ESCUELA SUPERIOR POLITÉCNICA DE CHIMBORAZO

FACULTAD DE ADMINISTRACIÓN DE EMPRESAS

ESCUELA DE INGENIERÍA DE EMPRESAS

MATERIA:

AUDITORÍA DE GESTIÓN

TÍTULO:

COSO: I, II Y II

AUTOR:

GUILCAPI DAMIAN

TUTOR:

ING. FERNANDO VELOZ

SEMESTRE:

OCTAVO “2”

FECHA:

06 D MAYO DEL 2019

RIOBAMBA – ECUADOR

~1~
CONTENIDO
1. INTRODUCCIÓN ................................................................................................... 4

2. OBJETIVOS ............................................................................................................ 5

2.1. OBJETIVO GENERAL .................................................................................. 5

2.2. OBJETIVOS ESPECÍFICOS ......................................................................... 5

3. COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE

TREADWAY COMMISSION) ..................................................................................... 6

3.1. COSO I.............................................................................................................. 7

3.1.1. MATRIZ DE COMPONENTES COSO I .............................................. 8

3.1.2. CUESTIONARIOS COSO I .................................................................. 12

3.1.3. ANÁLISIS COSO I ................................................................................ 25

3.2. COSO II .......................................................................................................... 26

3.2.1. MATRIZ DE COMPONENTES COSO II .......................................... 26

3.2.2. CUESTIONARIOS COSO II ................................................................ 30

3.2.3. ANÁLISIS COSO II ............................................................................... 38

3.3. COSO III ........................................................................................................ 39

3.3.1. MATRIZ DE COMPONENTES COSO III ......................................... 40

3.3.2. CUESTIONARIOS COSO III............................................................... 42

3.3.3. PRINCIPIOS COSO III......................................................................... 45

3.3.4. ANÁLISIS COSO III ............................................................................. 46

3.4. CUADRO SINÓPTICO ................................................................................ 47

3.5. CUADRO COMPARATIVO COSO I, II, III ............................................. 48

4. CONCLUSIONES Y RECOMENDACIONES .................................................. 49

4.2. CONCLUSIONES ......................................................................................... 49

4.3. RECOMENDACIONES ............................................................................... 49

5. BIBLIOGRAFÍA ................................................................................................... 50

~2~
INDICE DE ILUSTRACIONES

Ilustración 1 – Matriz de Componentes COSO I............................................................ 11

Ilustración 2 - Matriz de componentes COSO II ............................................................ 29
Ilustración 3 - Relación COSO I y COSO II .................................................................. 29
Ilustración 4 - Marco Integrado COSO III ..................................................................... 39

INDICE DE TABLAS

Tabla 1 - COSO I .............................................................................................................. 7

Tabla 2 - Matriz de componentes COSO I ....................................................................... 9
Tabla 3 – Cuestionario Ambiente de Control (COSO I) ................................................ 16
Tabla 4 - Cuestionario Evaluación de Riesgos (COSO I) .............................................. 18
Tabla 5 - Cuestionario Actividades de Control (COSO I).............................................. 23
Tabla 6 - Cuestionario Información y Comunicación (COSO I).................................... 24
Tabla 7 - Cuestionario Supervisión (COSO I) ............................................................... 24
Tabla 8 - Matriz de componentes COSO II .................................................................... 27
Tabla 9 - Cuestionario Ambiente Interno (COSO II) ..................................................... 31
Tabla 10 - Cuestionario Establecimiento de Objetivos (COSO II) ................................ 32
Tabla 11 - Cuestionario Identificación de Eventos (COSO II) ...................................... 33
Tabla 12 - Cuestionario Evaluación de Riesgos (COSO II) ........................................... 34
Tabla 13 - Cuestionario Respuesta al Riesgo (COSO II) ............................................... 35
Tabla 14 - Cuestionario Actividade de Control (COSO II) ............................................ 36
Tabla 15 - Ccuestionario Información y Comunicación (COSO II) .............................. 37
Tabla 16 - Cuestionario Monitoreo (COSO II) .............................................................. 37
Tabla 17 - Cuestionarios de los componentes COSO III................................................ 44
Tabla 18 - Cuadro comparativo COSO .......................................................................... 48

~3~
1. INTRODUCCIÓN

El presente trabajo muestra la compilación de cada uno de los COSO, relacionados

con el control interno entendiéndose como el proceso que ejecuta la administración
con el fin de evaluar operaciones específicas con seguridad razonable en tres
principales categorías: eficiencia y efectividad operacional confiabilidad de la
información y cumplimiento de políticas, leyes y normas.

El control interno es parte integral de una empresa para que esta pueda desarrollarse
en el medio ambiente que la rodea y a la vez pueda tener cierto grado de control sobre
una adversidad de factores que podría influir en su desempeño.

El control interno COSO se fundamenta en un proceso efectuados por personas en

todos los niveles de la organización. La implementación de este control interno busca
que los objetivos de la empres se cumplan de la mejor manera posible, ayudando a
aumentar la eficiencia, la confiabilidad de los estados financieros y al cumplimiento
de las leyes.

La comprensión del control interno puede así ayudar a cualquier entidad pública o
privada a obtener logros significativos en su desempeño con
eficiencia, eficacia y economía, indicadores indispensables para el análisis, toma de
decisiones y cumplimiento de metas.

~4~
2. OBJETIVOS

2.1. OBJETIVO GENERAL

 Dar a conocer cada uno de los aspectos mas importantes del control interno COSO
como también cada uno de sus componentes.

2.2. OBJETIVOS ESPECÍFICOS

 Identificar cada uno de los componentes del control Interno COSO I

 Analizar los 8 componentes del sistema COSO II o ERM
 Mostrar los 17 principios del sistema COSO III

~5~
3. COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE
TREADWAY COMMISSION)

Es una comisión que fue formada por cinco organizaciones de contadores y auditores de
los Estados Unidos, que se llamó Committee of Sponsoring Organizations of the
Treadway (Comité de Organizaciones Patrocinadoras de la Comisión Treadway), siendo
estas organizaciones:

 La Asociación Americana de Contabilidad (AAA)

 El Instituto Americano de Contadores Públicos Certificados (AICPA)
 El Instituto de Auditores Internos (IIA)
 El Instituto de Contadores Gestión (IMA).
 Instituto de Ejecutivos Financieros (FEI)

Un poco de historia del informe COSO

El impulsor de su formación fueron los acontecimientos de 1985 en Estados Unidos, que

debido a las malas prácticas por parte de las empresas generaron una crisis en el sistema
financiero de esa época. La Comisión Treadway realizó estudios de qué factores llevaron
a las empresas a la presentación de información financiera fraudulenta, elaborando un
informe con recomendaciones y destinado a todo tipo de organizaciones, principalmente
a las que son reguladas por la SEC (Securities and Exchange Commission - Comisión de
Mercados y Valores de Estados Unidos).

Los aportes que ha realizado la organización COSO son:

 Ayuda en la implementación del control interno

 Sirve de ayuda en la optimización de recursos y los hace más rentables.
 Ayuda en la implementación de una adecuada gestión de riesgos en todos los
niveles de la organización.
 Sirve de herramienta en la integración de sistemas de gestión de riesgos que se
tengan implementados la organización.
 Es de mucha utilidad para la comunicación dentro de la organización. (El Auditor
Moderno, 2017)

~6~
3.1. COSO I
Hace más de una década el Committee of Sponsoring Organizations of the Treadway
Commission, conocido como COSO, publicó el Internal Control - Integrated Framework
(COSO I) para facilitar a las empresas a evaluar y mejorar sus sistemas de control interno.
Desde entonces esta metodología se incorporó en las políticas, reglas y regulaciones y ha
sido utilizada por muchas compañías para mejorar sus actividades de control hacia el
logro de sus objetivos.

Hacia fines de Septiembre de 2004, como respuesta a una serie de escándalos, e

irregularidades que provocaron pérdidas importante a inversionistas, empleados y otros
grupos de interés, nuevamente el Committee of Sponsoring Organizations of the
Treadway Commission, publicó el Enterprise Risk Management - Integrated Framework
(COSO II) y sus Aplicaciones técnicas asociadas, el cual amplía el concepto de control
interno, proporcionando un foco más robusto y extenso sobre la identificación, evaluación
y gestión integral de riesgo.

Este nuevo enfoque no sustituye el marco de control interno, sino que lo incorpora
como parte de él, permitiendo a las compañías mejorar sus prácticas de control interno o
decidir encaminarse hacia un proceso más completo de gestión de riesgo.

A NIVEL ORGANIZACIONAL A NIVEL REGULATORIO

Este documento destaca la necesidad de Llamado también normativo, el Informe
que la alta dirección y el resto de la COSO ha pretendido que cuando se
organización comprendan cabalmente la plantee cualquier discusión o problema de
trascendencia del control interno, la control interno, tanto a nivel práctico de
incidencia del mismo sobre los resultados las empresas, como a nivel de auditoría
de la gestión, el papel estratégico a interna o externa, o en los ámbitos
conceder a la auditoría y esencialmente la académicos o legislativos, los
consideración del control como un interlocutores tengan una referencia
proceso integrado a los procesos conceptual común, lo cual hasta ahora
operativos de la empresa y no como un resultaba complejo, dada la multiplicidad
conjunto pesado, compuesto por de definiciones y conceptos divergentes
mecanismos burocráticos. que han existido sobre control interno.

Tabla 1 - COSO I

~7~
Objetivos del COSO I

 Establecer una definición común de control interno que responda a las

necesidades de las distintas partes
 Facilitar un modelo en base al cual las empresas y otras entidades, cualquiera sea
su tamaño y naturaleza, puedan evaluar sus sistemas de control interno.

Control Interno

Proceso realizado por el consejo de directores, administradores y otro personal de una

entidad, diseñado para proporcionar seguridad razonable mirando el cumplimiento de los
objetivos en las siguientes categorías:

 Efectividad y eficiencia de las operaciones.

 Confiabilidad de la información financiera.
 Cumplimiento de las leyes y regulaciones aplicables.

El Control Interno puede juzgarse efectivo en cada una de las categorías anteriores
respectivamente, si quienes lo llevan a cabo tienen seguridad razonable sobre que:

 Comprenden la extensión en la cual se están obteniendo los objetivos de las

operaciones de la entidad.
 Los EEFF publicados se están preparando confiablemente.
 Se está cumpliendo con las leyes y regulaciones aplicables.

Ya que el Control Interno es un proceso, su efectividad es un estado o condición del

mismo en uno o más puntos a través del tiempo. (Olimpicos368613, 2016)

3.1.1. MATRIZ DE COMPONENTES COSO I

Los componentes de COSO I permiten obtener un plan de organización que proporcione

una apropiada distribución funcional de la autoridad y la responsabilidad de cada
miembro de la organización, así como un plan de autorizaciones, registros contables y
procedimientos adecuados para ejercer controles sobre activos, pasivo, ingresos y gastos.
El personal debe estar adecuadamente instruido sobre sus derechos y obligaciones, que
han de estar en proporción con sus responsabilidades, ya que el Control Interno tiene entre
sus objetivos fundamentales el perfeccionamiento y protección de los bienes de la
compañía.

~8~
La estructura del modelo COSO I esta conformada por cinco componentes:
N° COMPONENTES COSO I
1 AMBIENTE DE CONTROL
2 EVALUACIÓN DE RIESGO
3 ACTIVIDAD DE CONTROL
4 INFORMACIÓN COMUNICACIONAL
5 MONITOREO
Tabla 2 - Matriz de componentes COSO I

1. Ambiente de control

Consiste en el establecimiento de un entorno que se estimule e influencia la actividad del

personal con respecto al control de sus actividades. Es la base de los demás componentes
de control a proveer disciplina y estructura para el control e incidir en la manera como:

 Se estructuran las actividades del negocio

 Se asigna autoridad y responsabilidad
 Se organiza y desarrolla la gente
 Se comparte y comunican los valores y creencias
 El personal toma conciencia de la importancia del control
2. Evaluación de riesgo

Es la identificación y análisis de riesgos relevantes para el logro de los objetivos y la base

para determinar la forma en que tales riesgos deben ser mejorados. Así mismo, se refiere
a los mecanismos necesarios para identificar y manejar riesgos específicos asociados con
los cambios, tanto los que influyen en el entorno de la organización como en su interior.

La evolución de riesgos debe ser una responsabilidad ineludible para todos los niveles
que están involucrados en el logro de los objetivos. Esta actividad de autoevaluación debe
ser revisada por los auditores interno para asegurar que tanto el objetivo, enfoque, alcance
y procedimiento han sido apropiadamente llevados a cabo.

Los riesgos de actividades también deben ser identificados, ayudando con ello a
administrar los riesgos en las áreas o funciones más importantes; las causas en este nivel
pertenecen a un rango amplio que va desde lo obvio hasta lo complejo y con distintos
grados de significación, deben incluir entre otros aspectos los siguientes:

 La estimación de la importancia del riesgo y sus efectos.

~9~
  La evaluación de la probabilidad de ocurrencia.
 El establecimiento de acciones y controles necesarios.
 La evaluación periódica del proceso anterior.
3. Actividad de control

Son aquellas que realiza la gerencia y demás personal de la organización para cumplir
diariamente con las actividades asignadas. Estas actividades están expresadas en las
políticas, sistemas y procedimientos.

Las actividades de control tienen distintas características. Pueden ser manuales o

computarizadas, administrativas u operacionales, generales o específicas, preventivas o
detectivas. Sin embargo, lo trascendente es que, sin importar su categoría o tipo, todas
ellas están apuntando hacia los riesgos (reales o potenciales) en beneficio de la
organización, su misión y objetivos, así como la protección de los recursos propios o de
terceros en su poder.

Las actividades de control son importantes no solo porque en sí mismas implican la forma
correcta de hacer las cosas, sino debido a que son el medio idóneo de asegurar en mayor
grado el logro de objetivos.

4. Información comunicacional

Están diseminados en todo el ente y todos ellos atienden a uno o más objetivos e control.
De manera amplia, se considera que existen controles generales y controles de aplicación
sobre los sistemas de información.

1. Controles Generales: Tienen como propósito asegurar una operación y

continuidad adecuada, e incluyen al control sobre el centro de procesamiento de
datos y su seguridad física, contratación y mantenimiento del hardware y software,
así como la operación propiamente dicha. También se relacionan con las funciones
de desarrollo y mantenimiento de sistemas, soporte técnico y administración de
base de datos.

2. Controles de Aplicación: Están dirigidos hacia el interior de cada sistema y

funcionan para lograr el procesamiento, integridad y confiabilidad, mediante la
autorización y validación correspondiente. Desde luego estos controles cubren las
aplicaciones destinadas a las interfases con otros sistemas de los que se reciben o
entregan información.

~ 10 ~
Los sistemas de información y tecnología son y serán sin duda un medio para incrementar
la productividad y competitividad. Ciertos hallazgos sugieren que la integración de la
estrategia, la estructura organizacional y la tecnología de información es un concepto
clave para el nuevo siglo.

5. Monitoreo

Los sistemas de control interno requieren supervisión, es decir, un proceso que

comprueba que se mantiene el adecuado funcionamiento del sistema a lo largo del tiempo.
Esto se consigue mediante actividades de supervisión continuada, evaluaciones
periódicas o una combinación de ambas cosas. La supervisión continuada se da en el
transcurso de las operaciones. Incluye tanto las actividades normales de dirección y
supervisión, como otras actividades llevadas a cabo por el personal en la realización de
sus funciones. El alcance y la frecuencia de las evaluaciones periódicas dependerán
esencialmente de una evaluación de los riesgos y de la eficacia de los procesos de
supervisión continuada. Las deficiencias detectadas en el control interno deberán ser
notificadas a niveles superiores, mientras que la alta dirección y el consejo de
administración deberán ser informados de los aspectos significativos observados.

“Todo el proceso debe ser supervisado, introduciéndose las modificaciones pertinentes

cuando se estime necesario. De esta forma el sistema puede reaccionar ágilmente y
cambiar de acuerdo a las circunstancias”. (Elizabeth, 2017)

Ilustración 1 – Matriz de Componentes COSO I

~ 11 ~
3.1.2. CUESTIONARIOS COSO I

Cuestionarios acordes a los componentes del COSO I son los siguientes:

1. AMBIENTE DE CONTROL

AMBIENTE DE CONTROL
REF
Nº CONCEPTO SI NO OBSER
P/T

1. INTEGRIDAD Y VALORES ETICOS

1.1 Se han establecida en forma documentada

los principios de integridad y valores Éticos
de la organización, p. e a través de un
código de conducta, ¿que determine las
políticas de la misma respecto de asuntos
críticos donde pueden verificarse conflictos
de intereses?

1.2 ¿Incluyen esos documentos reglas claras

sobre recepción de dadivas o pagos
inapropiados, usos adecuados de los
recursos disponibles, conflictos de
intereses?

1.3 ¿Han sido notificados formalmente a todos

los integrantes de la organización y se ha
verificado su comprensión?

1.4 ¿Conoce el personal de la organización y sus

funcionarios el Código de Ética?

2. COMPETENCIA PROFESIONAL

2.1 ¿Se han definido los puestos necesarios

para llevar adelante los objetivos
esperados?

2.2 ¿Esta definición incluye todas las tareas que

debe desarrollar el empleado y los
requerimientos de supervisión necesarios?

2.3 Se han definido las competencias /

capacidades necesarias y perfiles
requeridos?

~ 12 ~
 AMBIENTE DE CONTROL
REF
Nº CONCEPTO SI NO OBSER
P/T

2.4 ¿Existe evidencia de que dichos

requerimientos se respetan?

2.5 Se da cumplimiento de los procedimientos

previstos para el reclutamiento del
Personal: esto es en cuanto al proceso de
selección del mismo y de comprobación de
las habilidades/capacidades (requerimiento
de títulos, certificados de empleo/servicios,
documentaciones varias) y entrevistas?

2.6 ¿Existe un plan de capacitación de la

organización que favorézcale
mantenimiento y mejora de la competencia
para cada uno de los puestos?

2.7 ¿Se realiza una evaluación periódica del

desempeño que identifíquelas necesidades
organizacionales y personales de mayor
capacitación?

2.8 ¿Se comunica a cada uno de los

interesados?

3. ATMOSFERA DE CONFIANZA MUTUA

3.1 ¿Se fomenta en la entidad una actitud de

confianza entre los empleados y entre ellos
y los niveles directivos?

3.2 ¿Se evitan las actitudes divisionistas y la

cerrazón entre las distintas áreas de la
organización?

4.FILOSOFIA Y ESTILO DE LA DIRECCION

4.1 Se manifiesta el interés de la dirección de la

entidad con el sistema de control interno a
través de reuniones, ¿conferencias
internas, cursos y otros medios que permita
percibir a toda la organización el

~ 13 ~
 AMBIENTE DE CONTROL
REF
Nº CONCEPTO SI NO OBSER
P/T

compromiso de la alta dirección con el

sistema de control interno?

4.2 Se observa en la dirección superior de la

entidad / programa de actitud adecuada
frente a los riesgos a asumir?

4.3 ¿No existe una alta rotación de personal en

funciones claves? El termino rotación de
personal está referido aquí a perdidas o
despidos de personal clave para la
organización.

4.4 ¿Se utiliza el presupuesto como

herramienta de control?

4.5 Se observa una actitud responsable ante la

generación de información, tanto contable
/ financiera como de gestión?

4.6 ¿Las registraciones patrimoniales, tesorería

y presupuestarias están integradas?

5. MISION, OBJETIVOS POLÍTICAS

5.1 Tiene la organización un Plan de

Organización (Estratégico).

5.2 ¿Incluye ese Plan la Visión, Misión,

Principios o Valores de la organización,
objetivos, fortalezas, debilidades, amenazas
y oportunidades (FODA) y definición de
procesos o actividades criticas?

5.3 ¿Es consistente con la misión y función

definida en el instrumento de creación de la
organización?

5.4 ¿Esta adecuadamente difundido a través de

toda la organización?

6. ORGANIGRAMA

~ 14 ~
 AMBIENTE DE CONTROL
REF
Nº CONCEPTO SI NO OBSER
P/T

6.1 Cuenta la entidad con una estructura

organizativa que:

a) Manifieste claramente las relaciones

Jerárquico-funcionales de la
organización,
b) Exponga las unidades ejecutoras de
cada programa/proyecto,
c) Permita el flujo de información entre las
áreas.

6.2 ¿Esta difundido a toda la organización?

6.3 ¿La estructura prevista es adecuada al

tamaño y naturaleza de las operaciones
vigentes al momento de la evaluación?

7. ASIGNACION DE AUTORIDAD Y RESPONSABILIDAD

7.1 ¿Hay una clara definición de

responsabilidad y las mismas son
adecuadamente conocidas por los
responsables en cargos críticos?

7.2 ¿Aquellos con responsabilidad deben rendir

cuentas apropiadamente por tal asignación,
sea a través de un superior o de otras
instancias?

7.3 ¿Están adecuadamente delimitadas las

áreas de competencia dentro de la
organización?

7.4 ¿Son estas asignaciones, competencias y

responsabilidades por rendir cuentas
comunicadas a cada integrante de la
organización?

8. POLITICAS Y PRACTICAS DE PERSONAL

8.1 ¿Existen procedimientos claros para la

selección, promoción, capacitación,

~ 15 ~
 AMBIENTE DE CONTROL
REF
Nº CONCEPTO SI NO OBSER
P/T

evaluación, compensación y sanción de

personal?

8.2 ¿Son los mismos adecuadamente conocidos

Por todo el personal?

8.3 ¿Los procesos de selección de personal

están basados exclusivamente en capacidad
y desempeño?

8.4 ¿Se evalúan periódicamente las

necesidades para mantener actualizada la
estructura?

8.5 ¿Existen planes de capacitación que

contemplen la orientación de nuevos
empleados y la actualización de los demás?

Tabla 3 – Cuestionario Ambiente de Control (COSO I)

2. EVALUACIÓN DE RIESGOS.

EVALUACIÓN DE RIESGO
Nº CONCEPTO REF. P/T SI NO

1.- ¿La entidad auditada ha establecido objetivos

definiendo todos los estratos necesarios, esto
es desde la misión de la misma hasta los
objetivos operativos o actividades y la
estrategia para alcanzarlos?

2.- Existe un plan de acción/estrategia anual?

3.- ¿Los objetivos son adecuadamente

comunicados a todos los niveles necesarios?

4.- ¿Las estrategias definidas se condicen con los

objetivos?

5.- Los objetivos operativos/actividades definidos

están adecuadamente relacionados con los
objetivos generales de la entidad?

~ 16 ~
 EVALUACIÓN DE RIESGO
Nº CONCEPTO REF. P/T SI NO

6.- ¿Se han identificado y descrito los bienes y

servicios que cada programa debe generar?

7.- ¿Existe un cronograma de cumplimiento de

metas físicas? (cantidades de productos
distribuidos en el tiempo)

8.- ¿Hay definición de recursos necesarios?

¿Coincide con el presupuesto vigente?

9.- ¿La definición de objetivos incluye la definición

de las herramientas de medición (indicadores)?
¿Y las metas de producción a alcanzar?

IDENTIFICACION DE RIESGOS

1.- ¿Tiene la entidad un análisis de riesgo

considerando los objetivos de la organización y
las fuentes de probables riesgos (internos y
externos)?

2.- ¿Se definieron los mecanismos para la

identificación de riesgos internos? ¿Funcionan
adecuadamente?

3.- ¿Se hace una revisión periódicamente de los

mismos para anticipar el accionar ante los
acontecimientos que pueden influir en la
obtención de resultados?

4.- ¿Se asigna probabilidad de ocurrencia a los

diferentes riesgos detectados?

5.- En particular se analiza la falla en los controles

que puede haber provocado en el pasado la
perdida de recursos, errores en la información,
¿o incumplimientos legales o normativos?

6.- ¿La identificación de riesgo toma en

consideración los hallazgos de auditorías, tanto
internas como externas?

~ 17 ~
 EVALUACIÓN DE RIESGO
Nº CONCEPTO REF. P/T SI NO

7.- Existen mecanismos adecuados para identificar

riesgos externos, tales como:

a) Avances tecnológicos,
b) Necesidades o requerimientos de
organismos externos
c) Modificaciones en la legislación o
normativa,
d) Cambios institucionales,
e) Alteraciones en la relación con los mayores
proveedores.
DETECCION DEL CAMBIO

1.- Están todas las áreas instruidas para transmitir a

la alta dirección cualquier variación que se
produzca en lo institucional, operativo,
tecnológico, normativo, presupuestario,
regulatorio, que puedan afectar el cumplimiento
de los objetivos de la entidad/programa o del
área?

2.- ¿Se han identificado aquellos cambios que

pueden afectar más significativamente el
cumplimiento de los objetivos de la
organización?

Tabla 4 - Cuestionario Evaluación de Riesgos (COSO I)

3. ACTIVIDADES DE CONTROL.

ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

1. ¿Se han definido procedimientos de control para

cada uno de los riesgos significativos
identificados?

2. ¿Son adecuadamente comprendidos, no sólo en

cuanto a la actividad en si sino en esencia, por
todo el personal?

~ 18 ~
 ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

3. Se realiza un control de la ejecución/ desempeño

contra lo presupuestado y con lo acontecido en
ejercicios anteriores?

4. ¿Se realiza tal comparación a nivel de cada una de

las áreas? ¿Se involucra en tales evaluaciones a
las direcciones y jefaturas?

SEPARACION DE TAREAS Y RESPONSABILIDADES

1. Algún individuo tiene el control absoluto sobre

todos los aspectos claves de una operación/
transacción?

2. La autorización, aprobación, procesamiento y

registración, pagos o recepción de fondos,
revisión y auditoria, custodia y manipuleo de
fondos, valores o bienes de las operaciones/
transacciones están asignadas a diferentes
personas?

3. La asignación de tareas se ha realizado de manera

que se asegure sistemáticamente el chequeo/
verificación?

4. En aquellos lugares donde es posible, se impide

que el manejo de dinero, ¿valores negociables u
otros activos de alta realización sean manejados
por una sola persona?

5. ¿Las conciliaciones bancarias las realiza personal

ajeno al manejo de dinero y cuentas bancarias?

6. Existe conciencia en la dirección y gerencia que la

colusión aniquila la efectividad de la segregación
de funciones.

COORDINACION ENTRE AREAS

1. ¿Existe un flujo de información adecuado entre

las distintas áreas de la organización?

~ 19 ~
 ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

2. ¿Se promueve la integración entre las áreas de

forma que se desempeñen armónica y
coordinadamente?

DOCUMENTACION

1. Existe documentación escrita de la estructura del

sistema de control y de todas las operaciones/
transacciones significativas de la organización?

2. ¿Dicha documentación está disponible y

adecuadamente archivada para su examen?

3. La documentación de las operaciones/

transacciones es completa, oportuna y adecuada
y facilita la revisión del proceso desarrollado
desde su autorización e iniciación hasta que la
misma finalizo?

NIVELES DEFINIDOS DE AUTORIZACION

1. Los controles aseguran que solo son operaciones/

transacciones válidas aquellas iniciadas y
autorizadas por los niveles con competencia para
ello?

2. Dichos controles aseguran que todas esas

operaciones son ejecutadas/ realizadas por el
personal que tiene la tarea asignada?

3. ¿Las facultades de autorizar han sido

adecuadamente notificadas a los responsables y
tal comunicación incluyó las condiciones y
términos bajo los cuales se asigna la misma? (que
requisitos deben exigirse)

REGISTRO OPORTUNO Y ADECUADO DE TRANSACCIONES Y HECHOS

1. Las operaciones/ transacciones son

apropiadamente clasificados y oportunamente
registradas?

2. Dicha clasificación y registración opera a todo lo

largo de los ciclos de la vida de las operaciones,
esto es, autorización, iniciación, proceso y

~ 20 ~
 ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

clasificación en los registros consolidados/

resúmenes?

ACCESO RESTRINGIDO A LOS RECURSOS, ACTIVOS Y REGISTROS

1. ¿Existen restricciones para el acceso a los

recursos y registros solo al personal
especialmente autorizado?

2. ¿La responsabilidad de rendir cuentas sobre los

recursos asignados y la custodia de los registros
está asignada a ciertas personas
específicamente?

3. ¿Se revisan periódicamente los accesos

asignados?

4. ¿Se consideraron factores tales como el valor de

los activos, la portabilidad y la fácil realización
cuando se determinó el grado de restricciones al
acceso?

5. ¿Se han establecido políticas y procedimientos

para la custodia fiscal de recursos, implementado
y comunicado adecuadamente a todo el
personal?

6. ¿Se han identificado los activos claves para la

entidad y se ha determinado para ellos medidas
de seguridad especiales?

7. Los formularios como recibos, órdenes de

compra y otros críticos están pree numerados,
¿guardados adecuadamente?

8. Se requieren autorizaciones para la habilitación al

uso de dichos formularios (talonarios de recibos,
O.C., cheques, ¿etc.)?

9. ¿Los sellos identificatorios de firmas autorizadas

son adecuadamente protegidos?

10. ¿Existen alarmas contra incendios?

ROTACION DEL PERSONAL EN TAREAS CLAVES

~ 21 ~
 ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

1. ¿Se han identificado en la organización las tareas

de alto riesgo de que se cometan irregularidades,
tales como fraude o actos de corrupción?

2. ¿Se rota al personal a cargo de dichas tareas

periódicamente?

CONTROL DE SISTEMAS DE INFORMACION

1. Esta apropiadamente controlado el acceso a los

sistemas de información, esto es a la carga de
datos, modificación de archivos, ¿alteraciones en
los programas (software) utilizados?

2. ¿Se han establecido controles físicos y lógicos que

permitan detectar accesos no autorizados?

3. ¿Las registraciones contables se realizan en

secuencia numérica y por fecha?

INDICADORES DE DESEMPEÑO

1. ¿Se han establecido indicadores y criterios para la

medición de la gestión?

2. Se revisan periódicamente la validez y lo

apropiado de dichos indicadores institucionales y
específicos?

3. ¿Se ha desarrollado un tablero de control o

equivalente para el seguimiento de la gestión a
través del monitoreo de la información e
indicadores claves?

4. ¿Se realizan las evaluaciones con la periodicidad

adecuada?

AUDITORIA INTERNA O UNIDAD DE CONTROL DE GESTION

1. ¿Existe? ¿En su caso depende del máximo nivel

de la organización?

2. ¿Cuanta con un plan de auditoria y cronogramas

aprobados?

3. ¿Se practican regularmente auditorias por parte

de dicha unidad?

~ 22 ~
 ACTIVIDADES DE CONTROL
Nº CONCEPTO REF. P/T SI NO

4. ¿Se han tomado en cuenta las recomendaciones

y hallazgos de las mismas?

5. ¿Se realiza un seguimiento de aquellas

actividades que generaron los hallazgos de
auditoria?

Tabla 5 - Cuestionario Actividades de Control (COSO I)

4. INFORMACIÓN Y COMUNICACIÓN.

INFORMACIÓN Y COMUNICACIÓN

Nº CONCEPTO REF P/T SI NO OBSER.

1. ¿La información interna y externa generada

por la organización es remitida previamente a
los niveles correspondientes para su
aprobación?

2. ¿Están definidos los informes periódicos que

deben remitirse a los distintos niveles internos
para la toma de decisiones?

CALIDAD DE LA INFORMACION

1. ¿Está estructurada con distintos niveles de

detalle según sea el nivel al que está dirigida?

2. ¿Es confiable? Confirmar con documentación

soporte.

EL SISTEMA DE INFORMACION

1. ¿Es adecuado a las necesidades de

información de la organización? Considerar
usuarios internos y externos.

COMUNICACIÓN

1. ¿Existe un mensaje claro de parte de la alta

dirección y gerencia sobre la importancia del
sistema de control interno y las
responsabilidades de todos los integrantes de
la organización?

~ 23 ~
2. ¿Se comunican las excepciones a las reglas a
los niveles superiores a aquel donde se
descubre la misma?

3. ¿Están los mecanismos instituidos para

garantizar la comunicación en todos los
sentidos?

4. ¿Aseguran que los empleados de menor nivel

puedan proponer cambios de las rutinas que
mejoren el desempeño?

Tabla 6 - Cuestionario Información y Comunicación (COSO I)

4. SUPERVISIÓN.

SUPERVISIÓN
Nº CONCEPTO REF. P/T SI NO

1.- Dentro de la propia gestión existe una rutina de permanente

seguimiento y evaluación del desempeño del control interno para
determinar las mejores y ajustes requeridos.

2.- ¿La supervisión en práctica enfatiza en la responsabilidad de los

gerentes y otros con funciones de supervisión por el
funcionamiento del sistema de control interno?

3.- ¿En el desarrollo de sus tareas, se compara habitualmente el

desempeño con lo presupuestado y se evalúa las causas de los
desvíos?

4.- ¿Se realizan cruces y comparaciones de la información operativa

producida con lo real, y contra información contable?

5.- ¿Se realizan habitualmente controles de las existencias de

inventarios físicos contra registros?

6.- ¿Están definidas herramientas de auto evaluación? Sea por

sistema de checklist, cuestionarios o cualquier otro.

7.- ¿Se utilizan indicadores para detectar ineficiencias?

Tabla 7 - Cuestionario Supervisión (COSO I)

~ 24 ~
3.1.3. ANÁLISIS COSO I

Es conocido por todos como COSO I, en 1992 la Comisión Treadway publicó el primer
informe Internal Control - Integrated Framework, destinado para que las organizaciones
evalúen y mejoren los sistemas de Control Interno, generando una definición en común.

El control interno antes de 1992 no tenía el mismo significado para todos,

existiendo diversas definiciones que generaba muchas interpretaciones a nivel personal y
entendimiento.

La organización COSO publicó el informe COSO I, integrando los diversos conceptos en

una sola definición: “Es un proceso efectuado por el consejo de administración, la
dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar
un grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:

 Eficacia y eficiencia de las operaciones

 Fiabilidad de la información financiera
 Cumplimiento de la leyes y normas que sean aplicables”

La estructura del modelo COSO está conformada por cinco componentes:

1. Ambiente de Control. - Es el fundamento de todos los demás componentes del control

interno, proporcionando disciplina y estructura.

2. Evaluación de Riesgos. - Identificación y análisis de los riesgos relevantes para la

consecución de los objetivos, constituyendo una base para determinar cómo se deben
administrar los riesgos.

3. Actividades de Control. - Políticas y procedimientos que ayudan a asegurar que las

directivas administrativas se lleven a cabo.

4. Información y Comunicación. - Identificación, obtención y comunicación de

información pertinente en una forma y en un tiempo que les permita a los empleados
cumplir con sus responsabilidades.

5. Supervisión. Proceso que valora el desempeño de sistema en el tiempo.

~ 25 ~
3.2. COSO II
Es un sistema de gestión de riesgo y control interno para cualquier organización. Se basa
en un marco cuyo objetivo es diagnosticar problemas, generar los cambios necesarios
para gestionarlos y evaluar la efectividad de los mismos.

Sus siglas se refieren al Committee of Sponsoring Organizations of the Treadway

Commission, una institución dedicada a guiar a los ejecutivos y las entidades de gobierno
en aspectos relevantes del gobierno corporativo, ética empresarial, control interno,
gestión de riesgos empresariales, fraude e informes financieros.

Este proyecto inició en el 2001 con la implantación de los principios del COSO I y en el
2004 se modificó para una versión mejorada: el COSO II o COSO ERM (Enterprise Risk
Management).

Se trata de un proceso continúo efectuado por el personal de una compañía (en todos los
niveles) y diseñado para identificar eventos potenciales y evaluarlos.

Así, provee de seguridad a todo tipo de organización para el cumplimiento de objetivos o

proyectos sin el impacto de los riesgos. Como resultado, el COSO II brinda una serie de
beneficios, entre los cuales están:

 Alinea la gestión de riesgos con la estrategia para analizarlos.

 Mejora las decisiones importantes de respuesta ante los riesgos o crisis.
 Reduce el número de eventos sorpresivos y, en consecuencia, de pérdidas
operacionales.
 Identifica, agrupa y gestiona toda la diversidad de eventos perjudiciales para la
empresa.
 Mejora la inversión y el presupuesto de una compañía, disminuyendo los impactos
negativos. (Rubio, 2019)

3.2.1. MATRIZ DE COMPONENTES COSO II

Los 8 componentes del COSO II están interrelacionados entre sí. Estos procesos deben
ser efectuados por el director, la gerencia y los demás miembros del personal de la
empresa a lo largo de su organización

~ 26 ~
 N° COMPONENTES COSO I
1 AMBIENTE INTERNO
2 ESTABLECIMIENTO DE OBJETIVOS
3 IDENTIFICACIÓN DE EVENTOS
4 EVALUACIÓN DE RIESGO
5 RESPUESTA AL RIESGO
6 ACTIVIDADES DE CONTROL
7 INFORMACIÓN Y COMUNICACIÓN
8 MONITOREO
Tabla 8 - Matriz de componentes COSO II

1. Ambiente interno

El ambiente interno abarca el tono de una organización y establece la base de cómo el

personal de la entidad percibe y trata los riesgos, incluyendo la filosofía de administración
de riesgo y el riesgo aceptado, la integridad, valores éticos y el ambiente en el cual ellos
operan.

2. Establecimiento de objetivos

Que la empresa debe tener una meta clara que se alineen y sustenten con su visión y
misión, pero siempre teniendo en cuenta que cada decisión con lleva un riesgo que debe
ser previsto por la empresa. Es importante para que la empresa prevenga los riesgos, tenga
una identificación de los eventos, una evaluación del riesgo y una clara respuesta a los
riesgos en la empresa.

3. Identificación de eventos

Que se debe identificar los eventos que afectan los objetivos de la organización, aunque
estos sean positivos, negativos o ambos, para que la empresa los pueda enfrentar y proveer
de la mejor forma posible.

4. Evaluación de riesgos

Los riesgos se analizan considerando su probabilidad e impacto como base para

determinar cómo deben ser administrados. Los riesgos son evaluados sobre una base
inherente y residual bajo las perspectivas de probabilidad (posibilidad de que ocurra un
evento) e impacto (su efecto debido a su ocurrencia)

~ 27 ~
5. Respuesta al riesgo

Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas al riesgo en
relación a las necesidades de la empresa.

Las respuestas al riesgo pueden ser:

 Evitarlo: Se toman acciones de discontinuar las actividades que generan el riesgo

 Reducirlo: Se reduce el impacto o la probabilidad de ocurrencia o ambas
 Compartirlo: Se reduce el impacto o la probabilidad de ocurrencia al transferir o
compartir una porción del riesgo.
 Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de
ocurrencia del riesgo.
6. Actividades de control

Son las políticas y los procedimientos que ayudan a asegurar que se lleven a cabo las
instrucciones de la dirección de la empresa. Ayudan a asegurar que se tomen las medidas
necesarias para controlar los riesgos relacionados con la consecución de los objetivos de
la empresa.

7. Información y comunicación

La información es necesaria en todos los niveles de la organización para hacer frente a

los riesgos identificando, evaluando y dando respuesta a los riesgos. La comunicación se
debe realizar en sentido amplio y fluir por toda la organización en todos los
sentidos. Debe existir una buena comunicación con los clientes, proveedores, reguladores
y accionistas.

8. Monitoreo

Sirve para monitorear que el proceso de administración de los riesgos sea efectivo a lo
largo del tiempo y que todos los componentes del marco ERM funcionen
adecuadamente Esto se consigue mediante actividades de supervisión continuada,
evaluaciones periódicas o una combinación de ambas cosas (Unknown, 2015)

~ 28 ~
Ilustración 2 - Matriz de componentes COSO II

Ilustración 3 - Relación COSO I y COSO II

~ 29 ~
3.2.2. CUESTIONARIOS COSO II

1. AMBIENTE INTERNO

AMBIENTES INTERNO
REPUESTAS
PREGUNTAS N/A
SI NO
FILOSOFÍA EMPRESARIAL
1. ¿Cumple el personal del departamento de cobranza de Innovation Group
S.A. con los objetivos propuestos?
2. ¿Está capacitado el personal del departamento de cobranza, para realizar
eficientemente cualquier tarea que se asigne?
3. ¿Se supervisa y evalúa al personal de cuentas por cobrar el desempeño de
las actividades asignadas?
4. ¿Se asegura la empresa de que todas sus actividades se desarrollen en el
marco de las normas legales y reglamentarias?

NIVEL DE RIESGO QUE ASUME LA GERENCIA

1. ¿Le da la empresa prioridad aquellos riesgos que inciden en el logro de los
objetivos establecidos para el departamento de cobranzas?
2. ¿Se capacita al personal de cobranzas en la ejecución de las políticas de
prevención de riesgos de cuentas por cobrar?
3. ¿Cuenta el personal del departamento de cobranza con las herramientas
necesarias para la detección de riesgos?
4. ¿Existe una evaluación y supervisión constante de riesgos?

INTEGRIDAD Y VALORES
1. ¿Se comunica al personal que ingresa a la empresa el compromiso por la
integridad y valores éticos necesarios para la prestación de servicios?
2. ¿Existe dentro de la empresa placas a la vista donde se encuentran
plasmados los valores éticos?
3. ¿Se evalúa al personal cobranzas para determinar si conocen los valores
éticos que deben cumplir?

COMPROMISO DE LA COMPETENCIA PROFESIONAL

~ 30 ~
1. ¿Se realiza una evaluación continua a los asistentes de cobranzas sobre los
conocimientos y habilidades en función de mejorar la prestación de servicios
hacia los clientes?
2. ¿Reciben los asistentes de cobranza una adecuada orientación y
capacitación en forma teórica y práctica que le permiten realizar
efectivamente las actividades asignadas?
3. ¿Realiza la empresa continuamente evaluaciones a su personal del
departamento de cobranza?

ESTRUCTURA ORGANIZATIVA
1. ¿Posee un organigrama en el cual se determina el nivel de autoridad y
responsabilidad de sus empleados?
2. ¿Tiene bien definida la delimitación de sus responsabilidades cada uno de
los asistentes de cobranza de Innovation Group S.A.?
3. ¿Se planea y controla las actividades realizadas por los asistentes de
cobranza en función de dar cumplimiento a los objetivos, leyes y
regulaciones aplicables a las empresas?
4. ¿Se cuenta con el debido monitoreo de los resultados obtenidos en el
desarrollo de las actividades que realizan los asistentes de cobranza?

POLÍTICAS Y PRACTICAS DE RECURSOS HUMANOS

1. Se comunica y ejecuta las políticas y procedimientos al personal del
departamento de cobranza para el logro de la mejora continua en la
prestación de servicios.
2. Posee una descripción exacta y confiable de las actividades y funciones que
realizan los asistentes.
3. Se motiva a los asistentes para lograr un mejor desempeño en sus
actividades.
Tabla 9 - Cuestionario Ambiente Interno (COSO II)

~ 31 ~
2. ESTABLECIMIENTO DE OBJETIVOS

ESTABLECIMIENTO DE OBJETIVOS
REPUESTAS
PREGUNTAS SI NO N/A
1. ¿Existe un proceso de establecimiento de objetivos dentro del
departamento de cobranza de la empresa?
2. ¿Cuenta la empresa con el establecimiento estratégico de objetivos de
operaciones y de cumplimiento en el departamento de cobranzas?

3. ¿Se toma en consideración la información de los clientes para el

establecimiento de objetivos?
4. ¿Se comunican los objetivos de la empresa a los asistentes de cobranza
para asegurar que estén en la misma sintonía?
5. ¿Se informa al personal de cobranza los cambios que se realizan a los
objetivos?
6. ¿Se verifica que cada asistente de cobros conozca y comprenda los
objetivos a fin de contribuir a su logro?
7. ¿Se revisa continuamente los avances de las actividades realizadas por los
asistentes de cobros con relación al logro de objetivos?

8. ¿Ajusta la empresa sus objetivos a las necesidades y condiciones actuales

de la misma y de sus clientes?
9. ¿Se manifiesta a los empleados los beneficios que se obtienen con el logro
de objetivos?
10. ¿Cuenta la empresa con los recursos necesarios para alcanzar sus
objetivos?
11. ¿Existe un compromiso por parte de los asistentes de cobranza para el
logro de los objetivos de la empresa?
12. ¿Se establecen objetivos específicos por cada cliente con que cuenta la
empresa?
13. ¿Se evalúan con frecuencia los objetivos específicos en relación con los
globales?
14. ¿Existe una evaluación constante de los objetivos de la empresa y sus
logros?
Tabla 10 - Cuestionario Establecimiento de Objetivos (COSO II)

~ 32 ~
3. IDENTIFICACIÓN DE EVENTOS

IDENTIFICACIÓN DE EVENTOS
RESPUESTAS
PREGUNTAS SI NO N/A
1. ¿Se identifican los eventos que afecta el departamento de cobros en la
prestación de servicios hacia sus clientes?
2. ¿Se les da prioridad a aquellos riesgos que inciden en el logro de los
objetivos del departamento de cobros?
3. ¿Existe políticas establecidas que faciliten la identificación de aquellos
eventos que afecten el desarrollo del departamento de cobros?
4. ¿Se comunican y ejecutan las políticas de identificación de aquellos
eventos al personal de cobranza?
5. ¿Se toma en cuenta el criterio del personal en la evaluación de los
riesgos que identificados en la prestación de servicios?
6. ¿Se le comunica el supervisor la perdida de documentación de los
clientes de cobranza?
7. ¿Se cuenta con un proceso de investigación y recuperación de la
documentación extraviada?
8. ¿Se crea conciencia a los asistentes de cobros la no divulgación de
información confidencial?
9. ¿Existen medidas correctivas ante la divulgación de información
confidencial por parte de los asistentes?
10. ¿Se provee la falta de responsabilidad profesional por parte de los
asistentes de cobros ante una tarea asignada?
11. ¿Cuenta la empresa con un programa de gestión de riesgos dirigid a su
personal?
12. ¿Se capacita y evalúa al personal en las aéreas de gestión de riesgo?

13. ¿Se cuenta con un plan de contingencias enfocado a la pérdida de

clientes potenciales?
14. ¿Está preparada la empresa para el tratamiento de fraudes que se
pueden presentar en la información de sus clientes?
Tabla 11 - Cuestionario Identificación de Eventos (COSO II)

~ 33 ~
4. EVALUACIÓN DE RIESGOS

EVALUACIÓN DE RIESGOS
RESPUESTAS
PREGUNTAS SI NO N/A
1. Existe una persona encargada de archivar los expedientes de la cartera de
clientes.
2. La base de datos de la cartera de clientes es actualizada periódicamente.

3. El trabajo realizado por el personal posee documentos que lo respalden.

4. La documentación presentada por el personal de cobranzas es utilizada
para la realización de informes, análisis y seguimiento de las operaciones
del cliente.
5. Las desviaciones de mayor relevancia se documentan en un informe
especial para su análisis.
6. Se cuenta con un programa de seguimiento para corregir las desviaciones.
7. Las observaciones emitidas por los asistentes son informadas y
entregadas al supervisor para su revisión y verificación
8. La información suministrada es correcta detallada y oportuna para la
toma de decisiones de la empresa.
9. Existe identificación y comunicación de la información de los factores
internos y externos que afecten el desarrollo del departamento de
cobranza.
10. Realiza la empresa reuniones periódicas con el personal los avances y
resultados de las actividades asignadas.
11. La asignación de actividades de los asistentes de cobros es realizada en
base a las aptitudes y habilidades que este posea para desempeñar un
cargo.
12. La confiabilidad de los controles se determina mediante la ejecución y
los resultados que esta presenta.
13. Efectúa la empresa evaluación de riesgo.
14. Elabora la empresa planeación del trabajo a realizar y compara los
resultados con los objetivos planeados.
15. Se revisa y verifica el cumplimiento por parte del gerente de la empresa
de leyes vigentes en el país
Tabla 12 - Cuestionario Evaluación de Riesgos (COSO II)

~ 34 ~
5. RESPUESTA AL RIESGO

RESPUESTAS AL RIESGO
RESPUESTAS
PREGUNTAS
SI NO N/A
1. ¿Se establecen controles para los riesgos identificados al departamento
de cobros?
2. ¿Existen controles para anticiparse al riesgo?
3. ¿Se le proporciona a los asistentes de cobranza la documentación
necesaria para el desempeño de sus actividades?

4. ¿Existe supervisión sobre las asistentes de cobranza cuando desarrollan

sus actividades?
6. ¿Se realiza mantenimiento sobre la base de datos de clientes?

7. ¿Los sistemas de comunicación cuentan con la retroalimentación

respectiva?
8. ¿Se evalúa constantemente el buen funcionamiento del recurso
tecnológico?
9. ¿Existe una persona responsable de dar el grado de importancia a la
información que presentan los asistentes de cobranza?

10. ¿Se evalúa la capacidad profesional de los asistentes de cobranza antes

de asignar una actividad?
11. ¿Se establece un límite de tiempo para que los asistentes de cobros
desarrollen una actividad asignada?
12. ¿Se le informa a los clientes oportunamente las desviaciones
encontradas por los asistentes de cobros?
13. ¿Cuenta la empresa con un programa de capacitación constante para
el personal del departamento de cobranza?
14. ¿Se evalúa al personal de cobros para identificar las debilidades
profesionales que posee?
15. ¿Existe un programa de capacitación para disminuir las debilidades del
personal de cobros y proporcionar un mejor servicio a sus clientes?

Tabla 13 - Cuestionario Respuesta al Riesgo (COSO II)

~ 35 ~
6. ACTIVIDADES DE CONTROL

ACTIVIDADES DE CONTROL
RESPUESTAS
PREGUNTAS
SI NO N/A
1. ¿Los documentos soporte de las cuentas por cobrar son realizados bajo
parámetros establecidos
2. ¿Se ha establecido un procedimiento para la justificación de inconsistencias
en los documentos soporte de las cuentas por cobrar?
3. ¿Se efectúan controles que aseguren que no se realizaran modificaciones o
sustracciones de los documentos soporte de las cuentas por cobrar?

4. ¿Los procesos de cobro son realizados en base a la normativa legal vigente?

5. ¿La persona que produce o genera los documentos soporte de cobro, es
diferente de la que autoriza el cobro?
6. ¿Se lleva un control de las cuentas por cobrar revisadas y aprobadas?
7. ¿Existe un método que asegure que no se ha duplicado pagos de cuentas por
cobrar?
8. ¿La reglamentación interna es actualizada?
Tabla 14 - Cuestionario Actividade de Control (COSO II)

7. INFORMACIÓN Y COMUNICACIÓN

INFORMACIÓN Y COMUNICACIÓN
RESPUESTAS
PREGUNTAS
SI NO N/A
1. ¿La información suministrada al personal del departamento de cobranzas
es obtenida a través de fuentes internas y externas?

2. ¿Es ordenada, correcta y precisa la información suministrada al personal

de cobros?
3. ¿El proceso de identificación y captación de la información son revisadas
constantemente?
4. ¿Cuentan los sistemas de información con procesos suficientes que
faciliten la compresión y análisis del personal de cobros?

5. ¿La información que suministran los sistemas de información es utilizada

para la toma de decisiones?
6. ¿Los sistemas de información son actualizados
constantemente?
7. ¿Contribuye la información suministrada por el sistema a la eficiencia del
control?

~ 36 ~
8. ¿El personal involucrado en actividades de control está autorizado para
acceder al sistema de información?
9. ¿Es confiable y oportuna la información generada por el personal de la
empresa?
10. ¿El sistema de información está diseñado para cubrir las necesidades de
la empresa?
11. ¿Son efectivos los medios de comunicación con que cuenta la empresa?

12. ¿Los canales de comunicación están establecidos adecuadamente para

suministrar la información?
13. ¿Se crea mecanismos donde los empleados proporcionen
recomendaciones de mejoramiento continuo al control interno?

14. ¿Toma en cuenta la administración las sugerencias que recibe del

personal?
15. ¿Son comunicados al personal los riesgos que afectan el funcionamiento
de la empresa?
Tabla 15 - Ccuestionario Información y Comunicación (COSO II)

8. MONITOREO

MONITOREO

REPUESTAS
PREGUNTAS
SI NO N/A
1. ¿Se compara la evidencia obtenida de las actividades diarias?
2. ¿Existe una revisión para verificar la exactitud de los informes presentados
por el personal?
3. ¿Son evaluados los controles para prevenir o detectara riesgos que
efectúan el desarrollo de la empresa?
4. ¿Son implementados los controles necesarios para disminuir los riesgos?

5. ¿Se cuenta con la documentación necesaria del alcance y frecuencia de las

evaluaciones?
6. ¿Es archivada la documentación en un lugar adecuado y seguro?

7. ¿Existe programas de evaluación que se desarrollan de acuerdo a las

prioridades?
8. ¿Se le da seguimiento a las acciones tomadas por las deficiencias
encontradas en las evaluaciones?
Tabla 16 - Cuestionario Monitoreo (COSO II)

~ 37 ~
3.2.3. ANÁLISIS COSO II

Para el año 2004 la organización COSO mostró más relevancia posterior a los
acontecimientos sucedidos por Enron, WorldCom y otras empresas en los Estados
Unidos, a partir de los años 2001 y 2002, se publicó el Enterprise Risk Management -
Integrated Framework (Marco integrado de Gestión de Riesgos) o conocido como COSO
II o COSO-ERM, vino a dar un nuevo enfoque a las prácticas del concepto de Control
Interno e introduciendo la importancia de una gestión de riesgos adecuada, haciendo que
todos los niveles de la organización se involucre.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

1. Ambiente de control
Son los valores y filosofía de la organización, influye en la visión de los trabajadores
ante los riesgos y las actividades de control de los mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de
cumplimientos.
3. Identificación de eventos,
Que pueden tener impacto en el cumplimiento de objetivos.
4. Evaluación de Riesgos:
Identificación y análisis de los riesgos relevantes para la consecución de los objetivos.
5. Respuesta a los riesgos: determinación de acciones frente a los riesgos.
6. Actividades de control:
Políticas y procedimientos que aseguran que se llevan a cabo acciones contra los
riesgos.
7. Información y comunicación:
Eficaz en contenido y tiempo, para permitir a los trabajadores cumplir con sus
responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.

~ 38 ~
3.3. COSO III
La nueva estructura del Marco Integrado de Control Interno COSO, publicada en mayo
de 2013, tiene como objetivos: aclarar los requerimientos del control interno, actualizar
el contexto de la aplicación del control interno a muchos cambios en las empresas y
ambientes operativos, y ampliar su aplicación al expandir los objetivos operativos y de
emisión de informes. Este nuevo Marco Integrado permite una mayor cobertura de los
riesgos a los que se enfrentan actualmente las organizaciones.

Ilustración 4 - Marco Integrado COSO III

Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento del
control interno y del gobierno corporativo, y responde a la presión pública para un mejor
manejo de los recursos públicos o privados en cualquier tipo de organización, como
consecuencia de los numerosos escándalos, la crisis financiera y los fraudes presentados.

Algunos de los factores más relevantes que contribuyeron a la actualización del Marco
Integrado de Control Interno son:

 Variación de los modelos de negocio como consecuencia de la globalización.

 Mayor necesidad de información a nivel interno debido a los entornos cambiantes.
 Incremento del número y complejidad de las normativas aplicables al mundo
empresarial a nivel internacional.
 Nuevas expectativas sobre la responsabilidad y competencias de los gestores de
las organizaciones.
 Incremento de las expectativas de los grupos de interés (inversores, reguladores)
en la prevención y detección del fraude.
 Aumento del uso de las nuevas tecnologías, y su desarrollo constante.

~ 39 ~
3.3.1. MATRIZ DE COMPONENTES COSO III

COSO III en este nuevo Marco Integrado permite una mayor cobertura de los riesgos a
los que se enfrentan actualmente las organizaciones.

N° COMPONENTES COSO I
1 ENTORNO DE CONTROL
2 EVALUACIÓN DE RIESGO
3 ACTIVIDAD DE CONTROL
4 INFORMACIÓN Y COMUNICACIÓN
5 ACTIVIDADES DE MONITOREO - SUPERVISIÓN

El siguiente cuadro muestra los cambios significativos presentes en el Marco Integrado

de Control Interno 2013, en cada uno de sus cinco componentes:

COMPONENTES CAMBIOS REPRESENTATIVOS

Entorno de Control
Evaluación de Riesgos
Se recogen en cinco principios la relevancia de la
integridad y los valores éticos, la importancia de la
filosofía de la Administración y su manera de
operar, la necesidad de una estructura organizativa,
la adecuada asignación de responsabilidades y la
importancia de las políticas de recursos humanos.
Se explican las relaciones entre los componentes del
Control Interno para destacar la importancia del
Entorno de Control.
Se amplía la información sobre el Gobierno
Corporativo de la organización, reconociendo
diferencias en las estructuras, requisitos, y retos a lo
largo de diferentes jurisdicciones, sectores y tipos de
entidades.
Se enfatiza la supervisión del riesgo y la relación
entre el riesgo y la respuesta al mismo.
Se amplía la categoría de objetivos de Reporte,
considerando todas las tipologías de reporte internos
y externos.

~ 40 ~
 Se aclara que la evaluación de riesgos incluye la
identificación, análisis y respuesta a los riesgos.
Se incluyen los conceptos de velocidad y
persistencia de los riesgos como criterios para
evaluar la criticidad de los mismos.
Se considera la tolerancia al riesgo en la evaluación
de los niveles aceptables de riesgo.
Se considera el riesgo asociado a las fusiones,
adquisiciones y externalizaciones.
Se amplía la consideración del riesgo al fraude.
Actividades de Control Se indica que las actividades de control son acciones
establecidas por políticas y procedimientos.
Se considera el rápido cambio y evolución de la
tecnología.
Se enfatiza la diferenciación entre controles
automáticos y Controles Generales de Tecnología.
Información y Comunicación Se enfatiza la relevancia de la calidad de
información dentro del Sistema de Control Interno.
Se profundiza en la necesidad de información y
comunicación entre la entidad y terceras partes.
Se enfatiza el impacto de los requisitos regulatorios
sobre la seguridad y protección de la información.
Se refleja el impacto que tiene la tecnología y otros
mecanismos de comunicación en la rapidez y
calidad del flujo de información.
Actividades de Monitoreo – Se clarifica la terminología definiendo dos
Supervisión categorías de actividades de monitoreo:
evaluaciones continuas y evaluaciones
independientes.
Se profundiza en la relevancia del uso de la
tecnología y los proveedores de servicios externos.
(Auditool, 2014)

~ 41 ~
3.3.2. CUESTIONARIOS COSO III

COMPONENTES COSO III

COMPONENTE PREGUNTA SI NO
Los funcionarios conocen la normatividad vigente que regula
su conducta
Se enfatiza en la importancia de la integridad y el
comportamiento ético, respetando los códigos de conducta
Existe un código de conducta que recopila los valores y
principios éticos que promueve la entidad y se ha dado a
conocer a todo el personal
Los funcionarios se comportan de acuerdo con el código de
conducta establecido
Se ha efectuado un análisis de las competencias requeridas por
el personal para desempeñar adecuadamente sus funciones
Existe un plan de capacitación continuo que contribuye al
mejoramiento de las competencias del personal
Entorno de La Dirección demuestra un compromiso permanente con el
Control Sistema de Control Interno y con los valores éticos del mismo
Las decisiones de la entidad se toman luego de que se
realizado un cuidadoso análisis de los riesgos asociados
Existe un compromiso permanente hacia la elaboración
responsable de información financiera, contable y de gestión
La organización cuenta con una estructura organizativa que
manifiesta claramente la relación jerárquica funcional
Existe un diagrama de la estructura organizativa
El personal conoce los objetivos de la organización y cómo su
función contribuye al logro de los mismos
Existe una clara asignación de responsabilidades
Existen procedimientos definidos para la promoción,
selección, capacitación, evaluación, compensación, y sanción
del personal
La misión de la entidad es conocida y comprendida por la
Dirección y el personal
Evaluación de Los objetivos establecidos concuerdan con la misión de la
Riesgos entidad
Los objetivos son conocidos y comprendidos por todo el
personal de la entidad

~ 42 ~
 Los objetivos particulares de los procesos sustantivos de la
entidad se encuentran identificados
Las herramientas de medición del grado de cumplimiento de
los objetivos han sido definidas
Los riesgos tanto internos como externos que interfieren en el
cumplimiento de los objetivos han sido identificados
Existen mecanismos de identificación de riesgos adecuados y
eficaces
Se tienen en cuenta las observaciones y recomendaciones de
auditoria anteriores
Existe una estimación de riesgos, considerando la probabilidad
de ocurrencia e impacto
Las tareas y responsabilidades vinculadas a la autorización,
aprobación, procesamiento y registro, pagos o recepción de
fondos, auditoría y custodia de fondos, valores o bienes de la
organización están asignadas a diferentes personas
Las condiciones bancarias son realizadas por personas ajenas
al manejo de las cuentas bancarias
Existe un flujo de información adecuado entre las distintas
áreas de la entidad
Los funcionarios son conscientes de cómo sus acciones
influyen en toda la entidad
Existen documentos acerca de la estructura de control interno,
y están disponibles y al alcance de todo el personal
Actividades de Los procedimientos de control aseguran que las tareas son
realizadas exclusivamente por los funcionarios que tienen
Control asignada esa función
La delegación de funciones y tareas se encuentran dentro de
los lineamientos establecidos por la dirección
Las transacciones de la organización son registradas oportuna
y adecuadamente
Solo las personas autorizadas tienen acceso a los recursos y
activos de la organización
Solo las personas autorizadas tienen acceso a los registros y
datos de la organización
Los funcionarios se rotan en las tareas que pueden dar lugar a
irregularidades
Existen procedimientos que aseguran el acceso autorizado a
los sistemas de información

~ 43 ~
 Los recursos tecnológicos son regularmente evaluados con el
fin de corroborar que cumplen con los requisitos de los
sistemas de información
Existen indicadores y criterios para la medición de la gestión
Si se encuentran desvíos con lo previsto, se toman las medidas
correctivas apropiadas
Existen manuales de procedimientos para los procesos
sustantivos de la organización
Están definidos los distintos reportes que deben remitirse a los
distintos niveles internos para la toma de decisiones
La información es apropiada de acuerdo con los niveles de
autoridad y responsabilidad asignados
La información circula en todos los sentidos dentro de la
organización y está disponible
Los sistemas de información son revisados continuamente con
Sistemas de el fin de comprobar si es eficaz para la toma de decisiones, y la
información elaborada sigue siendo relevante para los
Información y objetivos de la organización
comunicación La dirección es consciente de la importancia del sistema de
información organizacional
Existen mecanismos que aseguran la comunicación en todos
los sentidos
El sistema de comunicación proporciona oportunamente a
todos los usuarios la información necesaria para cumplir con
sus responsabilidades
Existen canales de comunicación adecuados con terceros y
partes externas
El Sistema de Control Interno es evaluado periódicamente por
Supervisión la Dirección con el fin de revisar su eficacia y vigencia
del Sistema de Existen herramientas definidas de autoevaluación que
permiten evaluar el Sistema de Control Interno
control - Se dispone de la información adecuada sobre si se están
Monitoreo logrando los objetivos operacionales de la organización
Se cumplen las leyes y normatividad relevantes
Tabla 17 - Cuestionarios de los componentes COSO III

~ 44 ~
3.3.3. PRINCIPIOS COSO III

Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la
administración y directivos desarrollar un sistema que garantice el cumplimiento de los
objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional.
El Marco integrado de control interno propuesto por COSO provee un enfoque integral y
herramientas para la implementación de un sistema de control interno efectivo y en pro
de mejora continua. Un sistema de control interno efectivo reduce a un nivel aceptable el
riesgo de no alcanzar un objetivo de la entidad.

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administración de
toda organización debería implementar.

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos

Principio 2: Ejerce responsabilidad de supervisión

Principio 3: Establece estructura, autoridad, y responsabilidad

Principio 4: Demuestra compromiso para la competencia

Principio 5: Hace cumplir con la responsabilidad

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes

Principio 7: Identifica y analiza los riesgos

Principio 8: Evalúa el riesgo de fraude

Principio 9: Identifica y analiza cambios importantes

Actividades de control

Principio 10: Selecciona y desarrolla actividades de control

Principio 11: Selecciona y desarrolla controles generales sobre tecnología

Principio 12: Se implementa a través de políticas y procedimientos

~ 45 ~
Principio 13: Usa información Relevante

Sistemas de información

Principio 14: Comunica internamente

Principio 15: Comunica externamente

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes

Principio 17: Evalúa y comunica deficiencias (Cámbara, 2015)

3.3.4. ANÁLISIS COSO III

En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que
introducirá este Marco Integrado de Gestión de Riesgos son: Mejora de la agilidad de los
sistemas de gestión de riesgos para adaptarse a los entornos; Mayor confianza en la
eliminación de riesgos y consecución de objetivos; Mayor claridad en cuanto a la
información y comunicación.

Lo que diferencia el Coso 2013 con Coso 1992, son los 17 principios que están
relacionados con componentes y que sirve para el establecimiento de un sistema de
control interno efectivo que debe implementarse en toda la organización.

1. Ambiente o entorno de control: establece el fundamento para un sistema de

control interno proporcionando la estructura y disciplina fundamentales.
2. Evaluación del riesgo: implica la identificación y análisis por parte de la
conducción —y no del auditor interno— de los riesgos relevantes para lograr los
objetivos predeterminados.
3. Actividades de control: o las políticas, procedimientos y prácticas que aseguran
el logro de los objetivos de la conducción y que se cumple con las estrategias para
mitigar los riesgos.
4. Información y comunicación: sustenta todos los otros componentes del control
comunicando las responsabilidades de control a los empleados y brindándoles
información en tiempo y forma que les permita cumplir con sus funciones.
5. Supervisión de sistemas de control: cubre los descuidos externos de los
controles internos por parte de la conducción o terceros externos al proceso, o la
aplicación de metodologías independientes.

~ 46 ~
 3.4. CUADRO SINÓPTICO Committee of Sponsoring Organizations of
the Treadway - COSO

Comisión formada por cinco organizaciones de contadores y auditores de

los Estados Unidos, que se llamó Committee of Sponsoring Organizations
of the Treadway (Comité de Organizaciones Patrocinadoras de la Comisión
Treadway).

COSO I COSO II COSO III

La organización COSO en 1992 publico el informe
COSO I, es un proceso efectuado por el consejo
de administración, la dirección y el resto del
personal de una entidad, diseñado con el objeto
de proporcionar un grado de seguridad razonable.
Proyecto que inicio en 2001 con la implementación
de los principios del COSO I y en el 2004 se modificó
para una versión mejorada: COSO II o CSO ERM, es
un sistema de gestión de riesgo y control interno
para cualquier organización.
Nueva estructura de Marco Integrado de Control
Interno COSO, publicado en mayo de 2013, tiene
como objetivo aclarar los requerimientos del control
interno, actualizar el contento de la aplicación de la
aplicación del control interno a muchos cambios en
las empresas.

COMPONENTES

COSO I COSO II COSO III

1. Ambiente de control 1. Ambiente de control 1. Ambiente o entorno de control
2. Evaluación de riesgo 2. Establecimiento de objetivos 2. Evaluación del riesgo
3. Actividad de control 3. Identificación de eventos 3. Actividades de control
4. Información comunicacional 4. Evaluación de Riesgos 4. Información y comunicación
5. Monitoreo 5. Respuesta a los riesgos 5. Supervisión de sistemas de control
6. Actividades de control
7. ~ 47 ~
Información y comunicación
8. Supervisión
 3.5. CUADRO COMPARATIVO COSO I, II, III

CUADRO COMPARATIVO COSO

COSO I - 1992 COSO II -2004 COSO III - 2013

1. Definición del concepto de
Control Interno.
2. Cinco componentes del control
interno
3. Criterios a utilizar en el proceso
de evaluación de la eficacia del
Sistema de Control Interno
4. Uso del Juicio Profesional para la
evaluación de la eficacia del
Sistema de Control Interno
1. Permite a la dirección de la empresa poseer una 1. Aplicación y aclaración de conceptos con el objetivo de
visión global del riesgo y accionar los planes para abarcar las actuales condiciones del mercado y la
su correcta gestión economía global.
2. Alinean los objetivos de las diferentes unidades de 2. Codificación de principios y puntos de enfoque con la
negocio, así como los riesgos asumidos y los aplicación internacional para el desarrollo y evaluación
controles puestos en acción de la eficacia del sistema de control interno.
3. Permite dar soporte a las actividades de 2.1.Aclaración de la necesidad de establecer objetivos de
planificación estratégica y control interno negocio como condición previa a los objetivos de control
4. Permite cumplir con los nuevos marcos interno.
regulatorios y demandas de nuevas prácticas de 3. Extensión de los objetivos de reporte más allá de los
gobierno corporativo. informes financieros externos, a los de carácter interno
y a los no financieros tanto externos como internos.
4. Inclusión de una guía orientada para facilidad la
supervisión del control interno sobre las operaciones, el
cumplimiento y los objetivos de reporte.
Tabla 18 - Cuadro comparativo COSO

~ 48 ~
4. CONCLUSIONES Y RECOMENDACIONES

4.2. CONCLUSIONES

 Los componentes de COSO I permiten obtener un plan de organización que

proporcione una apropiada distribución funcional de la autoridad y la responsabilidad
de cada miembro de la organización, así como un plan de autorizaciones, registros
contables y procedimientos adecuados para ejercer controles sobre activos, pasivo,
ingresos y gastos.
 Los 8 componentes del COSO II están interrelacionados entre sí. Estos procesos
deben ser efectuados por el director, la gerencia y los demás miembros del personal
de la empresa a lo largo de su organización.
 El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administración
de toda organización debería implementar.

4.3. RECOMENDACIONES

 La aplicación de estos componentes del sistema COSO I ayudara a la organización y

a cada uno de los miembros de la misma, así como a un mejoramiento de los
procedimientos adecuado para así ejercer controles.
 Al ser efectuado por el director, gerencia y demás miembros del personal
proporcionara a la organización la distribución funcional y responsabilidad de control
interno en la organización.
 El Marco integrado de control interno propuesto por COSO proveerá un enfoque
integral y herramientas para la implementación de un sistema de control interno
efectivo y en pro de mejora continua. Un sistema de control interno efectivo reduce a
un nivel aceptable el riesgo de no alcanzar un objetivo de la entidad.

~ 49 ~
5. BIBLIOGRAFÍA

Auditool. (28 de Abril de 2014). Principales cambios en los 5 componentes de COSO III.
Recuperado el 4 de Mayo de 2019, de Auditool Org:
https://www.auditool.org/blog/control-interno/2659-cambios-en-los-5-
componentes-de-coso

Cámbara, M. (04 de Febrero de 2015). COSO III. Recuperado el 4 de Mayo de 2019, de

SCRIB: https://es.scribd.com/doc/254648754/COSO-III

El Auditor Moderno. (17 de Enero de 2017). El informe COSO. Recuperado el 4 de Mayo

de 2019, de El Auditor Moderno:
https://elauditormoderno.blogspot.com/2017/01/el-informe-coso.html

Elizabeth, V. (12 de Enero de 2017). Componentes COSO I. Recuperado el 4 de Mayo de

2019, de SCRIBD: https://es.scribd.com/document/336363914/Componentes-
Del-Coso-I

Olimpicos368613. (11 de Septiembre de 2016). COSO I, II, II. Recuperado el 4 de Mayo

de 2019, de SCRIB: https://es.scribd.com/presentation/323612689/Coso-i-Coso-
II-y-Coso-III

Rubio, A. (25 de Enero de 2019). COSO II: los sistemas para el control interno.
Recuperado el 4 de Mayo de 2019, de Conexiónesan:
https://www.esan.edu.pe/apuntes-empresariales/2019/01/coso-ii-los-sistemas-
para-el-control-interno/

Unknown. (13 de Mayo de 2015). COSO II. Recuperado el 4 de Mayo de 2019, de Control
Interno COSO II: http://coso2.blogspot.com/

~ 50 ~