Sistema de

Control en el
Sector
Pblico

Mdulo 3:
Control interno con
el enfoque COSO
 CONTENIDO

INTRODUCCIN ..................................................................................................................................... 3

OBJETIVOS DEL MDULO ....................................................................................................................... 4

1. COSO.................................................................................................................................................. 5

1.1. SURGIMIENTO DE COSO ......................................................................................................................... 5

1.2. MISIN DE COSO.................................................................................................................................. 7
1.3. PRINCIPALES PUBLICACIONES DE COSO ...................................................................................................... 8

2. DEFINICIN DE CONTROL INTERNO BAJO EL ENFOQUE COSO ............................................................ 9

2.1. CONCEPTOS CLAVE RELACIONADOS CON LAS DEFINICIONES DE CONTROL INTERNO DE COSO ............................... 10
2.1.1. Proceso .................................................................................................................................... 11
2.1.2. Efectuado por personas .......................................................................................................... 11
2.1.3. Adaptable a la estructura de la entidad.................................................................................. 12
2.1.4. Capaz de brindar seguridad razonable ................................................................................... 12
2.1.5. Engranado para el logro de objetivos ..................................................................................... 12

3. COMPONENTES DEL CONTROL INTERNO BAJO EL ENFOQUE COSO .................................................. 15

3.1. ENTORNO DEL CONTROL ........................................................................................................................ 17

3.1.1. Conceptualizacin de entorno de control................................................................................ 17
3.1.2. Principios relativos al entorno del control ............................................................................... 18
3.2. VALORACIN DE RIESGOS ...................................................................................................................... 19
3.2.1. Enfoques para conceptualizar el riesgo .................................................................................. 19
3.2.1.1. Riesgo bajo un enfoque de adversidad ........................................................................................... 20
3.2.1.2. Riesgo bajo un enfoque de bipolaridad ........................................................................................... 20
3.2.2. Eventos, oportunidades y riesgos segn COSO ....................................................................... 21
3.2.2.1. Evento ............................................................................................................................................. 21
3.2.2.2. Oportunidad y riesgo ....................................................................................................................... 22
3.2.2.3. Perspectivas para evaluar posibles eventos .................................................................................... 22
3.2.3.4. Monto de riesgo (amount of risk) .................................................................................................... 25
3.2.3.5. Apetito de riesgo (risk appetite) ...................................................................................................... 26
3.2.3.6. Categoras de respuesta al riesgo .................................................................................................... 29
3.2.3.7. Riesgo inherente y riesgo residual .................................................................................................. 30
3.2.3. Valoracin de riesgos como un proceso .................................................................................. 33
3.2.4. Principios relativos con la valoracin de riesgos ..................................................................... 34
3.3. ACTIVIDADES DE CONTROL ..................................................................................................................... 35
3.3.1. Conceptualizacin de las actividades de control ..................................................................... 35
3.3.2. Tipos de actividades de control transaccional ........................................................................ 36
3.3.3. Actividades de control preventivas y detectivas ..................................................................... 37
3.3.4. Principios relativos a las actividades de control ...................................................................... 38
3.4. INFORMACIN Y COMUNICACIN ............................................................................................................ 38
3.4.1. Conceptualizacin de informacin .......................................................................................... 38
3.4.2. Conceptualizacin de comunicacin ....................................................................................... 39
3.4.2.1. Comunicacin interna y externa...................................................................................................... 39
3.4.3. Principios relativos con la informacin y la comunicacin ...................................................... 40
3.5. ACTIVIDADES DE MONITOREO ................................................................................................................. 40
3.5.1. Conceptualizacin de actividades de monitoreo ..................................................................... 40
3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas ....................................................... 41
3.5.2. Principios relativos a las actividades de monitoreo ................................................................ 42

2
 Introduccin
En este curso, el trmino enfoque COSO de control interno o control interno
bajo el enfoque COSO (abreviadamente, enfoque COSO) designa al abordaje
que en diversos estudios y publicaciones patrocinados por el denominado
Committee of Sponsoring Organizations of the Treadway Commission (Comit
de Organizaciones Patrocinantes de la Comisin Treadway, conocido como
COSO, por sus siglas en ingls), se le da a un tipo de proceso de control de la
gestin organizacional que en dichas publicaciones ha sido etiquetado como
control interno.

En este captulo, se pone en contexto el surgimiento de COSO. Se analiza,

adems, bajo el enfoque COSO, el concepto de control interno. Por ltimo, se
desarrolla los cinco componentes de control interno bajo el mismo enfoque:
entorno del control, valuacin de riesgos, actividades de control, informacin y
comunicacin y monitoreo.

3
Objetivos del mdulo

Describir el contexto en el cual surge

COSO, reconocer su misin e
identificar sus principales
publicaciones.

Bajo el enfoque COSO, definir control

interno.

Bajo el enfoque COSO, identificar los

componentes del control interno.

4
1. COSO
Una de las instituciones ms influyentes en una temtica que ha sido
denominada convencionalmente como control interno es el Committee of
Sponsoring Organizations of the Treadway Commission (Comit de
Organizaciones Patrocinantes de la Comisin Treadway), conocido
internacionalmente como COSO, por su sigla en ingls. En esta seccin, se
aborda el surgimiento de COSO y su misin, as como algunas de las principales
publicaciones que ha patrocinado.

1.1. Surgimiento de COSO

En junio de 1985 se estableci en Estados Unidos la National Commission on

Fraudulent Financial Reporting (Comisin Nacional sobre Reporteo Financiero
Fraudulento), una iniciativa independiente. Desde octubre de 1985 hasta
septiembre de 1987, dicha Comisin estudi el sistema de reporteo financiero
en los Estados Unidos. Su misin era identificar (National Commission on
Fraudulent Financial Reporting, 1987, p. 1) lo siguiente:

Los factores causales que pueden conllevar al reporteo financiero

fraudulento.

5
 Los pasos para reducir su incidencia.

Dicha comisin tuvo como primer chairman al abogado James C. Treadway Jr.
De ello deriva que fuera conocida como la Treadway Commission. Treadway Jr.
era General Counsel de Pain Weber Inc. y anteriormente fue miembro de la U.
S. Securities and Exchange Commission.

1
Figura 0.1. James Treadway Jr. (a la derecha) en una foto de 1984

La referida Comisin fue patrocinada y financiada conjuntamente por cinco

instituciones (National Commission on Fraudulent Financial Reporting, 1987, p.
1):

American Institute of Certified Public Accountants (AICPA).

American Accounting Association (AAA).
Financial Executives Institute (FEI).
Institute of Internal Auditors (IIA).
National Association of Accountants (NAA), que actualmente es The
Association for Accountants and Financial Professionals in Business
(IMA).

1
Foto recuperada el 1 de abril de 2013, de
http://www.sechistorical.org/collection/photos/full/1984_0101_sec_4.jpg

6
La iniciativa formada por las cinco instituciones del sector privado
patrocinadoras de la citada comisin fue denominada Committee of Sponsoring
Organizations of the Treadway Commission (Comit de Organizaciones
Patrocinantes de la Comisin Treadway). Es referida usualmente mediante sus
siglas en ingls: COSO.

1.2. Misin de COSO

La misin de COSO est formulada en los siguientes trminos:

The Committee of Sponsoring La misin del Comit de

Organizations (COSO) mission is to
provide thought leadership through
the development of comprehensive
frameworks and guidance on
enterprise risk management, internal
control and fraud deterrence designed
to improve organizational performance
and governance and to reduce the
extent of fraud in organizations
(COSO, 2011b)
Organizaciones Patrocinadoras (COSO)
es brindar liderazgo de ideas a travs
del desarrollo de marcos comprensivos
y orientacin en manejo de riesgos
empresariales, control interno y
disuasin de fraude, diseados para
mejorar [la] performance y [la]
gobernanza organizacional y reducir la
extensin de[l] fraude en [las]
organizaciones.

Figura 0.2. Esquematizacin grfica de la misin de COSO

Manejo de riesgos
Marcos empresariales
BRINDAR exhaustivos
a travs del sobre
THOUGHT desarrollo de
Control interno
LEADERSHIP
Orientacin Disuasin de
fraudes

diseados para

Mejorar Reducir

Performance Extensin de fraude

Gobernanza
organizacional en las organizaciones

7
1.3. Principales publicaciones de COSO

Entre las principales publicaciones de COSO se encuentran:

Report of the National Commission on Fraudulent Financial Reporting,

publicado en 1987.
Internal Control-Integrated Framework (ICIF), versin de 1992,
desarrollado por Coopers & Lybrand2.
Enterprise Risk Management-Integrated Framework (ERMIF), versin de
septiembre de 2004, desarrollado por Pricewaterhouse Coopers LLP.
Risk Assessment in Practice, versin de 2012, desarrollado por Patchin
Curtis y Mark Carey.
Internal Control-Integrated Framework (ICIF), versin de mayo de 2013,
desarrollado por PwC3.

El presente mdulo aborda el concepto de control interno y sus componentes

tomando como referencias principales las versiones de 1992 y de 2013 del ICIF.

2
COOPERS & LYBRAND fue la denominacin de una firma establecida en 1957, resultante de la fusin
realizada de COOPER BROTHERS & CO (Reino Unido), MCDONALD, CURRIE AND CO (Canad) and LYBRAND, ROSS
BROS & MONTGOMERY (Estados Unidos de Amrica) (PwC, 2013).
3
PRICEWATERHOUSECOOPERS fue la denominacin de la firma establecida en 1998 resultante de la fusin a
escala global de PRICE WATERHOUSE y COOPERS & LYBRAND. En el ao 2010, PRICEWATERHOUSECOOPERS adopt
formalmente el nombre comercial PwC, aunque la denominacin PRICEWATERHOUSECOOPERS se mantiene
como nombre completo de la organizacin a nivel global para fines legales (PwC, 2013).

8
2. Definicin de control interno bajo el
enfoque COSO
Las versiones de los aos 1992 y 2013 del ICIF definen control interno en un
sentido procesal, tal como se indica a continuacin:

COSO (1992, p. 13)

Internal control is a process, [El] control interno es un proceso,

effected by an entitys board of
directors, management, and other
personnel, designed to provide
reasonable assurance regarding the
achievement of objectives in the
following categories:
Effectiveness and efficiency of
operations.
Reliability of financial reporting.
Compliance with applicable laws
and regulations.
efectuado por [el] consejo de directores,
[la] gerencia y otro personal, diseado
para proveer seguridad razonable
respecto al logro de objetivos de las
siguientes categoras
Efectividad y eficiencia de
operaciones.
Fiabilidad de[l] reporteo financiero.
Cumplimiento de leyes y regulaciones
aplicables.

9
 COSO (2013, p. 1)

Internal control is a process, [El control interno es un proceso,

effected by an entitys board of
directors, management, and other
personnel, designed to provide
reasonable assurance regarding the
achievement of objectives relating
to operations, reporting, and
compliance.
efectuado por [el] consejo de directores,
[la] gerencia y otro [o el resto del]
personal, diseado para brindar
seguridad razonable respecto al logro de
objetivos relativos a operaciones,
reporteo y cumplimiento.

2.1. Conceptos clave relacionados con las definiciones de

control interno de COSO

Cuatro conceptos clave implcitamente sealados en las definiciones de control

interno, anteriormente citadas, son proceso, personal, aseguramiento
razonable, objetivos. Otro concepto clave es el de adaptabilidad, el cual,
aunque no es sealado explcitamente en las definiciones citadas, s est
vinculado implcitamente con tales definiciones. En efecto, segn COSO (2013,
p. 3), el control interno es:

Un proceso.
Efectuado por personas.
Adaptable a la estructura de la entidad.
Capaz de brindar seguridad razonable.
Engranado para el logro de objetivos.

Figura 0.1. Conceptos clave de la definicin de control interno formulada por COSO.

Efectuado
por Personal

Adaptable a la
Proceso estructura de
la entidad

Para Aseguramiento respecto a

lograr Objetivos
razonable

10
2.1.1. Proceso

Segn COSO (2013, p. 3), el control interno no es un evento o circunstancia

nica. Es un proceso dinmico e iterativo. Consiste en tareas y actividades en
marcha. Es un medio para un fin, y no un fin en s mismo.

Segn COSO (2013, pp. 3, 145), incorporado dentro de este proceso estn los
controles. Un control es una poltica (policy) o procedimiento (procedure) que
forma parte del control interno. Una poltica es un enunciado de un miembro
de la gerencia o del consejo respecto a qu se debera hacer para llevar a
efecto el control interno. Un procedimiento es una accin que implementa una
poltica.

Figura 2. Tipos de controles en el ICIF 2013

Efectuado
por Personal

Adaptable a la
Proceso estructura de
la entidad

Para Aseguramiento respecto a

lograr Objetivos
razonable

2.1.2. Efectuado por personas

Segn COSO (2013, p. 1), el control interno no es no es meramente acerca de

manuales de poltica y de procedimientos, sistemas y formularios, sino acerca
de personas y de las acciones que toman a todo nivel de una organizacin para
efectuar el control interno.

Las personas que efectan el control interno son:

El consejo de directores (board of directors), cuyas responsabilidades

incluyen brindar consejo y direccin a la gerencia, desafiar
constructivamente a la gerencia, aprobar polticas y transacciones y
monitorear las actividades de la gerencia.

11
 La gerencia (management), que conjuntamente con el consejo de
directores marcan la pauta para la organizacin respecto a la importancia
del control interno y los estndares esperados de conducta en la entidad.
El resto del personal (other personnel).

Figura 3. Grupos de personas en la organizacin (esquematizacin basada en COSO [2013])

Consejo de Board of
directores directors

PERSONAS DE LA
Gerencia Management
ORGANIZACIN

Resto del Other

personal personnel

2.1.3. Adaptable a la estructura de la entidad

El ICIF 2013 considera que el control interno es flexible en aplicacin (COSO,

2013, p. 1) para la entidad entera o para una subsidiaria, divisin, unidad
operativa o proceso de negocio particular.

2.1.4. Capaz de brindar seguridad razonable

El ICIF 2013 considera que el control interno es capaz de brindar seguridad

razonable, pero no absoluta a la alta gerencia y al consejo de directores de la
entidad respecto al logro de objetivos de la misma (COSO, 2013, pp. 1, 4). La
expresin seguridad razonable, en vez de seguridad absoluta, reconoce que
existen limitaciones en todos los sistemas de control interno, y que pueden
existir incertidumbres y riesgos que nadie puede confiablemente predecir con
precisin (COSO, 2013, p. 4).

2.1.5. Engranado para el logro de objetivos

El tema de los objetivos de control interno es un punto relevante en las dos

versiones del ICIF. Ambas puntualizan tres categoras de objetivos de control
interno distintos, pero traslapados. En la versin 1992, estas categoras son:

12
 Operaciones. Relacionado con el uso efectivo y eficiente de los
recursos de la entidad.
Reporteo financiero. Relacionado con la preparacin de confiables
estados financieros publicados.
Cumplimiento. Relacionado con el cumplimiento por parte de la
entidad de leyes y regulaciones que le sean aplicables.

Estos objetivos pueden vincularse respectivamente con resultados evaluados en

tres dimensiones, las cuales por razones didcticas pueden ser designadas
(empleando una terminologa alternativa a la de COSO) como desempeo,
transparencia financiera y juridicidad. La relacin entre los objetivos citados y
las dimensiones mencionadas estn representadas en la figura siguiente.

Figura 4. Categoras de objetivos de control interno basadas en el ICIF 1992

Relacionados Efectivo
con el uso de
Operaciones recursos Desempeo
Eficiente

CATEGORAS DE
Relacionado Estados
OBJETIVOS DEL Reporteo con la Transparencia
preparacin de financieros
CONTROL INTERNO financiero confiables
financiera
SEGN ICIF 1992
Relacionados Leyes
con el
Conformidad cumplimiento Juridicidad
de
Regulaciones

La versin 2013 tambin establece tres categoras de objetivos del control

interno distintas pero traslapadas. Ello queda reflejado en la cita siguiente:

The Framework sets forth three El Marco establece tres categoras

categories of objectives, which de objetivos, que permiten a [las]
allow organizations to focus on organizaciones enfocarse en
separate aspects of internal aspectos separados de control
control: interno:

Operations Objectives. These Objetivos de operaciones. Estos

pertain to effectiveness and se refieren a [la] efectividad y
efficiency of the entitys [la] eficiencia de [las]
operations, including operational operaciones de la entidad,
and financial performance goals, incluyendo metas de desempeo
and safeguarding assets against operacional y financiero y [la]
loss. salvaguarda de activos contra

13
 Reporting Objectives. These
pertain to internal and external
financial and non-financial
reporting and may encompass
reliability, timeliness,
transparency, or other terms as
set forth by regulators, standard
setters, or the entitys policies.
Compliance Objectives. These
pertain to adherence to laws and
regulations to which the entity is
subject (COSO, 2013, p. 2).
prdidas
Objetivos de reporteo. Estos se
refieren al reporteo financiero y
no financiero interno y externo y
pueden abarcar confiabilidad,
oportunidad, transparencia u
otros trminos estipulados por
reguladores, fijadores de
estndares u las polticas de la
entidad.
Objetivos de conformidad. Estos
se refieren a la adherencia a
leyes y regulaciones a la cual la
entidad est sujeta.

Figura 5. Categoras de objetivos de control interno basadas en el ICIF 2013

Efectividad y
eficiencia
Objetivos de Pertinentes a
Incluido
operaciones
Salvaguarda de
activos

Financiero
CATEGORAS DE
No financiero
OBJETIVOS DEL Objetivos de Pertinentes a
reporteo
CONTROL INTERNO reporteo Interno
SEGN ICIF 2013
Externo

Leyes
Objetivos de Pertinentes a
adherencia a
conformidad
Regulaciones

De la cita anterior, se aprecia que existe una importante diferencia cualitativa

en la segunda categora de objetivos. Mientras que en la versin 1992 est
referido al reporteo financiero en particular, en la versin 2013 est referido al
reporteo en general, sea financiero o no, y tanto al interno como al externo.

14
3. Componentes del control interno
bajo el enfoque COSO
Las dos versiones del ICIF consideran que el control interno tiene cinco
componentes. En ambas versiones, los nombres de los componentes coinciden,
salvo en el quinto, tal como se indica en la Tabla 1.

Tabla 1. Componentes del control interno en las dos versiones del ICIF

Nombre de componente
N.
En ICIF 1992 En ICIF 2013
1 Control environment Control environment
2 Risk assessment Risk assessment
3 Control activities Control activities
4 Information and Information and
communication communication
5 Monitoring Monitoring activities

15
La Tabla 2 presenta una breve descripcin de los cinco componentes de control
interno basada en la versin 2013 del ICIF. Cabe indicar que una novedad en
esta versin es la asociacin explcita de cada componente con dos o ms
principios, sumando en total 17 principios.

Tabla 2. Descripcin de componentes del control interno basada en el ICIF 2013

Nombre de Traduccin Traduccin N. de

Detalle
componente aproximada oficial (*) principios
Es el conjunto de estndares,
Entorno del procesos y estructuras que
Control control / Entorno de brindan la base para llevar a
5
environment Ambiente de control cabo control interno a travs de
control la organizacin (COSO, 2013, p.
12).
Involucra un proceso dinmico e
iterativo para identificar y
analizar riesgos para el logro de
Determinacin
Risk Evaluacin los objetivos de la entidad,
/ valoracin 4
assessment de riesgos formando una base para
de riesgos
determinar cmo deberan
manejarse los riesgos (COSO,
2013, p. 13).
Son las acciones establecidas por
polticas y procedimientos para
ayudar a asegurar que las
Control Actividades de Actividades
directivas de la gerencia para 3
activities control de control
mitigar riesgos para el logro de
objetivos sean llevados a cabo
(COSO, 2013, p. 13).
Informacin es la data que est
combinada y sumarizada con
base en relevancia para los
requerimientos de informacin,
los cuales son determinados por
el funcionamiento de otros
Information Informacin componentes de control interno
Informacin y
and y tomando en consideracin las 3
comunicacin
communication comunicacin expectativas de todos los
usuarios, tanto internos como
externos (COSO, 2013, p. 106).
Comunicacin es el proceso
continuo e iterativo de proveer,
compartir y obtener informacin
necesaria (COSO, 2013, p. 105).
Las actividades de monitoreo
determinan si cada uno de los
Actividades
Monitoring Actividades de cinco componentes de control
de 2
activities monitoreo interno y principios relevantes
supervisin
est presente y funcionando
(COSO, 2013, p. 124).
(*) Segn el Instituto de Auditores Internos de Espaa.

16
 Figura 1. Componentes del control interno en ICIF-COSO

MONI TOREO

&
N
N

I
CI
ACTIV D E OL

AC
ID

N
&
ADES R

ICA
NT

RM
COMUNICACI
INFORMACIN
C O

UN

FO
IN
M
CO
S
VALO GO
RACI IES
N D ER

L
RO
ENT O NT
ORN L C
O DE

Grfico adaptado de COSO (1992, p. 17).

Figura 2. Relacin entre objetivos, componentes y la entidad

ad
s
ne

id
rte
io

m
ac

po

or
er

nf
Re
Op

Co

Unidad Operativa
Funcin

Entorno del control

Nivel de Entidad

Valoracin de riesgos
Divisin

Actividades de control

Informacin y comunicacin

Actividades de monitoreo

Grfico adaptado de COSO (2013, p. 5)

3.1. Entorno del control

3.1.1. Conceptualizacin de entorno de control

De acuerdo con COSO (2013, pp. 12, 31):

El entorno del control es el conjunto de estndares, procesos y

estructuras que proveen la base para llevar a cabo [el] control interno a
travs de la organizacin.

17
 El consejo directivo y la alta gerencia marcan desde el alto nivel la pauta
acerca de la importancia del control interno, incluidos los estndares
esperados de conducta.

Figura 3. Entorno del control

El control interno a travs de la organizacin

para llevar a cabo

Proveen la base
CONJUNTO DE

Estndares Procesos Estructuras

Esquematizacin basada en COSO (2013, pp. 12, 31)

De acuerdo con COSO (2013, p. 31), el entorno del control comprende:

La integridad y valores ticos de la organizacin.

Los parmetros que permiten al consejo de directores llevar a cabo sus
responsabilidades de supervisin.
La estructura organizacional y la asignacin de autoridad y
responsabilidad.
El proceso para atraer, desarrollar y retener individuos competentes.
El rigor alrededor de las medidas de performance, incentivos y premios
para conducir la accountability para [la] performance.

3.1.2. Principios relativos al entorno del control

COSO (2013, p. 31) seala cinco principios relativos con este componente. A
continuacin, citamos a dichos principios, as como su traduccin aproximada:

1. The organization 1. La organizacin demuestra un

demonstrates a commitment to compromiso con [la] integridad
integrity and ethical values. y [los] valores ticos.

2. The board of directors 2. El consejo de directores

demonstrates independence demuestra independencia de[l]
from management and management y ejerce

18
 exercises oversight of the supervisin del desarrollo y [la]
development and performance performance de[l] control
of internal control. interno.

3. Management establishes, with 3. [La] gerencia establece, con

board oversight, structures,
reporting lines, and appropriate
authorities and responsibilities
in the pursuit of objectives.
4. The organization demonstrates
a commitment to attract,
develop, and retain competent
individuals in alignment with
objectives.
5. The organization holds
individuals accountable for their
internal control responsibilities
in the pursuit objectives.
supervisin de[l] consejo [de
directores], lneas de reporte (*)
y autoridades y
responsabilidades apropiadas en
la persecucin de objetivos.
4. La organizacin demuestra un
compromiso para atraer,
desarrollar y retener individuos
competentes en alineacin a los
objetivos.
5. La organizacin atribuye a [los]
individuos la rentabilidad de
cuentas por sus
responsabilidades [de] control
interno en la persecucin de
objetivos.

(*) Lneas de reporte, traduccin de reporting lines, puede ser interpretado

como lnea de mando, cadena de mando, lnea jerrquica o va jerrquica.

3.2. Valoracin de riesgos

3.2.1. Enfoques para conceptualizar el riesgo

El concepto de riesgo tiene diferentes definiciones en la bibliografa

especializada. Dos enfoques conceptuales referenciales para definir dicho
concepto en relacin con el efecto que la materializacin del riesgo causara en
una persona determinada son el de adversidad y el de bipolaridad.

Figura 4. Enfoques para conceptualizar el riesgo

De adversidad
ENFOQUES PARA
CONCEPTUALIZAR
EL RIESGO
De bipolaridad

19
3.2.1.1. Riesgo bajo un enfoque de adversidad

Bajo un enfoque de adversidad, para una persona P en particular, un curso de

accin c es un riesgo si se cumple las tres condiciones siguientes:

C no est bajo el dominio de P.

P no conoce si c se dar.
de darse c, ello conllevara a un efecto adverso para P.

Bajo este enfoque, el riesgo es subjetivo en el sentido de que un curso de

accin podra ser considerado una situacin de riesgo por una persona, y como
una situacin fuera de riesgo para otra. Por ejemplo, si en un pas determinado
la subida futura del tipo de cambio se considera posible, pero no se sabe si se
producir o no, dicho curso de accin significara un riesgo para un arrendatario
que paga alquiler en moneda extranjera pero no para el arrendador que, en vez
de riesgo, podra verlo como una oportunidad.

3.2.1.2. Riesgo bajo un enfoque de bipolaridad

Sea una variable x y una persona P. Pueden presentarse los siguientes casos:

(a) P no decide directamente el valor de x (es decir, dicha x no es una

variable de eleccin para dicha persona).
(b) P no conoce el valor de x.
(c) P conoce la distribucin de probabilidades de valores de x.

Bajo un enfoque de bipolaridad, P est en sentido amplio en una situacin de

riesgo o incertidumbre respecto a x cuando ocurre conjuntamente (a) y (b). Si
ocurre (a) y (b), se tiene que:

Si ocurre (c), P estar en una situacin de riesgo puro respecto a x.

Si no ocurre (c), P estar en una situacin de incertidumbre pura
respecto a x.

Con este enfoque, de manera similar al anterior, el riesgo (en trminos amplios
o en trminos puros) es subjetivo. En efecto, respecto a una variable
determinada, una persona A puede estar en situacin de riesgo y, al mismo
tiempo, una persona B estar fuera de una situacin de riesgo. Analcese, por
ejemplo, el caso de una operacin crediticia en la cual el acreedor puede
determinar y modificar mensualmente la tasa efectiva anual i de inters
flotante aplicable. En este caso, si el deudor ha podido establecer y conocer la

20
distribucin de probabilidad de valores de i para los prximos 12 meses, se
tiene que para dicho perodo:

El deudor est en una situacin de riesgo.

Al mismo tiempo, el acreedor est fuera de riesgo, ya que l puede
determinar el valor de i.

A este enfoque se le denomina de bipolaridad porque, tanto en el caso de que x

llegue a asumir un valor que genere un efecto adverso para P como en el caso
de que llegue a asumir un valor que genere un efecto favorable para la misma
persona, se considerar que P est en riesgo o incertidumbre respecto a x en la
medida en que se cumpla las condiciones (a) y (b) citadas.

3.2.2. Eventos, oportunidades y riesgos segn COSO

En el ERMIF 2004 y el ICIF 2003, oportunidad y riesgo pueden verse como

situaciones contrapuestas que se presentan ante un evento determinado. Estos
tres conceptos (evento, oportunidad y riesgo) son abordados a continuacin.

3.2.2.1. Evento

Segn el ERMIF 2004 (COSO, 2004, p. 16):

Un evento es un incidente u ocurrencia [procedente] de fuentes internas

o externas que afectan el logro de objetivos.
Los eventos pueden tener impacto negativo, impacto positivo o ambos.

Figura 5. Esquematizacin del concepto de evento basado en el ERMIF 2004

EVENTO
De fuentes
Internas
Incidente o
Externas
u
Que afectan
Ocurrencia
Logro de
objetivos

21
3.2.2.2. Oportunidad y riesgo

Segn el ERMIF (2004) y el ICIF (2013):

Oportunidad es la posibilidad de que un evento ocurra y positivamente

afecte el logro de objetivos (COSO, 2004, p. 16 y 2013, p. 60); en otras
palabras, es la posibilidad de ocurrencia de un evento con impacto
positivo.
Riesgo es la posibilidad de que un evento ocurra y adversamente afecte
el logro de objetivos (COSO, 2004, p. 16 y 2013, p. 59); en otras
palabras, es la posibilidad de ocurrencia de un evento con impacto
negativo.

Figura 6. Contraste entre los conceptos de oportunidad y riesgo

con impacto
Oportunidad
positivo
Posibilidad de
ocurrencia de
un evento ...
con impacto
Riesgo
negativo

Para la conceptualizacin del riesgo, COSO adopta elementos de un enfoque de

adversidad (en este caso, vinculado con objetivos). Sin embargo, ello no implica
que los riesgos (as como las oportunidades) as conceptualizados no puedan
ser sujetos a estudios probabilsticos.

3.2.2.3. Perspectivas para evaluar posibles eventos

Segn el ERMIF 2004, la incertidumbre de eventos potenciales es evaluada

desde dos perspectivas denominadas con los trminos likelihood e impact, que
pueden ser traducidas como verosimilitud e impacto. Al respecto, COSO (2004,
p. 50) seala:

Likelihood (verosimilitud) representa la posibilidad de que un evento

dado ocurra.
Impact (impacto) representa su efecto.

22
De manera complementaria a lo sealado por COSO, se puede mencionar lo
siguiente:

La variable verosimilitud hace referencia a un indicador de cun verosmil

es el hecho de que el evento se materialice. Como indicador de
verosimilitud se puede usar:

La probabilidad de que el evento se materialice, probabilidad

entendida en el sentido de las definiciones convencionales dadas
en Estadstica Matemtica, por lo cual sus posibles valores estn
restringidos a nmeros reales entre cero y uno.

Otra variable relacionada con la posibilidad de ocurrencia de un evento

con impacto adverso, pero que no calce con las referidas definiciones
de probabilidad; por ejemplo, en un caso particular se puede decir que
la verosimilitud es, usando valores cualitativos, baja, media o alta; o,
usando valores numricos, 1, 2 o 3.

El impacto directamente asociado a un riesgo (en el sentido definido por

COSO) es de naturaleza adversa para el cumplimiento de objetivos. Por
lo tanto, se podra sealar que en el caso particular de los riesgos, ellos
pueden ser evaluados bajo las dos perspectivas siguientes: verosimilitud
y adversidad.
La verosimilitud y la adversidad pueden ser vistas como dos atributos
bsicos del riesgo, los cuales pueden ser representados en lo que se
denomina mapa de riesgos.

Ejemplos de mapas de riesgo se ilustran en

La

Figura 7 correspondiente a un caso en el cual ambos atributos son
variables numricas continuas y algunos valores hipotticos de ambas
variables son representados mediante puntos.
La Figura 8 correspondiente a un caso en el cual el atributo verosimilitud
se refiere a la probabilidad de ocurrencia de un evento (probabilidad
entendida en el sentido dado en Estadstica Inferencial) y la adversidad
se refiere a un importe de prdida que se generara en el caso de
ocurrencia del mismo evento.

23
 Figura 7. Mapa de riesgos cuando las variables verosimilitud y adversidad son numricas continuas.

El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotticas de valores de ambas
variables.

4 P = (1;4)
Adversidad
3

Q = (2;2)
2

R = (4;1)
1

1 2 3 4
Verosimilitud

Figura 8. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de prdida que resultara de la ocurrencia de tal evento.

El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotticas de valores de ambas
variables:
$100 $200 $300 $400

U = (0,2;$400)
Adversidad = Prdida

V = (0,4;$200)

W = (0,8;$100)

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

Si los dos atributos bsicos indicados son variables discretas con dominio finito,
se puede usar de manera alternativa o complementaria a un mapa de riesgo

24
similar al ilustrado en las dos figuras precedentes, un grfico denominado
matriz de riesgo, tal como el ilustrado en la Figura 9.

Figura 9. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres valores
hipotticos discretos y cualitativos.

En este caso, el mapa adopta una forma matricial que ilustra las nueve posibles combinaciones
hipotticas de valores de ambas variables:

Reducida (R) Mediana (M) Elevada (E)

(R;E) (M;E) (E;E)

Adversidad

(R;M) (M;M) (E;M)

(R;R) (M;R) (E;R)

Reducida (R) Mediana (M) Elevada (E)

Verosimilitud

3.2.3.4. Monto de riesgo (amount of risk)

El ERMIF 2004 y el ICIF 2013 emplean la expresin amount of risk, traducible

como monto del riesgo, sin definirla expresamente. No obstante, para
propsitos prcticos y didcticos, el monto del riesgo ( ) para un evento
puede ser conceptualizado matemticamente como el producto de la
verosimilitud ( ) de dicho evento y la adversidad ( ) que generara su
ocurrencia; es decir:

() = () ()

Dnde:

() es el monto de riesgo del evento en estudio.

() es la verosimilitud del mismo evento.
() es la adversidad que tendra para el logro de objetivos, el
hecho de que ocurra el evento en mencin.

25
 Ejemplo 1. Monto de riesgo

Para el caso de la

Figura 7, el monto hipottico de riesgo correspondiente a cualquiera de los tres puntos

ilustrados P, Q y R es:

14=22=41=4

Para el caso de la Figura 8, el monto hipottico del riesgo correspondiente a cualquiera

de los tres puntos ilustrados U, V y W es:

0.2 $ 400 = 0.4 $ 200 = 0,8 $ 100 = $ 80

3.2.3.5. Apetito de riesgo (risk appetite)

En el ICIF 2013, el apetito de riesgo es definido como el monto de riesgo que,

en un nivel amplio, una entidad est dispuesta a aceptar en la persecucin de
su misin/visin (COSO, 2013, p. 15). De manera complementaria, se puede
sealar que cuando verosimilitud y adversidad son variables cuantitativas, se
tiene que la curva de apetito de riesgo es el conjunto de puntos del mapa de
riesgo que correspondan a un monto de riesgo igual al apetito de riesgo.

Ejemplo 2. Apetito y mapa de riesgo cuando las variables verosimilitud y adversidad son numricas
continuas

Partiendo del caso de la

26
 Figura 7, si se establece como apetito de riesgo un valor de 4, todas las
combinaciones de valores de las variables verosimilitud y adversidad que
corresponden a un monto de riesgo ascendente a 4 conformarn la curva
de apetito de riesgo. Correspondern a montos de riesgo aceptables
cualesquiera combinaciones de valores de las referidas variables
representadas por puntos:

Dentro de la curva (tales como P, Q y R).

Al suroeste de la misma (tal como el punto S).

En cambio, las combinaciones de valores de dichas variables

representados por puntos ubicados al noreste de la referida curva (tal
como el punto T) correspondern a montos de riesgo inaceptables.

Figura 10. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables
verosimilitud y adversidad son numricas continuas.

O E

S
P = (1;4)
4

Zona al NE
de la curva
Adversidad

T = (3;3)
3

Q = (2;2)
2

S = (1;1) R = (4;1)
1

Zona al SO
de la curva

1 2 3 4
Verosimilitud

Ejemplo 3. Apetito y mapa de riesgo cuando la variable probabilidad es numrica continua y la

variable adversidad es monetaria continua

27
 Partiendo del caso de la Figura 8, si se establece como apetito de riesgo
un valor de USD 80, todas las combinaciones de valores de las variables
probabilidad y prdida que corresponden a un monto de riesgo
ascendente a USD 80 conformarn la curva de apetito de riesgo.
Correspondern a montos de riesgo aceptables cualesquiera combinacin
de valores de las referidas variables representadas por puntos:

Dentro de la curva (tales como U, V y W).

El suroeste de la misma (tal como el punto X).

En cambio, las combinaciones de valores de dichas variables

representadas por puntos al noreste de la referida curva (tal como el
punto Y) correspondern a montos de riesgo inaceptables.

Figura 11. Curva de apetito de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de prdida que resultara de la ocurrencia de tal evento.

O E

S
$100 $200 $300 $400

U = (0,2;$400)
Adversidad = Prdida

Zona al NE
de la curva

Y = (0,6;$300)

V = (0,4;$200)

X = (0,2;$100) W = (0,8;$100)
Zona al SO
de la curva

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

Ejemplo 4. Apetito y matriz de riesgo cuando las variables verosimilitud y adversidad son numrica
discretas

La Figura 12 ilustra una matriz de riesgo. Para cada combinacin hipottica de

valores se indica su correspondiente monto de riesgo (MR) asociado.

Figura 12. Matriz de riesgo y niveles de riesgo asociados con cada combinacin hipottica de
verosimilitud y adversidad.

28
 1 = Reducida 2 = Mediana 3 = Elevada
(1;3) (2;3) (3;3)

MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9
= Bajo = Alto = Muy alto

Adversidad
(1;2) (2;2) (3;2)
MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6
= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3
= Bajsimo = Muy bajo = Bajo
1 = Reducida 2 = Mediana 3 = Elevada
Verosimilitud

Si el apetito de riesgo se establece en 3, ello quiere decir que en este caso:

Es aceptable cualquiera de las cinco posibilidades del evento bajo estudio

con montos de riesgo ascendentes a 1, 2 o 3, correspondientes a:

Combinaciones que tengan reducida verosimilitud (sea cual fuere

su nivel de adversidad), situaciones representadas en la columna
izquierda de la matriz.
Combinaciones que tengan reducida adversidad (sea cual fuera su
nivel de verosimilitud), situaciones representadas en la fila inferior
de la matriz.

Son inaceptables las dems combinaciones de verosimilitud y adversidad,

representados por los elementos de la matriz (cuatro situaciones posibles
con montos de riesgo 4, 6 o 9).

3.2.3.6. Categoras de respuesta al riesgo

El ERMIF 2004 y el ICIF 2013 identifican cuatro categoras de respuesta al

riesgo (risk response): aceptacin (acceptance), evitacin (avoidance),
reduccin (reduction) y comparticin (sharing). De acuerdo con dichos marcos
(COSO, 2004, p. 55 y COSO, 2013, pp. 75-76):

Aceptacin ocurre cuando ninguna accin se toma para afectar la

verosimilitud o el impacto del riesgo.

29
 Evitacin ocurre cuando se abandona las actividades que generan
riesgo; puede involucrar abandonar una lnea de producto, declinar la
expansin a un nuevo mercado geogrfico o vender una divisin.
Reduccin ocurre cuando se toma accin para reducir la verosimilitud,
el impacto o ambos; involucra tpicamente una mirada de decisiones de
negocio cotidianas.
Comparticin ocurre cuando se reduce el riesgo o el impacto,
transfiriendo o compartiendo de otra manera una porcin del riesgo;
tcnicas comunes incluyen compra de seguros, formar joint ventures,
realizar transacciones de cobertura o tercerizar una actividad.

Figura 13. Categoras de respuesta al riesgo segn el ICIF 2013

Aceptacin

CATEGORAS DE Evitacin
RESPUESTA AL
RIESGO Reduccin

Comparticin

La aceptacin del riesgo suele darse cuando el monto de riesgo est dentro del
apetito de riesgo. Cuando el nivel de riesgo supera al apetito de riesgo, se
puede adoptar las opciones de reduccin o comparticin, si se verifica
previamente que, adoptando dichas respuestas, el nivel de riesgo se reducira
hasta un nivel igual o menor que el apetito de riesgo. Si ello no se puede
verificar, entonces la respuesta apropiada sera la evitacin del riesgo.

3.2.3.7. Riesgo inherente y riesgo residual

El ERMIF 2004 y el ICIF 2013 distinguen entre riesgo inherente y riesgo

residual, en funcin de que la gerencia haya adoptado o no- acciones de

30
respuesta al riesgo. De acuerdo con dichos marcos (COSO, 2004, p. 49 y COSO,
2013, p. 75):

Riesgo inherente es el riesgo para el logro de objetivos en la ausencia

de cualesquiera acciones que la gerencia podra tomar para alterar la
verosimilitud o el impacto del riesgo.
Riesgo residual es el riesgo para el logro de objetivos que permanece
despus de que se haya desarrollado e implementado respuestas de [la]
gerencia.

Figura 14. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual.

Riesgo Riesgo
inherente residual
Respuesta al
riesgo

Ejemplo 5. Riesgo inherente, respuesta al riesgo, riesgo residual

La implementacin exitosa de un proyecto de inversin pblica (PIP) parcialmente

financiado mediante una operacin de endeudamiento externo tiene como factor crtico
la realizacin oportuna de los procesos de contratacin. Se ha denominado E al evento
Retraso en dichos procesos por un perodo mayor a dos semanas respecto a lo
programado, el cual podra generar un impacto adverso para el logro de los objetivos
de dicho proyecto, por lo cual dicha posibilidad configura un riesgo, el cual ser
simbolizado R.

El apetito de riesgo se ha establecido en 3. Al hacer la valuacin de R antes de

seleccionar alguna respuesta al riesgo se ha determinado que:

La verosimilitud de E es 3.
La adversidad en el caso de producirse E es 3.

Con esta informacin se tiene que el monto de riesgo inherente asociado con el referido
evento es 9, valor que se encuentra muy por encima del apetito de riesgo. Ante esta
situacin se ha identificado que en anteriores PIP, los retrasos en las contrataciones
han estado asociadas con:

Dificultades para elaborar trminos de referencia para productos complejos.

Marco legal nacional muy restrictivo.

Ante esta situacin, se ha planteado adoptar las siguientes acciones antes del inicio de
la ejecucin del proyecto:

31
 (1) Identificacin de productos complejos cuya formulacin de trminos de
referencia (TDR) requieran apoyo tcnico especializado.
(2) Contratacin de consultores para que formulen y tengan concluidos los TDR de
los productos complejos referidos en (1) dentro de un plazo que venza seis
meses antes de que se requiera contratar o adquirir dichos productos.
(3) Formulacin y conclusin de TDR por las reas usuarias para aquellos bienes y
servicios que no califiquen como productos complejos dentro en un plazo que
venza seis meses antes de la fecha que se requiera iniciar el proceso de
adquisicin o contratacin de tales bienes y servicios.
(4) Uso de recursos del endeudamiento para financiar parcial o totalmente la
adquisicin o contratacin de los productos complejos.
(5) Aplicacin de normativa internacional para los procesos de adquisicin o
contratacin de los productos complejos y de otros bienes y servicios priorizados
cuya contratacin o adquisicin pueda ser financiada parcialmente con recursos
de la operacin de endeudamiento externo.

Al hacer la valuacin de R para el caso en que se adopte las 5 acciones de respuesta al

riesgo anteriormente listadas, se ha determinado que:

La verosimilitud de E es 1.
La adversidad en el caso de producirse E es 2.

Con esta informacin se tiene que el monto de riesgo residual asociado con E es 2,
valor que se encuentra por debajo del apetito de riesgo. Se tiene, entonces, que de ser
implementadas las 5 acciones descritas, las mismas configuraran respuestas al riesgo
en la categora de reduccin.

Si las variables verosimilitud y adversidad son discretas y el mapa de riesgos aplicable

para E es la matriz de la Figura 12, el efecto de la respuesta al riesgo se puede
representar tal como se ilustra en la Figura 15. Si las dos referidas variables son
continuas, el efecto de la respuesta al riesgo puede representarse como se ilustra en la

Figura 16.

Figura 15. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas.

En la figura se identifica el riesgo inherente y el riesgo residual:

32
 Riesgo inherente

3 = Elevada 2 = Mediana 1 = Reducida

(1;3) (2;3) (3;3)

MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9
= Bajo = Alto = Muy alto
Riesgo residual

Adversidad
(1;2) (2;2) (3;2)

MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6

= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3

= Bajsimo = Muy bajo = Bajo

1 = Reducida 2 = Mediana 3 = Elevada

Verosimilitud

Figura 16. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas.

En la figura se identifica el riesgo inherente y el riesgo residual:

33
 Riesgo
inherente
A = (3;3)

Curva
3
Adversidad

de
2

ap
e ti
Riesgo de

to
residual riesg
o
B = (1;2)

1 1 2 3
Verosimilitud

3.2.3. Valoracin de riesgos como un proceso

El ICIF 2013 considera que el segundo componente del control interno, es

decir, la valoracin de riesgos es un proceso. Al respecto, seala lo siguiente
(COSO, 2013, p. 59):

Cada entidad encara una variedad de riesgos de fuentes externas e

internas.
La valoracin de riesgos involucra un proceso dinmico e iterativo para
identificar y valorar riesgos para el logro de objetivos.
Los riesgos para el logro de estos objetivos son considerados relativos a
las tolerancias de riesgo establecidas.
As, la valoracin de riesgo forma la base para determinar cmo se
manejar tales riesgos.
Una precondicin para la valoracin de riesgos es el establecimiento de
objetivos, vinculados con diferentes niveles de la entidad.
La gerencia especifica objetivos dentro de las categoras relativas con
operaciones, reporteo y cumplimiento, con suficiente claridad para ser
capaz de identificar y analizar sus correspondientes riesgos.
La gerencia tambin fija su consideracin en la idoneidad de los
objetivos para la entidad.
La valoracin de riesgos tambin requiere que la gerencia considere el
impacto de posibles cambios en el entorno externo y dentro de su propio
modelo de negocios que puedan hacer que el control interno se vuelva
inefectivo.

Figura 17. Valoracin de riesgos

34
 VALORACIN DE RIESGOS
Riesgos
Proceso Identificar
Establecimiento Precondicin de para para el
dinmico e
de objetivos logro de
iterativo Valuar
objetivos

En la terminologa de COSO, resulta pertinente establecer la diferencia entre el

establecimiento de objetivos y la especificacin de los mismos. El
establecimiento de objetivos no es parte del proceso de valuacin de riesgo en
particular ni del proceso de control interno en general, pero s una precondicin
para la valuacin de riesgos.

Por otro lado, en el marco del ICIF 2013, la especificacin de objetivos s forma
parte de dicho proceso de valuacin. Al respecto considera que una
organizacin especifica objetivos (COSO, 2013, p. 15):

(1) Articulando y codificando objetivos especficos, medibles u observables,

alcanzables, pertinentes y temporizados4.
(2) Valorando la adecuacin de objetivos y subobjetivos para el control
interno basado en hechos, circunstancias y leyes, reglas, regulaciones y
estndares establecidos.
(3) Comunicando objetivos y subobjetivos a travs de la entidad.

3.2.4. Principios relativos con la valoracin de riesgos

COSO (2013, p. 59) seala cuatro principios relativos con este segundo
componente del control interno. A continuacin citamos a dichos principios, as
como una traduccin aproximada de los mismos:

6. The organization specifies 6. La organizacin especifica

objectives with sufficient clarity objetivos con suficiente claridad
to enable the identification and para permitir la identificacin y
assessment of risks relating to valuacin de riesgos relativos a

4
En ingls, los atributos de los objetivos sealados en (1) son referidos como specific, measurable or
observable, attainable, relevant y time-based. Las iniciales correspondientes a estos cinco atributos forman
el acrnimo SMART.

35
 objectives. [los] objetivos.

7. The organization identifies risks 7. La organizacin identifica

to the achievement of its
objectives across the entity and
analyzes risks as a basis for
determining how the risks
should be managed.
8. The organization considers the
potential for fraud in assessing
risks to the achievement of
objectives.
9. The organization identifies and
assesses changes that could
significantly impact the system
of internal control.
riesgos para el logro de sus
objetivos de manera transversal
a la entidad y analiza riesgos
como una base para determinar
cmo los riesgos deberan ser
manejados.
8. La organizacin considera el
potencial de fraude al valorar
riesgos para el logro de
objetivos.
9. La organizacin identifica y
valora cambios que podran
impactar significativamente [en]
el sistema de control interno.

3.3. Actividades de control

3.3.1. Conceptualizacin de las actividades de control

En relacin con este componente, COSO (2013, p. 87) seala lo siguiente:

Las actividades de control son las acciones establecidas a travs de

polticas y procedimientos que ayudan a asegurar que las directivas de la
gerencia para mitigar riesgos en pro del logro de objetivos sean llevadas
a cabo.
Las actividades de control son desempeadas en todos los niveles de la
entidad, en varias etapas dentro de los procesos del negocio y sobre el
entorno tecnolgico.
Puede comprender un rango de actividades manuales y automatizadas,
tales como autorizaciones y aprobaciones, verificaciones, reconciliaciones
y revisiones de performance de negocio.

Figura 18. Actividades de control

36
 ACTIVIDADES DE CONTROL
Polticas Para Directivas del
establecen ayudar a management
Acciones asegurar para mitigar
ejecucin
Procedimientos riesgos

3.3.2. Tipos de actividades de control transaccional

Dentro de la variedad de actividades de control transaccional, que pueden ser

seleccionadas y desarrolladas, el ICIF 2013 identifica las indicadas en la tabla
siguiente:

Tabla 3. Algunos tipos de actividades de control transaccional sealados en el ICIF 2013

Tipo sealado Traduccin

Detalle (*)
en el ICIF 2013 aproximada
Una autorizacin afirma que una transaccin es vlida (es
decir, representa un evento econmico real o est dentro
Authorizations Autorizaciones y de la poltica de una entidad). Una autorizacin toma
and approvals aprobaciones tpicamente la forma de una aprobacin por un nivel
superior de gerencia o de verificacin y determinacin de
si la transaccin es vlida (COSO, 2013, p. 92).
Las verificaciones comparan entre s dos o ms tems o
comparan un tem con un poltica, y desarrollan una
Verifications Verificaciones accin de seguimiento cuando los dos tems no
concuerdan o el tem no es consistente con la poltica
(COSO, 2013, p. 92).
El equipamiento, inventario, valores, efectivo y otros
Physical activos son asegurados fsicamente, y son peridicamente
Controles fsicos
controls contados y comparados con los importes mostrados en los
registros de control (COSO, 2013, p. 92).
Los datos permanentes (standing data), tales como el
archivo maestro de precios, son a menudo usados para
brindar soporte al procesamiento de transacciones dentro
Controls over Controles sobre
de un proceso de negocio. La organizacin pone en
standing data data permanente
marcha las actividades de control sobre los procesos para
ingresar, actualizar y mantener la exactitud, completitud y
validez de estos datos (COSO, 2013, p. 92).

37
 Tipo sealado Traduccin
Detalle (*)
en el ICIF 2013 aproximada
Las (re)conciliaciones comparan dos o ms elementos de
Reconciliations (Re)conciliaciones datos y, si se identifican diferencias, se toma accin para
que los datos concuerden (COSO, 2013, p. 93).
Los controles supervisores valoran si otras actividades de
control transaccional (es decir, verificaciones particulares,
reconciliaciones, autorizaciones y aprobaciones, controles
Supervisory Controles
sobre data permanente y actividades de control fsico)
controls supervisores
estn siendo desempeadas de forma completa, precisa y
de acuerdo con las polticas y procedimientos (COSO,
2013, p. 93).

3.3.3. Actividades de control preventivas y detectivas

Segn el ICIF 2013, las actividades de control pueden ser preventivas o

detectivas en la naturaleza, y las organizaciones usualmente seleccionan una
mezcla. En ambos casos, la parte crtica de la actividad de control es la accin
tomada para corregir o evitar un evento o resultado no intencionado. La mayor
diferencia entre ellas es la temporizacin de cundo ocurren la actividades de
control. As, se tiene que COSO (2013, p. 93) seala:

Un control preventivo es diseado para evitar un evento o resultado no

intencionado en el momento de la ocurrencia inicial (por ejemplo, al
registrar inicialmente una transaccin financiera).
Un control detectivo es diseado para descubrir un evento o resultado no
intencionado despus de que el procesamiento inicial ha ocurrido pero
antes de que el objetivo ltimo haya concluido (por ejemplo, emisin de
informes financieros).

Figura 19. Controles detectivo y preventivo basados en el ICIF 2013.

Control Diseado para descubrir

detectivo
Evento o
ACTIVIDADES resultado no
DE CONTROL intencionado

Control
preventivo Diseado para evitar

38
3.3.4. Principios relativos a las actividades de control

COSO (2013, p. 87) seala tres principios relativos con este componente. A
continuacin se cita dichos principios, as como su traduccin aproximada:

10. The organization selects and 10. La organizacin selecciona y

develops control activities that desarrolla actividades de
contribute to the mitigation of control que contribuyen a la
risks to the achievement of mitigacin de riesgos para el
objectives to acceptable logro de objetivos hasta
levels. [lograr] niveles aceptables [de
tales riesgos].
11. The organization selects and
develops general control 11. La organizacin selecciona y
activities over technology to desarrolla actividades de
support the achievement of control generales sobre la
objectives. tecnologa para dar soporte al
logro de objetivos.
12. The organization deploys
control activities through 12. La organizacin despliega
policies that establish what is actividades de control a travs
expected and in procedures de polticas que establecen
that put policies into action. qu se espera y en
procedimientos que ponen las
polticas en accin.

3.4. Informacin y comunicacin

3.4.1. Conceptualizacin de informacin

En relacin con este componente y segn COSO (2013, p. 106):

Informacin es la data que est combinada y sumarizada con base en la

pertinencia a requerimientos de informacin.
Los requerimientos de informacin estn determinados por el
funcionamiento continuo de los otros componentes del control interno,
tomando en consideracin las expectativas de todos los usuarios, tanto
internos como externos.

39
 Figura 20. Informacin como parte del cuarto componente del control interno (basado en ICIF 2013)

INFORMACIN

Combinada
Con base en la Requeri-
DATA pertinencia a mientos
Sumarizada

3.4.2. Conceptualizacin de comunicacin

Segn COSO (2013, p. 105), la comunicacin es el proceso continuo e iterativo

de proveer, compartir y obtener informacin necesaria.

Figura 21. Comunicacin como parte del cuarto componente del control interno (esquematizacin
basada en el ICIF 2013)

COMUNICACIN

Proveer
PROCESO
CONTINUO E Compartir Informacin
ITERATIVO necesaria
Obtener

3.4.2.1. Comunicacin interna y externa

El ICIF 2013 distingue entre comunicacin interna y externa. Al respecto seala

(COSO, 2013, p. 105):

La comunicacin interna es el medio por el cual la informacin se

disemina a travs de la organizacin, fluyendo ascendente, descendente
y transversalmente en la entidad. Permite al personal recibir un mensaje
claro de la alta gerencia que las responsabilidades del control deben ser
tomadas seriamente.
La comunicacin externa tiene dos caras: permite la comunicacin hacia
el interior de informacin externa relevante y provee informacin a
partes externas en respuesta a requerimientos y expectativas.

40
 Figura 22. Tipologa de comunicaciones (basada en ICIF 2013)

Es el medio por [el] cual la informacin es

diseminada a travs de la organizacin,
Interna fluyendo ascendente, descendente y
transversalmente en la entidad.

COMUNICACIN
Permite entrada de informacin externa relevante.
Externa
Provee informacin a externos.

3.4.3. Principios relativos con la informacin y la comunicacin

COSO (2013, p. 105) seala tres principios relativos con este componente. A
continuacin se cita dichos principios, as como su traduccin aproximada:

13. The organization obtains or 13. La organizacin obtiene o

generates and uses relevant, genera y usa informacin
quality information to support relevante [y] de calidad para
the functioning of internal dar soporte al funcionamiento
control. de[l] control interno.

14. The organization internally 14. La organizacin comunica

communicates information, internamente informacin,
including objectives and incluyendo objetivos y
responsibilities for internal responsabilidades para [el]
control, necessary to support control interno, necesaria para
the functioning of internal dar suporte al funcionamiento
control. de[l] control interno.

15. The organization 15. La organizacin [se] comunica

communicates with external con partes externas en cuanto
parties regarding matters a asuntos que afecten el
affecting the functioning of funcionamiento de[l] control
internal control. interno.

3.5. Actividades de monitoreo

3.5.1. Conceptualizacin de actividades de monitoreo

En relacin con este componente, COSO (2013, p. 124) seala:

Las actividades de monitoreo valoran si cada uno de los cinco

componentes del control interno est presente y funcionando.

41
 El monitoreo es un input clave de la valoracin de la efectividad del
control interno de la organizacin.

Figura 23. Actividades de monitoreo

ACTIVIDADES DE MONITOREO

VALORAN SI CADA Presente

est
COMPONENTE DEL y
CONTROL INTERNO Funcionando

3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas

De acuerdo con COSO (2013, p. 126), el monitoreo puede ser hecho de dos
maneras: a travs de evaluaciones sobre la marcha o de evaluaciones
separadas, o de alguna combinacin de las dos. Al respecto indica (COSO,
2013, p. 126):

Las evaluaciones sobre la marcha son operaciones de rutina, definidas de

manera general, incorporadas en los procesos de negocio y
desempeadas en tiempo real, reaccionantes con las condiciones
cambiantes.
Las evaluaciones separadas son conducidas peridicamente por personal
gerencial objetivo, auditores internos, y/o partes externas, entre otros. El
alcance y la frecuencia de las evaluaciones separadas es una materia de
juicio gerencial.

Figura 24. Formas de monitorear basada en ICIF-COSO (2013)

Evaluaciones
a travs de sobre la marcha
FORMAS DE alternativa o
complemen
MONITOREAR -tariamente
Evaluaciones
separadas

42
3.5.2. Principios relativos a las actividades de monitoreo

COSO (2013, p. 123) seala dos principios relativos con este componente. A
continuacin citamos dichos principios, as como su traduccin aproximada:

16. The organization selects, 16. La organizacin selecciona,

develops, and performs desarrolla y lleva a cabo
ongoing and/or separate evaluaciones sobre la marcha
evaluations to ascertain y/o separadas para determinar
whether the components of si los componentes del control
internal control are present interno estn presentes y
and functioning. funcionando.

17. The organization evaluates 17. La organizacin evala y

and communicates internal comunica deficiencias de
control deficiencies in a timely control interno de manera
manner to those parties oportuna a aquellas partes
responsible for taking responsables para tomar
corrective action, including accin correctiva, incluyendo
senior management and the al senior management (alta
board of directors, as gerencia) y el consejo de
appropriate. directores, segn sea
apropiado.

43