenta las posibilidades de obtener el máximo rendimiento de cada RRHH. Comunicación Externa: Es la que se realiza con las personas ajenas a la organización.

5 MONITOREO Y SUPERVISIÓN Como todo sistema. y que el control interno logre los resultados deseados. Para lograr esto se llevan a cabo actividades de supervisión continua. también el sistema de Control Interno necesita de supervisión para funcionar correctamente. 6. evaluaciones periódicas o una combinación de ambas cosas y de esta manera se logra asegurar que el control interno siga siendo aplicable a todos los niveles y a través de toda la entidad. conciliaciones. la supervisión es un proceso que comprueba que el sistema de Control Interno funciona adecuadamente a lo largo del tiempo. Debe existir un proceso que compruebe que el sistema de control interno se mantiene en funcionamiento a través del tiempo. trasladando los temas más importantes a la alta dirección y al consejo de Administración. El alcance y frecuencia de las evaluaciones independientes dependerá fundamentalmente de la evaluación de los riesgos y la eficacia de los procedimientos de supervisión permanente. Un ejemplo sencillo serían los reclamos por envíos defectuosos que revelan problemas de tipo operativos o denuncias de proveedores.COSO I 2011 Las comunicaciones recibidas de terceros a veces brindan información importante sobre el funcionamiento del sistema de control interno. tiene lugar una supervisión permanente. actividades corrientes de Gestión y supervisión así como otras actividades rutinarias. Supervisión Continua: Existe una gran variedad de actividades que permiten efectuar un seguimiento de la eficacia del control interno. Las deficiencias en la gestión de riesgos corporativos se comunican de forma ascendente. I. En este sentido. 27 AUDITORIA INTERNA . Durante el transcurso normal de las actividades de gestión. como comparaciones.

centrándose directamente sobre la eficacia de dicha gestión. Este tipo de actividades proporciona información valiosa sobre la efectividad de los sistemas de control.  Pueda prevenir pérdidas de recursos. Incluye la administración y actividades de supervisión y otras acciones que el personal ejecuta al cumplir con sus obligaciones.COSO I 2011 La supervisión continua tiene tareas permanentes y revisiones periódicas. Evaluaciones independientes: Aunque los procedimientos de seguimiento permanente normalmente proporcionan una retroalimentación importante sobre la eficacia do otros componentes de la gestión de riesgos corporativos. que se traduce en objetividad y que están dirigidas respectivamente a la efectividad de los controles y por adición a la evaluación a la efectividad de los procedimientos de supervisión y seguimiento del sistema de control. 28 AUDITORIA INTERNA . puede resultar provechoso echar un nuevo vistazo de vez en cuando. el control interno es necesario para ayudar a que una organización:  Consigna sus objetivos de responsabilidad. Además la supervisión continua de control interno está construida dentro de las operaciones normales y recurrentes de la entidad.  Refuerce la confianza al cumplir las leyes y normas aplicables. II. Las deficiencias detectadas deben ser oportunamente comunicadas. En síntesis. La frecuencia de éstas últimas dependerá de la importancia de los riesgos en juego.  Obtenga información contable confiable. Desde luego las ventajas de este enfoque son que tales evaluaciones tienen un carácter independiente.

sus deficiencias deben ser reportadas al nivel adecuado de la gerencia. las evaluaciones independientes de la gestión de riesgos corporativos se llevan a cabo periódicamente.COSO I 2011 El rango y frecuencia de las evaluaciones independientes dependerá en primer lugar de la valoración de riesgos y de la efectividad de los procedimientos permanentes de seguimiento. o una oportunidad para fortalecer el control interno con la idea de aumentar las probabilidades de que la entidad logre sus objetivos generales. El término ―deficiencia‖ se refiere a la condición que afecta la habilidad de la entidad para lograr sus objetivos generales. potencial o real. Habitualmente. Las evaluaciones independientes además cubren la evaluación de la efectividad del sistema de control interno y aseguran que el control interno logre los resultados deseados basándose en métodos predefinidos y procedimientos. proceso o departamento específico. Todas las deficiencias encontradas durante el seguimiento continuo o a través de evaluaciones independientes deben ser comunicadas a aquellas personas que puedan tomar las acciones necesarias. especialistas externos o por una combinación de estas funciones. En otros casos. abordando otras áreas del negocio más adelante. la evaluación se limita a una unidad de negocio. Las evaluaciones independientes son llevadas a cabo por la dirección. Las evaluaciones independientes tienen a veces un alcance amplio incluyendo toda la entidad y todos los componentes de gestión de riesgos corporativos. Una deficiencia. En algunos casos son originadas por un cambio en la estrategia. el departamento de auditoría interna. 29 AUDITORIA INTERNA . procesos clave o estructura de la entidad. por lo tanto. puede representar un defecto percibido.

buscando con ello asegurar que el control interno 30 AUDITORIA INTERNA . Completar. lo que significa al individuo responsable por el funcionamiento y también al último nivel de la gerencia que esté sobre dicho individuo. 3. Deben establecerse por ello requerimientos para identificar qué información es necesaria en un nivel particular para tomar decisiones de modo efectivo. Los gerentes deben: 1. al igual que la información necesaria para lograr objetivos específicos. El seguimiento del control interno debe incluir políticas y procedimientos que buscan asegurar que los hallazgos de auditoría y otras revisiones sean adecuados y oportunamente resueltos. La otra posibilidad para la evaluación de los sistemas de control. 2.COSO I 2011 Proveer la información necesaria sobre las deficiencias de control interno a la parte responsable es difícil. La información generada en el curso de las operaciones es usualmente reportada a través de canales normales. Determinar las acciones correctivas en respuesta a los hallazgos y recomendaciones de las auditorías y revisiones. es la combinación de las actividades de supervisión y las evaluaciones independientes. los canales alternativos de comunicación deben existir para reportar información delicada como ser actos ilegales o incorrectos. dentro de los marcos establecidos. todas las acciones que corrijan o resuelvan de cualquier otra manera los asuntos que han llamado su atención. Evaluar oportunamente los hallazgos de auditoría y otras revisiones. De cualquier modo. Estos requerimientos reflejan la regla general que una gerencia debe recibir la información que afecta las acciones o conductas del personal bajo su responsabilidad. incluyendo aquellos que muestren deficiencias y recomendaciones reportadas por los auditores y otros que evalúen las operaciones de los departamentos.

se alcanzan los objetivos generales expuesto en la definición de control interno. es decir. El seguimiento también debería valorar si.COSO I 2011 mantenga su efectividad a través del tiempo. El seguimiento debe asegurar que los hallazgos de auditoría y las recomendaciones sean adecuados y oportunamente resueltos. También busca asegurar que los controles operen como se requiere y que sean modificados apropiadamente de acuerdo a los cambios en las condiciones. 31 AUDITORIA INTERNA . en cumplimiento de la misión de la entidad. maximizando las ventajas de ambas alternativas y minimizando sus debilidades.

diques. Los posibles riesgos son choque de barcos. y toma de ejemplos de agua. y publicar los nombres de sustancias contaminantes. resultados de muestras y una comparación con las de otros países.COSO I 2011 EJEMPLO DE CUMPLIMIENTO DE LAS OBLIGACIONES DE RESPONSABILIDAD: Un departamento que es responsable por el manejo del transporte seguro por río y mar ha sido organizado por los diferentes departamentos de servicios responsables por pilotaje. flotación. violaciones al medio ambiente. con sus datos históricos. y las acciones correctivas tomadas. inspección de la calidad del agua. inspección visual por aire. faros y marcas. Las actividades de control que pueden ser organizadas son el pilotaje de barcos por pilotos competentes. inversión y mantenimiento de infraestructura (puentes. Si los problemas estuvieran relacionados con negligencia por parte del departamento de gobierno. promoción de utilización de medios acuáticos de transporte. las inspecciones y las muestras de agua. las sanciones que tienen que enfrentar. 32 AUDITORIA INTERNA . La información y comunicación relacionadas con esta situación pueden reportar colisiones para prevenir a otros barcos. éste podría sufrir una severa sanción. Los gerentes operacionales tienen que tener las habilidades necesarias y la autoridad para tomar algunas decisiones. Todos ellos también firman un código de conducta correcta. derrame de materia tóxica o combustible y explosión de diques. pueden ayudar a monitorear la efectividad y la eficiencia del pilotaje de barcos. la colocación de faros y marcas. colocación de boyas. canales y esclusas) Entorno de control Evaluación de riesgo Actividades de control Información y comunicación Seguimiento Para cada uno de los departamentos de servicio se designa un gerente operacional que reporte al gerente general del departamento. Un seguimiento de los números de coaliciones. informar a los barcos sobre condiciones climáticas.

En síntesis. es fundamental para que dicha organización pueda subsistir. es que las organizaciones buscaron diversas formas de formalizar procesos de elaboración y control de la información. la Información es uno de los recursos más preciados en cualquier organización. consistente.O. Actividades de control. Conclusiones En la actualidad. riesgos y conductas inadecuadas que puedan surgir. Si bien todas las organizaciones necesitan llevar a cabo prácticas de control. El contar con información íntegra. Evaluación de riesgos. accesible. desarrollarse y tomar decisiones correctas en el dinámico mundo actual. como de clientes y proveedores. y Supervisión) genera una sinergia conformando un sistema integrado que responde dinámicamente a los cambios del entorno. las prácticas C. reglas y buenas prácticas acerca del control interno en una organización. 33 AUDITORIA INTERNA . En el marco de control postulado a través del Informe COSO.O. confiable y oportuna. la interrelación de los cinco componentes (Ambiente de control. Información y comunicación. este informe está especialmente orientado a aquellas en las que por su envergadura. Por todo esto. A razón de esto surge el Informe COSO.S. requieren y están en condiciones de aplicar mecanismos formales y preestablecidos de control para evitar o reducir los fraudes. son una herramienta altamente recomendable en materia de control interno para grandes organizaciones. el cual es un compendio de definiciones. tanto por parte del personal.COSO I 2011 7.

Control financiero.COSO I 2011 BIBLIOGRAFIA  Joaquín Rodríguez Valencia.Un efectivo sistema para la empresa.sétima edición 1975  Cepeda Alonso . Auditoria Contemporánea.ECOE ediciones.febrero 2009  Panez Meza Julio . Auditoria y Control Interno 200 edit . 34 AUDITORIA INTERNA . El sistema e control interno—Trillas Segunda Edición . Metodología de la Auditoria Tomo III-Iberoamericana de Auditores SA-EDICION 1988  Instituto Mexicano de contadores. Control Interno-Informe Coso . Normas y procedimientos de Auditoria – litograf SA.Bogota Colombia  Mantilla B Samuel Alberto.Gustavo. Administrativo y contable. Control Interno .