Marco Integrado de Control Interno

PROGRAMA II 116 AUDITORÍA DE SISTEMAS

COMPUTACIONALES II
Grupo 2
CONTENIDO
COSO ..................................................................................................................................... 3
(Committee of Sponsoring Organizations of the Treadway) ......................................... 3
Historia................................................................................................................................ 3
Objetivo del Informe COSO ............................................................................................ 6
Control Interno .................................................................................................................. 7
Entorno de control ........................................................................................................... 9
Evaluación de riesgos ................................................................................................... 10
Actividades de control ................................................................................................... 10
Información y comunicación ......................................................................................... 11
Supervisión del sistema de control ............................................................................... 13
Informes Basados en Coso............................................................................................ 13
Beneficios de la implementación de COSO .............................................................. 14
Preguntas: ........................................................................................................................ 16
Bibliografía....................................................................................................................... 17

2
 COSO

(COMMITTEE OF SPONSORING ORGANIZATIONS OF

THE TREADWAY)

Es una iniciativa conjunta para combatir el fraude corporativo. Fue establecida en

los Estados Unidos por cinco organizaciones del sector privado, dedicada a guiar a
la administración ejecutiva y las entidades de gobierno en aspectos relevantes del
gobierno organizativo, la ética empresarial, el control interno, la gestión del riesgo
empresarial (ERM), el fraude y la información financiera. COSO ha establecido un
modelo de control interno común contra el cual las empresas y organizaciones
pueden evaluar sus sistemas de control. American Accounting Association (AAA) –
Asociación de Contadores Públicos.

HISTORIA

El C.O.S.O. se formó en 1985 en Estados Unidos, como patrocinador de la

“National Commission on Fraudulent Financial Reporting”, las instituciones
participantes en la elaboración del informe de Control Interno Corporativo,
denominado C.O.S.O., son:
 Norteamericanos. American Institute of Certified Public Accountants (AICPA)
–Instituto Norteamericano de Contadores Públicos Certificados (Contadores
CPA que forman parte de empresas de contabilidad que hacen auditorías
externas de estados financieros).
 Financial Executive Institute (FEI) – Asociación Internacional de Ejecutivos
de Finanzas.
 Institute of Internal Auditors (IIA) – Instituto de Auditores Internos (Auditores
encargados de la evaluación de los sistemas de control interno en el interior
de las organizaciones).
 Institute of Management Accountants (IMA) – Instituto de Contadores
Empresariales (Contadores que trabajan en empresas).

El Comité de organizaciones patrocinadoras de la Comisión Treadway (COSO, por

sus siglas en inglés) presentó en 1992 la primera versión del Marco integrado de
Control Interno, que ha sido aceptado alrededor del mundo y se ha convertido en
un marco líder en diseño, implementación y conducción de control interno y
evaluación de su efectividad.

3
El Comité tenía como principal objetivo definir un nuevo marco conceptual capaz
de integrar las diversas definiciones y conceptos utilizados en el campo del control
interno.

Teniendo en cuenta los grandes cambios que han tenido la industria y los avances
tecnológicos, el Comité lanzó en mayo de 2013 una versión actualizada que
permitirá que las empresas desarrollen y mantengan efectiva y eficientemente
sistemas de control interno que ayuden en el proceso de adaptación a los cambios,
cumplimiento de los objetivos de la empresa, mitigación de los riesgos a un nivel
aceptable, y apoyo a la toma de decisiones y al gobierno.

Este modelo presentado por COSO ha enfocado la atención hacia el mejoramiento

del control interno y del gobierno corporativo, y responde a la presión pública para
un mejor manejo de los recursos públicos o privados en cualquier tipo de
organización, como consecuencia de los numerosos escándalos, la crisis financiera
y los fraudes presentados.

Un sistema de control interno efectivo requiere la toma de decisiones y es diseñado

con el fin de proporcionar un grado de seguridad razonable en cuanto a la
consecución de los objetivos en relación con la eficacia y la eficiencia de las
operaciones, la confiabilidad de la información financiera, y el cumplimento de leyes
y normas aplicables.

El Marco Integrado de Control Interno abarca cada una de las áreas de la empresa,
y engloba cinco componentes relacionados entre sí: el entorno de control, la
evaluación del riesgo, el sistema de información y comunicación, las actividades de
control, y la supervisión del sistema de control.

De la misma manera, el marco apoya la administración, la dirección, los accionistas

y demás partes que interactúan con la entidad, ofreciendo un entendimiento de lo
que constituye un sistema de control interno efectivo.

Un sistema de control interno debe verse como un proceso integrado y dinámico y

se caracteriza por las siguientes propiedades:

 Permite aplicar el control interno a cualquier tipo de entidad y de acuerdo

con sus necesidades.
 Presenta un enfoque basado en principios que proporcionan flexibilidad y se
pueden aplicar a nivel de entidad, a nivel operativo y a nivel funcional.
 Establece los requisitos para un sistema de control interno efectivo,
considerando los componentes y principios existentes, cómo funcionan y
cómo interactúan.
 Proporciona un método para identificar y analizar los riesgos, así como para
desarrollar y gestionar respuestas adecuadas a dichos riesgos dentro de

4
 unos niveles aceptables y con un mayor enfoque sobre las medidas
antifraude.
 Constituye una oportunidad para ampliar el alcance de control interno más
allá de la información financiera, a otras formas de presentación de la
información, operaciones y objetivos de cumplimiento.
 Es una oportunidad para eliminar controles ineficientes, redundantes o
inefectivos que proporcionan un valor mínimo en la reducción de riesgos
para la consecución de los objetivos de la entidad.
 Brinda una mayor confianza en la supervisión efectuada por el consejo sobre
los sistemas de control interno.
 Ofrece mayor confianza con respecto al cumplimiento de los objetivos de la
entidad.
 Genera mayor confianza en la capacidad de la entidad para identificar,
analizar y responder a los riesgos y a los cambios que se produzcan en el
entorno operativo y de negocios.
 Permite lograr una mayor comprensión de la necesidad de un sistema de
control interno efectivo.
 Facilita el entendimiento de que mediante la aplicación de un criterio
profesional oportuno la dirección puede eliminar controles no efectivos,
redundantes o ineficientes.

En septiembre de 1992, el Comité COSO emitió en los Estados Unidos el informe:

Internal Control - Integrated Framework (Marco Integrado de Control Interno, COSO
I), orientado a establecer una definición común de control interno y proveer una
guía para la creación y el mejoramiento de la estructura de control interno de las
entidades.

Este Marco fue publicado para las empresas de los Estados Unidos. Sin embargo,
ha sido utilizado y aceptado a nivel mundial.
Fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento
continuo de sus sistemas de control interno. Además, ha sido incluido en las
políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de
control hacia el logro de sus objetivos.

Es el caso de la Ley Sarbanes Oxley, según la cual las empresas que cotizan en
bolsa tienen que cumplir con una sección de control interno (sección 404), que
solicita la implementación y evaluación de un sistema de control interno en las
organizaciones.

En septiembre de 2004, el Comité COSO publicó el Enterprise Risk Management -

Integrated Framework y sus aplicaciones técnicas asociadas (COSO - ERM, o
COSO II), en el cual se amplía el concepto de control interno, y se proporciona un

5
enfoque más completo y extenso sobre la identificación, evaluación y gestión
integral del riesgo.

Este nuevo enfoque no sustituye COSO, sino que lo incorpora como parte de él, y
permite a las compañías mejorar sus prácticas de control interno decidir
encaminarse hacia un proceso más completo de gestión de riesgo.

Adicionalmente, dado que COSO - ERM se encuentra completamente alineado con

el COSO, las mejoras en la gestión de riesgo permiten optimizar un trabajo eficaz
en control interno bajo las disposiciones de la Ley Sarbanes - Oxley.

En mayo de 2013 el Comité COSO publicó la actualización del Marco Integrado de

Control Interno (COSO III), cuyos objetivos son: aclarar los requerimientos del
control interno; actualizar el contexto de la aplicación del control interno a muchos
cambios en las empresas y ambientes operativos; y ampliar su aplicación al
expandir los objetivos operativos y de emisión de informes. Este nuevo Marco
Integrado permite una mayor cobertura de los riesgos a los que se enfrentan
actualmente las organizaciones.

OBJETIVO DEL INFORME COSO

El Informe COSO tiene 2 objetivos fundamentales: encontrar una definición clara

del Control Interno, que pueda ser utilizada por todos los interesados en el tema, y
proponer un modelo ideal o de referencia del Control Interno para que las empresas
y las demás organizaciones puedan evaluar la calidad de sus propios sistemas de
Control Interno.

El Informe COSO define el Control Interno como un proceso que garantice, con una
seguridad razonable (y por lo tanto no absoluta), que se alcanzan los 3 objetivos
siguientes:
 Eficacia y eficiencia de las operaciones
 Fiabilidad de la información financiera
 Cumplimiento de las leyes y normas que sean aplicables.

Desde nuestro punto de vista, basado en nuestra propia experiencia, nos parece
conveniente a la hora de realizar una auditoría, descomponer los 3 objetivos
anteriores en los siguientes:
 Eficacia de las operaciones
 Eficiencia de las operaciones
 Fiabilidad de la información financiera
 Fiabilidad de la información operativa y de gestión
 Salvaguardia de los activos

6
  Cumplimiento de las leyes y normas aplicables, tanto internas como externas
a la empresa.

El primero de los 3 objetivos anteriores se refiere a los objetivos del negocio,

entendidos en términos de rentabilidad y rendimiento de las operaciones de la
empresa u organización.

El segundo objetivo pretende garantizar que la empresa disponga de información

financiera cierta, fiable y, muy importante, que esta información se obtenga
tempestivamente, eso es, cuando sea necesaria y útil. En este sentido, la fiabilidad
de la información no es solo una garantía frente a tercero, sino una exigencia de la
dirección, ya que, sin esta información, no sería posible tomar decisiones
empresariales acertadas.

El tercer objetivo se refiere al cumplimiento de todas aquellas normas o reglas a las

que se encuentre sujeta la empresa.

El Control Interno favorece entonces que una empresa consiga sus objetivos de
rentabilidad, rendimiento y minimice las pérdidas de recursos; favorece que la
empresa disponga de información fiable y a tiempo; y por último favorece que la
empresa cumpla con la ley y otras normas que le son de aplicación.

CONTROL INTERNO

El sistema de control interno está divido en cinco componentes integrados que se

relacionan con los objetivos de la empresa: entorno de control, evaluación de los
riesgos, actividades de control, sistemas de información y comunicación, y
actividades de monitoreo y supervisión. Un adecuado entorno de control, una
metodología de evaluación de riesgos, un sistema de elaboración y difusión de
información oportuna y fiable por de la organización y un proceso de monitoreo
eficiente, apoyados en actividades de control efectivas, se constituyen en poderosas
herramientas gerenciales.

Existe una relación directa entre los objetivos de la entidad, los componentes y la
estructura organizacional que es representada en forma de cubo de la siguiente
manera:

7
 Figura 1 COSO 1992

Figura 2 COSO 2013

Los cinco componentes deben funcionar de manera integrada para reducir a un nivel
aceptable el riesgo de no alcanzar un objetivo.

8
Los componentes son interdependientes, existe una gran cantidad de
interrelaciones y vínculos entre ellos. Así mismo, dentro de cada componente el
marco establece 17 principios que representan los conceptos fundamentales y son
aplicables a los objetivos operativos, de información y de cumplimiento.
Los principios permiten evaluar la efectividad del sistema de control interno.

ENTORNO DE CONTROL

Es el ambiente donde se desarrollan todas las actividades organizacionales bajo la

gestión de la administración.

El entorno de control es influenciado por factores tanto internos como externos, tales
como la historia de la entidad, los valores, el mercado, y el ambiente competitivo y
regulatorio.

Comprende las normas, procesos y estructuras que constituyen la base para

desarrollar el control interno de la organización.

Este componente crea la disciplina que apoya la evaluación del riesgo para el
cumplimiento de los objetivos de la entidad, el rendimiento de las actividades de
control, uso de la información y sistemas de comunicación, y conducción de
actividades de supervisión.
Para lograr un entorno de control apropiado deben tenerse en cuenta aspectos
como la estructura organizacional, la división del trabajo y asignación de
responsabilidades, el estilo de gerencia y el compromiso.

Un entorno de control ineficaz puede tener consecuencias graves, tales como

pérdida financiera, pérdida de imagen o un fracaso empresarial.
Por esta razón, este componente tiene una influencia muy relevante en los demás
componentes del sistema de control interno, y se convierte en el cimiento de los
demás proporcionando disciplina y estructura.

Una organización que establece y mantiene un adecuado entorno de control es más

fuerte a la hora de afrontar riesgos y lograr sus objetivos.
Esto se puede obtener si se cuenta con:

 Actitudes congruentes con su integridad y valores éticos.

 Procesos y conductas adecuados para la evaluación de conductas.
 Asignación adecuada de responsabilidades.
 Un elevado grado de competencia y un fuerte sentido de la responsabilidad
para la consecución de los objetivos.

9
Por esta razón, el entorno de control está compuesto por el comportamiento que se
mantiene dentro de la organización, e incluye aspectos como:

 La integridad y los valores éticos de los recursos humanos,

 La competencia profesional,
 La delegación de responsabilidades,
 El compromiso con la excelencia y la transparencia,
 La atmosfera de confianza mutua,
 La filosofía y estilo de dirección,
 La estructura y plan organizacional,
 Los reglamentos y manuales de procedimientos,
 Las políticas en materia de recursos humanos y
 El Comité de Control.

EVALUACIÓN DE RIESGOS

Este componente identifica los posibles riesgos asociados con el logro de los
objetivos de la organización. Toda organización debe hacer frente a una serie de
riesgos de origen tanto interno como externo, que deben ser evaluados.

Estos riesgos afectan a las entidades en diferentes sentidos, como en su habilidad

para competir con éxito, mantener una posición financiera fuerte y una imagen
pública positiva. Por ende, se entiende por riesgo cualquier causa probable de que
no se cumplan los objetivos de la organización

De esta manera, la organización debe prever, conocer y abordar los riesgos con los
que se enfrenta, para establecer mecanismos que los identifiquen, analicen y
disminuyan.
Este es un proceso dinámico e iterativo que constituye la base para determinar
cómo se gestionaran los riesgos.

ACTIVIDADES DE CONTROL

En el diseño organizacional deben establecerse las políticas y procedimientos que

ayuden a que las normas de la organización se ejecuten con una seguridad
razonable para enfrentar de forma eficaz los riesgos.

Las actividades de control se definen como las acciones establecidas a través de

las políticas y procedimientos que contribuyen a garantizar que se lleven a cabo las
instrucciones de la dirección para mitigar los riesgos con impacto potencial en los
objetivos.

10
Las actividades de control se ejecutan en todos los niveles de la entidad, en las
diferentes etapas de los procesos de negocio y en el entorno tecnológico, y sirven
como mecanismos para asegurar el cumplimiento de los objetivos

Según su naturaleza pueden ser preventivas o de detección y pueden abarcar una

amplia gama de actividades manuales y automatizadas.

Las actividades de control conforman una parte fundamental de los elementos de

control interno. Estas actividades están orientadas a minimizar los riesgos que
dificultan la realización de los objetivos generales de la organización.

Cada control que se realice debe estar de acuerdo con el riesgo que previene,
teniendo en cuenta que demasiados controles son tan peligrosos como lo es tomar
riesgos excesivos. Estos controles permiten:

 Prevenir la ocurrencia de riesgos innecesarios.

 Minimizar el impacto de las consecuencias de los mismos.
 Restablecer el sistema en el menor tiempo posible.
En todos los niveles de la organización existen responsabilidades en las actividades
de control, debido a esto es necesario que todo el personal dentro de la organización
conozca cuáles son las tareas de control que debe ejecutar. Para esto se debe
explicitar cuáles son las funciones de control que l e corresponden a cada individuo.

INFORMACIÓN Y COMUNICACIÓN

El personal debe no solo captar una información sino también intercambiarla para
desarrollar, gestionar y controlar sus operaciones. Por lo tanto, este componente
hace referencia a la forma en que las áreas operativas, administrativas y financieras
de la organización identifican, capturan e intercambian información.

La información es necesaria para que la entidad lleve a cabo las responsabilidades

de control interno que apoyan el cumplimiento de los objetivos. La gestión de la
empresa y el progreso hacia los objetivos establecidos implican que la información
es necesaria en todos los niveles de la empresa.

En este sentido, la información financiera no se utiliza solo para los estados

financieros, sino también en la toma de decisiones. Por ejemplo, toda la información
presentada a la Dirección con relación a medidas monetarias facilita el seguimiento
de la rentabilidad de los productos, la evolución de deudores, las cuotas en el
mercado, las tendencias en reclamaciones, etc.

La información está compuesta por los datos que se combinan y sintetizan con base
en la relevancia para los requerimientos de información.

11
Es importante que la dirección disponga de datos fiables a la hora de efectuar la
planificación, preparar presupuestos, y demás actividades.

Es por esto por lo que la información debe ser de calidad y tener en cuenta los
siguientes aspectos:

 Contenido: ¿presenta toda la información necesaria?

 Oportunidad: ¿se facilita en el tiempo adecuado?
 Actualidad: ¿está disponible la información más reciente?
 Exactitud: ¿los datos son correctos y fiables?
 Accesibilidad: ¿la información puede ser obtenida fácilmente por las
personas adecuadas?

La comunicación es el proceso continuo e iterativo de proporcionar, compartir y

obtener la información necesaria, relevante y de calidad, tanto interna como
externamente.

La comunicación interna es el medio por el cual la información se difunde a través

de toda la organización, que fluye en sentido ascendente, descendente y a todos
los niveles de la entidad.

Esto hace posible que el personal pueda recibir de la Alta Dirección un mensaje
claro de las responsabilidades de control. La comunicación externa tiene dos
finalidades: comunicar de afuera hacia el interior de la organización información
externa relevante, y proporcionar información interna relevante de adentro hacia
afuera, en respuesta a las necesidades y expectativas de grupos de interés
externos.
Para esto se tiene en cuenta:

 Integración de la información con las operaciones y calidad de la información,

analizando si ésta es apropiada, oportuna, fiable y accesible.
 Comunicación de la información institucional eficaz y multidireccional.
 Disposición de la información útil para la toma de decisiones.
 Los canales de información deben presentar un grado de apertura y eficacia
acorde con las necesidades de información internas y externas.

La comunicación puede ser materializada en manuales de políticas, memorias,

avisos o mensajes de video.

Cuando se hace verbalmente la entonación y el lenguaje corporal le dan un énfasis

al mensaje. La actuación de la Dirección debe ser ejemplo para el personal de la
entidad.
Un sistema de información comprende un conjunto de actividades, e involucra
personal, procesos, datos y/o tecnología, que permite que la organización obtenga,

12
genere, use y comunique transacciones de información para mantener la
responsabilidad y medir y revisar el desempeño o progreso de la entidad hacia el
cumplimiento de los objetivos.

SUPERVISIÓN DEL SISTEMA DE CONTROL

Monitoreo Todo el proceso ha de ser monitoreado con el fin de incorporar el

concepto de mejoramiento continuo; así mismo, el Sistema de Control Interno debe
ser flexible para reaccionar ágilmente y adaptarse a las circunstancias.

Las actividades de monitoreo y supervisión deben evaluar si los componentes y

principios están presentes y funcionando en la entidad.

Es importante determinar, supervisar y medir la calidad del desempeño de la

estructura de control interno, teniendo en cuenta:

 Las actividades de monitoreo durante el curso ordinario de las operaciones

de la entidad. Evaluaciones separadas.
 Condiciones reportables.
 Papel asumido por cada miembro de la organización en los niveles de control.

Es importante establecer procedimientos que aseguren que cualquier deficiencia

detectada que pueda afectar al Sistema de Control Interno sea informada
oportunamente para tomar las decisiones pertinentes. Los sistemas de control
interno cambian constantemente, debido a que los procedimientos que eran
eficaces en un momento dado pueden perder su eficacia por diferentes motivos,
como la incorporación de nuevos empleados, restricciones de recursos, entre otros.

INFORMES BASADOS EN COSO

Comunicar las evaluaciones de auditoría a la conducción utilizando un formulario de
evaluación de control basado en el COSO desarrollado. Este formulario brinda a la
conducción un panorama de cómo el área auditada se “defiende” contra los
requerimientos de control del COSO. Se muestran las clasificaciones para cada
componente de control, así como una clasificación global lo que determina si existe
seguridad razonable de que se lograrán los objetivos de la conducción. Asimismo,
se registran los fundamentos para cualquier clasificación insatisfactoria.

El formulario de evaluación del control se completa con anterioridad a la reunión

que da por finalizada la auditoría y se revisa con otros auditores y con la conducción
de la auditoría. Estas revisiones internas determinan si existe base suficiente para
la clasificación asignada.

13
Es conveniente que los auditores analicen las clasificaciones con el auditado ya sea
en forma directa, utilizando el formulario de evaluación o bien en forma indirecta
durante la revisión y el análisis de los hallazgos de la auditoría.

El formulario de evaluación del control se termina a medida que se prepara el

informe de la auditoría y se envía un formulario al titular de auditoría al finalizar cada
proyecto. Las clasificaciones de control se sintetizan a nivel grupal y a nivel de
segmentos de la entidad, formando una base para el informe sobre el estado de los
controles internos que se remite a la conducción superior.

Se rastrea la información a fin de determinar tendencias de control desfavorables,

así como áreas de riesgos de auditoría para tratar en la planificación de proyectos
de auditoría futuros.

BENEFICIOS DE LA IMPLEMENTACIÓN DE COSO

Define las normas de conducta y actuación, funcionando como conductor del
establecimiento del Sistema de Control Interno.

Ayuda a reducir sorpresas aportando confianza en el cumplimiento de los objetivos,

provee feedback del funcionamiento del negocio. Establece las formas de actuación
en todos los niveles de la organización, través de la fijación de objetivos claros y
medibles, y de actividades de control.

Otorga una seguridad razonable sobre la adecuada administración de los riesgos

del negocio.

Y el establecimiento de mecanismos de monitoreo formales para la resolución de

desviaciones al funcionamiento del sistema de control interno.

En temas de Ambiente de Control, el definir e implementar el Código de Ética,

apoyados de un Buzón de Denuncia ayuda a identificar los esquemas de fraude que
se materializan en la empresa.

Mejora de los procesos de la Compañía a través del establecimiento de controles,

a nivel de automatización, alineación con los riesgos del negocio, y con el
cumplimiento de objetivos.

14
Cambios en la Función de Auditoría Interna alineada a los riesgos de negocio
críticos, asegurando el cumplimiento y apego de políticas, así como las actividades
de control claves definidos en cada componente.

Permite a la dirección de la empresa poseer una visión global del riesgo y accionar
los planes para su correcta gestión.

Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los

controles implantados, lo que permite su adecuada gestión. toma de decisiones
más segura, facilitando la asignación del capital.

Alinea los objetivos del grupo con los objetivos de las diferentes unidades de
negocio, así como los riesgos asumidos y los controles puestos en acción.

Permite dar soporte a las actividades de planificación estratégica y control interno.

Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas

prácticas de gobierno corporativo.

Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.

15
PREGUNTAS:

Mencione dos beneficios de la utilización COSO en una organización.

Permite a la dirección de la empresa poseer una visión global del riesgo y

accionar los planes para su correcta gestión.

Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los

controles implantados, lo que permite su adecuada gestión. toma de decisiones
más segura, facilitando la asignación del capital.

Porque es importante desarrollar un adecuado control interno.

Porque nos permitirá optimizar la utilización de recursos con calidad para alcanzar
una adecuada gestión financiera y administrativa, logrando mejores niveles de
productividad. Además, contar con un sistema de control actualizado en las
áreas básicas de la empresa, permitirá alimentar el sistema de información y
ayudar a la adecuada toma de decisiones, así como facilitar que las auditorias
tanto de gestión como financieras sean efectivas.

16
BIBLIOGRAFÍA

COSO Marco de referencia para la implementación, gestión y control de un

adecuado Sistema de Control Interno
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO
Sesion1.pdf

https://controlinternohoy.blogspot.com/2010/10/el-informe-coso.html

Controls for Sarbanes Oxley––ISACA

http://www.isaca.org/

https://www.aec.es/web/guest/centro-conocimiento/coso

https://www.academia.edu/36813833/COSO_I_II_y_III

17