T5 Evaluación de Ci Según Coso I Ii Iii

Universidad de San Carlos de Guatemala
Facultad de Ciencias Económicas

Escuela de Auditoría
Seminario de Integración Profesional
Jornada Fin de Semana
FASE I
TRABAJO No. 5 – EVALUACIÓN DE CONTROL INTERNO SEGÚN
CRITERIOS COSO I, II y III
GRUPO No. 3
Salón 105, Edificio S-6
No. Carné Nombre

1 95-11379 Claudia Amarilis Soc Guit
2 2000-19103 Douglas Yoalmo Paredes Alvarez
3 2008-13040 Claudia Elizabeth Chicaj López
4 2009-12520 Mirsa Iliana García Ordoñez
5 2009-12759 Wilson Estuardo Chicaj López
6 2009-12765 Roni Osmani Díaz Macario
7 2009-13114 Luis Rolando Pineda Tobar
8 2009-13314 Johanna Isabel Castañón Calí
9 2009-14024 Suly Azucena Crisóstomo Flores
10 2009-14049 Doris Fabiola Zamora Acuña
11 2009-14058 Carlos Fernando López Chan
12 2009-14077 Lorena Vásquez López
13 2009-14142 Rocio Anabel Navas Segura
14 2009-21514 Rolando David Hernández Quevedo
Guatemala, enero 2014

ÍNDICE
INTRODUCCIÓN ......... i
CAPÍTULO I
EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIO COSO I
1.1. Antecedentes 1
1.2. Definición 2
1.3. Objetivos y clasificación de los objetivos 3
1.3.1. Objetivos estratégicos 4
1.3.2. Objetivos de las operaciones 4
1.3.3. Objetivos relacionados con la información financiera 5
1.3.4. Objetivos de cumplimiento 6
1.4. Principios básicos 7
1.4.1. División del trabajo 7
1.4.2. Fijación de responsabilidad 7
1.4.3. Cargo y descargo 8
1.5. Estructura y Elementos 9
1.5.1. El entorno de control 9
1.5.2. La evaluación de los riesgos 9
1.5.3. Actividades de control 10
1.5.4. Información y comunicación 10
1.5.5. Supervisión 11
1.6. COSO I versus marco actualizado COSO 12
CAPÍTULO II
EVALUACIÓN DEL CONTROL INTERNO SEGÚN EL CRITERIO COSO II
2.1. Definición de COSO II 16

2.2. Nacimiento COSO II 16
2.3. Objetivo del COSO II 17
2.4. Fin de implementación del COSO II 17
2.5. Factores que generan incertidumbre a las entidades 18
2.6. Estructura de COSO II 19
2.6.1. Ambiente Interno 20
2.6.2. Establecimiento de objetivos 20
2.6.3. Identificación de eventos 20
2.6.4. Evaluación de riesgos 21
2.6.5. Respuesta al riesgo 21
2.6.6. Actividades de Control 22
2.6.7. Información y Comunicación 22
2.6.8. Monitoreo 22
CAPÍTULO III
EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIO COSO III
3.1. Definición 23
3.2. Control amplio y directo desde el nivel más alto 24
3.3. Segregación de funciones limitadas 24
3.4. Tecnología de la información 25
3.5. Lograr eficiencia 25
3.6. Enfoque de riesgos 26
3.7. Racionalizar la Documentación 27
3.8. Proceso de control interno integrado 28
3.9. Aplicando principios para lograr un control interno eficaz
sobre el reporte de la información financiera 29
3.9.1. Ambiente de control 30
3.9.2. Evaluación de riesgos 30
3.9.3. Actividades de control 31
3.9.4. Información y comunicación 31
3.9.5. Monitoreo 32
CAPÍTULO IV
APLICACIÓN DEL SISTEMA DE CONTROL INTERNO
4.1. Aplicación del sistema de control interno 34
CONCLUSIONES 39
RECOMENDACIONES 40
REFERENCIA BIBLIOGRÁFICA 41
ANEXO 43
ÍNDICE DE TABLAS
Tabla No. Pág.

1 Estructura COSO II 20
2 Evaluación del control interno 37
ÍNDICE DE FIGURAS
Figura No. Pág.

1 El marco de COSO 3
2 Componentes del control interno 9
3 Estructura informe COSO I 12
4 Estructura COSO I 12
5 Proceso de actualización de COSO 14
6 Estructura COSO III 30
INTRODUCCIÓN
Como parte del Seminario de Integración Profesional del undécimo semestre de

la licenciatura en Contaduría Pública y Auditoría de la Facultad de Ciencias
Económicas de la Universidad de San Carlos de Guatemala, el cual es una
práctica académica que pretende preparar al estudiante para someterse al
proceso de exámenes privados de las áreas básicas y especular sobre su tesis
de grado; se tiene a bien realizar el presente informe cuyo enfoque versa sobre
la evaluación del control interno según informes COSO I, II y III.
Esa evaluación es adoptada por numerosas organizaciones para contrarrestar los

riesgos existentes en cada una de ellas; y según sea el tipo de riesgo así será la
adopción y elección de cada control.
Durante el desarrollo del informe se procura demostrar que el modelo de control

interno COSO, es un instrumento eficaz en la evaluación del control interno de las
organizaciones, así como reconocer que tal modelo no es solo de ayuda para los
auditores, sino que también para el gobierno corporativo de las mismas; con el fin
de identificar los diferentes riesgos y la mejor práctica para disminuirlos o
eliminarlos.
El trabajo de investigación se divide en cuatro capítulos que abarcan lo que se

refiere a conceptos de control interno y de COSO; por otra parte también explica
detalladamente los componentes del control interno en donde se incluye: el
ambiente de control, la evaluación de riesgos, las actividades, de control, la
información y comunicación así como el monitoreo.
ii
De igual forma se incluye un caso práctico donde se evalúa e implementa el

sistema de control interno COSO en el área de sistemas de una empresa
mediana.
El principal objetivo de esta investigación es cubrir los aspectos de mayor

relevancia respecto a los modelos COSO I, II y III, así como su aplicación en los
sistemas de control interno de las empresas.
1
Grupo No. 3
Evaluación del Control Interno según criterios COSO I, II y III
CAPÍTULO I
EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIO COSO I
1.1. Antecedentes
Desde su publicación en 1992, el marco COSO I ha sido reconocido a nivel
internacional como una mejor práctica en materia de control interno, sirviendo de
base para el diseño, implementación y evaluación de los sistemas de control
interno de distintos tipos de organizaciones.
Dicho informe fue publicado por el “Comité of Sponsoring Organizations of the

Treadway Commission” (COSO), el cual está formado por representantes de cinco
organismos profesionales diferentes:
 AAA (Asociación Americana de Contabilidad).
 AICPA (Instituto Americano de Contables Públicos Autorizados).
 FEI (Instituto de Ejecutivos Financieros).
 IIA (Instituto de Auditores Internos).
 IMA (Instituto de Contables de Gestión).
En los últimos veinte años, los cambios sufridos por los modelos de negocio y el
mercado, así como la globalización de la economía, han aumentado la
complejidad de las operaciones y en consecuencia, sus riesgos asociados y el
control de los mismos. En este contexto de cambio, COSO I tomó la
determinación de actualizar el Marco original a finales de 2010, con el objetivo de
clarificar conceptos, adaptándolos a las nuevas características del mercado y
facilitando su aplicación en los diferentes tipos de organizaciones.
En consecuencia, el Marco actualizado incluye modificaciones que pretenden

facilitar la comprensión del proceso de implantación y mantenimiento de un
sistema de control.

2
Grupo No. 3
En este sentido, el marco actualizado está compuesto por tres volúmenes:

a. Resumen ejecutivo dirigido a directores, ejecutivos y reguladores.
b. Marco integrado de Control interno actualizado.
c. Herramientas de evaluación a usar en la revisión de la eficacia del sistema
de control interno.
De manera adicional, el marco actualizado incluye el “Internal Control over

External Financial Reporting: A Compendium of Approaches and Examples”
(ICEFR), que consiste en una guía con ejemplos prácticos sobre el control interno
del reporting financiero externo.
1.2. Definición
El informe COSO I es un documento que contiene las principales directivas para
la implantación, gestión y control de un sistema de control. Debido a la gran
aceptación de la que ha gozado, desde su publicación en 1992, el Informe COSO
I se ha convertido en el estándar de referencia.
Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva,

gerencia u otro personal. No es sólo normas, procedimientos y formas involucra
gente
Aplicado en la definición de la estrategia y aplicado a través de la organización en

cada nivel y unidad diseñada para identificar los eventos que potencialmente
puedan afectar a la entidad y para administrar los riesgos, proveer seguridad
razonable para la administración y para la junta directiva de la organización
orientada al logro de los objetivos del negocio.

3
Grupo No. 3
Figura No. 1
El marco de COSO
1.3. Objetivos y clasificación de los objetivos

 Acordar una definición de control interno que sea aceptada como un marco
común que satisfaga las necesidades de todos los sectores.
 Aportar una estructura de control interno que facilite la evaluación de cualquier
sistema en cualquier organización.
 El “Informe COSO I” constituye un gran avance al acordar una definición
respecto al concepto de control interno. El informe COSO I logra definir un
marco conceptual común y se constituye en una visión integradora del control
interno.
 El marco de COSO I contribuye a la identificación y coordinación de todos los
aspectos que deben estar presentes para una efectiva gestión del riesgo.

4
Grupo No. 3
1.3.1. Objetivos estratégicos

Estos definen los Objetivos Financieros requeridos para alcanzar la Visión y
Misión y estos serán los encargados de proyectar los mecanismos hacia los
diferentes fines que persigue una entidad.
Los Procesos Internos se planifican para lograr los objetivos financieros.

Posteriormente, todo reposa en el Aprendizaje y Crecimiento de la organización.
Todos estos elementos, garantizan que determinada Función, esté apoyando a la

obtención de los Objetivos de la Organización a la cual pertenece, y a su vez,
garantice que determinada gestión cumpla con lo que definió.
Es bueno aclarar que no se pretenden realizar los pasos de la Implantación, si no,

cómo adaptar esta metodología a las necesidad de los Servicios Técnicos de las
Instalaciones Turísticas.
1.3.2. Objetivos de las operaciones

Se refieren a la utilización eficaz y eficiente de los recursos en las operaciones de
la entidad. Son la razón de ser de las empresas y van dirigidos a la consecución
del objeto social. Constituyendo de este modo la parte más importante de todo el
proceso de construcción de las estrategias y de la asignación de los recursos
disponibles. Por ello es de suma importancia que los objetivos sean coherentes y
realistas. Constituyen elementos de gestión y no de control interno, a pesar de ser
una base previa para el mismo. Este grupo de objetivos es peculiar para cada
entidad, no así los dos restantes que, con algunos cambios, son aplicables a todas
las entidades.
La consecución de los objetivos operacionales no siempre está bajo el control de

la entidad. El control interno no es capaz de prevenir algunos sucesos externos

5
Grupo No. 3
que pueden evitar el alcance de metas operativas, pero puede aportar un nivel
razonable de seguridad de que la administración esté informada en el momento
preciso del nivel de avance en la consecución de dichos objetivos.
1.3.3. Objetivos relacionados con la información financiera

Estos se enmarcan en la preparación y publicación de estados financieros
confiables, cuyo factor es de suma importancia en las relaciones con el exterior,
además de ser un importante elemento de la gestión interna, es por ello que una
información financiera confiable es un objetivo importante a cumplir.
Para que los estados financieros sean confiables deben seguir los siguientes
requisitos:
 Tener principios contables aceptados y apropiados a las circunstancias.
 Poseer información financiera suficiente y apropiada, resumida y clasificada
en forma adecuada.
 Presentar los hechos económicos de forma tal que los estados financieros
reflejen adecuadamente la situación financiera, los resultados de las
operaciones y los flujos de orígenes y aplicaciones de recursos en forma
apropiada y razonable.
Las afirmaciones que subyacen detrás de los estados financieros son:

 Existencia: Los activos y pasivos existen a la fecha del balance y las
transacciones contabilizadas han ocurrido realmente durante un período
determinado.
 Totalidad: Todas las transacciones y acontecimientos ocurridos durante un
período determinado han sido efectivamente reflejadas en los registros
contables.
 Derechos y obligaciones: Los activos son los derechos y los pasivos las
obligaciones de la entidad.

6
Grupo No. 3
 Valoración: El importe de los activos y pasivos y el de los ingresos ha sido

determinado con criterios adecuados de conformidad con principios contables
generalmente aceptados.
 Presentación: La información financiera presentada en los estados financieros
debe ser suficiente, adecuada y estar correctamente clasificada.
1.3.4. Objetivos de cumplimiento

Se refieren al cumplimiento por parte de la entidad de las leyes y los reglamentos.
Toda entidad debe desarrollar su actividad dentro del marco de la legalidad y los
reglamentos que regulan los aspectos de las relaciones sociales, como son:
normativa mercantil, civil, laboral, financiera, medio ambiente, seguridad, entre
otros. El no cumplimiento de los mismos puede ocasionar problemas y puede
afectar su prestigio. Cada entidad debe establecer sus propios objetivos de
cumplimiento dentro de los cuales moverse.
Luego de conocer los objetivos de control interno podemos decir que un objetivo
puede pertenecer a más de una categoría. En todo caso debe existir una
estructuración coherente de objetivos, clasificando los mismos por su importancia
y reconociendo las interconexiones y derivaciones de los mismos.
Un grupo de objetivos de especial interés es el referido a “la salvaguarda de los

activos”, que se incluye dentro de los objetivos de tipo operativo, dentro de los
cuales está presente la utilización eficiente de los recursos evitando ineficacias,
pérdidas o malversaciones. Ellos pueden relacionarse con objetivos de
cumplimiento o con objetivos relativos a la información financiera. El control
interno debe conseguir que exista un nivel apropiado de información sobre la
consecución de los objetivos operativos.

7
Grupo No. 3
1.4. Principios básicos

Deben ser tareas priorizadas de cada dirigente y trabajador, la implantación de las
medidas de control interno, así como la realización sistemática de los controles y
de la aplicación de divisiones para erradicar las deficiencias con el objetivo de
lograr un incremento de la eficiencia económica y la calidad y el resultado positivo
de las actividades realizadas por cada entidad. Para lograr establecer un eficaz
sistema de control interno, se deberá tomar en cuenta previamente la organización
de la entidad sobre la base de determinados principios, entre ellos los
fundamentales son:
1.4.1. División del trabajo

En ningún caso una sola persona tendrá el control íntegro de una operación, para
procesar cada tipo de transacción el control interno debe pasar por cuatro etapas
separadas:
 Autorizada
 Aprobada
 Ejecutada
 Registrada
De modo tal que garantice que los responsabilizados con la custodia de los
medios y la elaboración de los documentos primarios no tengan autoridad para
aprobar los mismos y que ambos no tengan la función o posibilidad de efectuar
anotaciones en los registros contables de esta forma el trabajo de una persona es
verificado por otra que trabaja independiente y que al mismo tiempo verifica la
operación realizada posibilitando la detección de errores.
1.4.2. Fijación de responsabilidad

Garantizar que los procedimientos inherentes al control de las operaciones
económicas, así como la elaboración y aprobación de los documentos pertinentes,

8
Grupo No. 3
permitan determinar en todos los casos, la responsabilidad primaria sobre todas

las anotaciones y operaciones llevadas a cabo.
Se deben proveer las funciones de cada área, así como las consecuentes
responsabilidades de cada uno de los integrantes de la misma, teniendo en cuenta
que la autoridad es delegable, no siendo así la responsabilidad.
1.4.3. Cargo y descargo

Debe garantizarse que todo recurso o servicio recibido o entregado sea registrado,
o sea lograr que se contabilicen los cargos de todo lo que entra y descargos de
todo lo que sale, lo cual servirá de evidencia documental que precise quién lo
ejecutó, aprobó, registró y verificó.
Debe quedar bien claro en qué forma y momento una cuenta recibe los créditos y
los débitos, es por ello que toda anotación que no obedezca a las normas de una
cuenta se debe investigar en detalle.
La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o

análisis en forma sistemática, por personal independiente al que efectúa dichas
anotaciones, permitirá observar si las operaciones registradas se corresponden
con el contenido de cada cuenta.
Resulta conveniente además aplicar la práctica de rotar a los trabajadores en sus

distintos puestos de trabajos teniendo en cuenta sus conocimientos y nivel
ocupacional, lo que limita los riesgos de la comisión de fraudes viabilizando su
descubrimiento en caso de producirse éstos y tiene además la ventaja de
aumentar la eficiencia del trabajo al conseguir un entrenamiento más integral.

9
Grupo No. 3
Figura No. 2
Componentes del control interno
1.5. Estructura y Elementos

Los elementos que integran el control interno en base al informe COSO I son:
1.5.1. El entorno de control

Es la base en la que se apoyan los restantes componentes del Control interno. El
Entorno de Control se refiere a la que podríamos llamar "cultura" o "actitud"
generalizada de la empresa con respecto al control. Influye en la estrategia y en
los objetivos establecidos, estructurando las actividades del negocio,
identificando, evaluando e interpretando los riesgos. Hay que analizar elementos
como la integridad de las personas (a todos los niveles), los valores éticos, el estilo
o filosofía de gestión, etc.
1.5.2. La evaluación de los riesgos

Los riesgos se definen como todos aquellos elementos o circunstancias que
podrían impedir que la empresa alcanzara sus objetivos. Visto que la empresa
desarrolla su actividad en un entorno cada vez más competitivo, dinámico y

10
Grupo No. 3
cambiante, debe disponer de ciertos mecanismos que evalúen constantemente el

entorno circunstante y garanticen que la empresa se va adecuando a este.
La metodología de evaluación de riesgos de una organización normalmente

comprende una combinación de técnicas cualitativas y cuantitativas. En aquellos
casos donde los riesgos no son cuantificables, o cuando no se poseen datos
suficientes y creíbles para evaluaciones cuantitativas, a menudo se utilizan solo
técnicas de evaluación cualitativa, Sin embargo, no debemos olvidar que la
cuantificación nos brinda más precisión en la evaluación de riesgos. Al momento
de evaluar los acontecimientos no lo debemos de hacer individualmente, sino que
debemos tener en cuenta la correlación que pudiera existir dentro distintos
acontecimientos, y las secuencias de acontecimientos que se combinan e
interactúan para crear los impactos sobre la organización.
1.5.3. Actividades de control

Las actividades de control son todas aquellas medidas, de la más diversa
naturaleza, que sirven para asegurar que el negocio de la empresa, en todos sus
aspectos, está bajo control. Son los típicos controles que se revisan en el marco
de una auditoría externa: aprobación y autorización de las transacciones,
controles de acceso, etc.
1.5.4. Información y comunicación

La información es esencial para que la empresa pueda funcionar y para que la
dirección tome decisiones acertadas. Es importante no confundir aquí el objetivo
de fiabilidad de la información, con el este 4º elemento del Control interno. En este
contexto la información que maneja la empresa, y la correcta comunicación y flujo
de la misma, de manera rápida y tempestiva, desde y hacia todos los
departamentos y niveles de la empresa es esencial para el buen funcionamiento
de un sistema de Control interno.

11
Grupo No. 3
1.5.5. Supervisión
Como todo sistema, también el sistema de Control interno necesita de supervisión
para funcionar correctamente. En este sentido, la supervisión es un proceso que
comprueba que el sistema de Control interno funciona correctamente. Esta
supervisión la debe realizar la dirección de la empresa, pero está claro que es
aquí, en estas revisiones donde el trabajo de los auditores internos se hace más
importante.
Los elementos del Control interno interactúan entre sí, y forman un sistema. Este
sistema debe estar integrado (no solo simplemente superpuesto) a las actividades
operativas de la empresa. Cuanto más integrado esté el sistema de Control interno
con las actividades de la empresa, tanto mayores serán las posibilidades de éxito
del mismo.
Todos los miembros de la organización son responsables de la implantación y

correcto funcionamiento del sistema de Control interno.
La dirección de la empresa es el principal responsable del Control interno. Esto es

un concepto muy importante. No se debe pensar, como a veces se hace, que son
los auditores internos los responsables de implementar y velar por el correcto
funcionamiento del sistema del Control interno. La responsabilidad recae por el
contrario sobre la dirección de la empresa, a partir de los niveles más altos y luego,
en cascada, en todos los niveles directivos intermedios.
Por otro lado, los auditores internos desarrollan una importante función en lo que
se refiere a la evaluación del sistema de Control interno. Su posición jerárquica
(en dependencia de la más alta dirección) les garantiza la suficiente
independencia para llevar a cabo su labor de manera eficaz. Es por lo tanto en la
Supervisión donde los auditores internos desarrollan su papel más importante.

12
Grupo No. 3
Figura No. 3
Estructura informe COSO I
El informe COSO I plantea una estructura de control de la siguiente forma:
Figura No. 4
Estructura COSO I
1.6. COSO I versus marco actualizado COSO

13
Grupo No. 3
El marco actualizado de control interno ha nacido con el objetivo de adaptar el

marco existente al nuevo contexto en el que las organizaciones desarrollan su
actividad y a las características actuales de las compañías. El objetivo no es
cambiar los conceptos centrales ya desarrollados en el Marco original, sino
profundizar en los ya existentes y añadir algunos nuevos para facilitar la
evaluación de un Sistema de Control interno.
A través de la consideración de las condiciones actuales del mercado, de la

economía global y de la importancia de la tecnología en las organizaciones, el
Marco actualizado permite una mayor cobertura de los riesgos a los que se
enfrentan actualmente las organizaciones.
Se perfila, por tanto, como una base óptima para que el Sistema de Control interno
contribuya a la consecución de los objetivos de las compañías en el ámbito de las
operaciones, el reporting y el cumplimiento.
En este sentido, antes de implantar un sistema de control interno, la Dirección

deberá establecer los objetivos de Control interno, en línea con la estrategia y
objetivos de la organización y el apetito al riesgo de la compañía. De esta manera,
se sentarán las bases para el diseño e implantación de sistemas de control interno
eficaces, eficientes y alineados con los objetivos estratégicos de las
organizaciones.
A continuación se detallan, las principales variaciones y aspectos conservados en

el proceso de actualización de COSO.

14
Grupo No. 3
Figura No. 5
Proceso de actualización de COSO
Los siguientes puntos, ya contemplados en el informe COSO I, permanecen

invariables:
La definición del concepto de control interno: “El Control interno es un proceso

llevado a cabo por el personal de una organización, diseñado con el fin de
proporcionar un grado de seguridad “razonable” sobre el logro de los objetivos de
las siguientes categorías:
Eficacia y eficiencia de las operaciones
Confiabilidad de los informes realizados
Cumplimiento de la ley y regulación aplicable”.

15
Grupo No. 3
El informe COSO actualizado mantiene los cinco componentes del control interno
ya establecidos en el informe COSO I:
1. Ambiente de control.
2. Evaluación de riesgos.
3. Actividades de control.
4. Información y comunicación.
5. Actividades de monitorización
A pesar de que la descripción de los mismos y su desarrollo en el marco

actualizado han sido puestos al día, las variaciones introducidas no modifican la
base de los conceptos ya contemplados en la versión original de 1992.
Se conservan los criterios fundamentales establecidos para la evaluación del

sistema de control interno.
El uso de juicio profesional a la hora de evaluar la efectividad del sistema de

control interno sigue considerándose un elemento indispensable en el Marco
actualizado, al igual que ya lo era en el marco de 1992.

16
Grupo No. 3
CAPÍTULO II
EVALUACIÓN DEL CONTROL INTERNO SEGÚN EL CRITERIO COSO II
2.1. Definición de COSO II

Según la Tesis de graduación de Elsa María Lam Álvarez, COSO son siglas en
idioma inglés “Committee of Sponsoring Organizations of the Tread way
Commission” que consiste en un comité creado en Estados Unidos de Norte
América en el año de 1,895 conformado por varias instituciones, cuyo objetivo era
tener un marco conceptual compuesto por diferentes puntos de vista acerca del
control interno.1
2.2. Nacimiento COSO II

De acuerdo a Alvin Arens el COSO II tuvo su origen “Debido al aumento de
preocupación por la administración de riesgos COSO determina la necesidad de
la existencia de un marco reconocido de administración integral de riesgos. Hacia
fines de Septiembre de 2004, como respuesta a una serie de escándalos, e
irregularidades que provocaron pérdidas importantes a inversionistas, empleados
y otros grupos de interés, nuevamente el Committee of Sponsoring Organizations
of the Treadway Commission (COSO), publicó el Enterprise Risk Management
(ERM) - Integrated Framework y sus Aplicaciones técnicas asociadas, el cual
amplía el concepto de control interno, proporcionando un foco más robusto y
extenso sobre la identificación, evaluación y gestión integral de riesgo 2“.
La necesidad de ampliar el concepto de control interno dio origen a la creación de

una nueva guía para minimizar riesgos y mejorar el control que se aplicaba en la
administración.
1 Elsa María Lam Álvarez, Tesis de grado recuperada de:

http://www.tesis.ufm.edu.gt/pdf/3639.pdf
2 Arens Alvin, Auditoría. Un enfoque integral, pág. 838
16
17
Grupo No. 3
2.3. Objetivo del COSO II

De acuerdo a Coopers & Lybrand “El proyecto se inició en enero de 2001 con el
objeto de desarrollar y diseñar un marco global para evaluar y mejorar el proceso
administrativo de riesgo proporcionando un grado de seguridad razonable en
cuanto a la consecución de objetivos en las compañías, empresas, etc.”3
Por lo que el COSO II tiene el propósito de estandarizar el marco para evaluar el

proceso administrativo y otorgando a la vez una seguridad razonable en la
realización de los objetivos.
Una gestión integral de riesgos nos permite al realizar un desarrollo y diseño de

un marco para evaluar el proceso administrativo permite:
 Alinear la estrategia con el apetito al riesgo.
 Incrementar las respuestas al riesgo.
 Reducir las pérdidas y sorpresas operacionales.
 Identificar y administrar riesgos que cruzan la organización.
 Proveer respuestas integradas a múltiples riesgos.
 Identificar oportunidades.
 Mejorar la distribución de capital
2.4. Fin de implementación del COSO II

A medida que acelera el ritmo de cambio, la mayoría de las organizaciones
necesitarán mejorar su capacidad de aprovechar oportunidades, evitar riesgos y
manejar la incertidumbre. Esta nueva metodología proporciona la estructura
conceptual y el camino para lograrlo.
3 Coopers & Lybrand, Los nuevos conceptos del control interno, pág. 57

18
Grupo No. 3
De acuerdo a David Bámaca “Todas las entidades enfrentan incertidumbres y el

desafío para la administración es determinar qué cantidad de incertidumbre está
preparada para aceptar la entidad, como esfuerzo, en su búsqueda de
incrementar el valor de esos “grupos de interés”. Esa incertidumbre se manifiesta
tanto como riesgo y oportunidad, con el potencial de erosionar o generar valor.
La gestión integral de riesgo permite a la administración tratar efectivamente la

incertidumbre, riesgo y oportunidad, de tal modo de aumentar la capacidad de la
entidad de construir valor”4.
2.5. Factores que generan incertidumbre a las entidades

Entre los factores que generan incertidumbre a las entidades se pueden
mencionar:
 Globalización;
 Tecnología;
 Reestructuraciones;
 Cambios en los mercados;
 Competencia y regulaciones;
 Y factores internos como las elecciones estratégicas de la organización.
De acuerdo a Patricia Berbia “La incertidumbre emana de la inhabilidad para

determinar con precisión la probabilidad asociada a la ocurrencia de un evento y
a sus impactos correspondientes.
4 Lic. David Bámaca, Seminario Como sobrevivir… y ganar, Pág. 16

19
Grupo No. 3
El valor es creado, preservado o erosionado por las decisiones de la

administración en todas las actividades, desde la planificación estratégica a la
operación del día a día.”5
Por lo que se puede decir que la creación de valor ocurre por la asignación de
recursos, incluyendo personal, capital, tecnología, y marca, donde el beneficio
derivado es mayor que los recursos utilizados. La preservación de valor ocurre
cuando el valor creado es sostenido en el tiempo, a través de calidad superior del
producto o servicio, capacidad de producción, satisfacción al cliente, entre otras.
El valor puede ser erosionado cuando estos objetivos no son alcanzados debido
a una pobre estrategia o a su débil ejecución.
El valor es maximizado cuando la administración fija estrategias y objetivos para

poner un balance óptimo entre objetivos de crecimiento, retorno y riesgos
relacionados, y despliega eficiente y eficazmente los recursos en búsqueda de los
objetivos de la entidad.
2.6. Estructura de COSO II

De acuerdo a la Enciclopedia de Auditoría el COSO II se estructura de la siguiente
forma:
Tabla No.1
5 Berbia, Patricia, Evaluación Eficaz del Sistema de Control Interno, pág. 270.

20
Grupo No. 3
Estructura COSO II
Categorías Componentes
1. Estrategias 1. Ambiente Interno
2. Operaciones 2. Establecimiento de Objetivos
3. Informes 3. Identificación de Eventos.
4. Cumplimiento. 4. Evaluación de Riesgos
5. Respuesta al Riesgo
6. Actividades de Control
7. Información y Comunicación
8. Monitoreo
Fuente: elaboración propia
2.6.1. Ambiente Interno

 Sirve como la base fundamental para los otros componentes del ERM,
dándole disciplina y estructura.
 Dentro de la empresa sirve para que los empleados creen conciencia de los
riesgos que se pueden presentar en la empresa.
2.6.2. Establecimiento de objetivos

 Es importante para que la empresa prevenga el riesgo, tenga una
identificación de los eventos, una evaluación del riesgo y una clara respuesta
a los riesgos en la empresa.
 La empresa debe tener una meta clara que se alineen y sustenten con su
visión y misión, pero siempre teniendo en cuenta que cada decisión con lleva
un riesgo que debe ser previsto por la empresa
2.6.3. Identificación de eventos

21
Grupo No. 3
 Se debe identificar los eventos que afectan los objetivos de la organización

aunque estos sean positivos, negativos o ambos, para que la empresa los
pueda enfrentar y proveer de la mejor forma posible.
 La empresa debe identificar los eventos y debe diagnosticarlos como
oportunidades o riesgos. Para que pueda hacer frente a los riesgos y
aprovechar las oportunidades.
2.6.4. Evaluación de riesgos

 Son las políticas y procedimientos para asegurar que la respuesta al riesgo se
lleve de manera adecuada y oportuna.
 Tipo de actividades de control:
 Preventivas, detectivos, manuales, computarizadas o controles gerenciales
2.6.5. Respuesta al riesgo

 Una vez evaluado el riesgo la gerencia identifica y evalúa posibles repuestas
al riesgo en relación a las necesidades de la empresa.
Las respuestas al riesgo pueden ser:

Evitarlo: se discontinúan las actividades que generan riesgo.
Reducirlo: se reduce el impacto o la probabilidad de ocurrencia o ambas
Compartirlo: se reduce el impacto o la probabilidad de ocurrencia al transferir o

compartir una porción del riesgo.
Aceptarlo: no se toman acciones que afecten el impacto y probabilidad de

ocurrencia del riesgo.

22
Grupo No. 3
2.6.6. Actividades de Control

Son las políticas y procedimientos para asegurar que la respuesta al riesgo se
lleve de manera adecuada y oportuna.
Tipo de actividades de control:

 Preventiva;
 Detectivas;
 Manuales;
 Computarizadas o controles gerenciales.
2.6.7. Información y Comunicación

 La información es necesaria en todos los niveles de la organización para hacer
frente a los riesgos identificando, evaluando y dando respuesta a los riesgos.
 La comunicación se debe realizar en sentido amplio y fluir por toda la
organización en todos los sentidos. Debe existir una buena comunicación con
los clientes, proveedores, reguladores y accionistas.
2.6.8. Monitoreo
 Sirve para monitorear que el proceso de administración de los riesgos sea
efectivo a lo largo del tiempo y que todos los componentes del marco ERM
funcionen adecuadamente.
El monitoreo se puede medir a través de:

 Actividades de control.
 Evaluaciones puntuales.
 Una combinación de ambas formas.

23
Grupo No. 3
CAPÍTULO III
EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIO COSO III
3.1. Definición
El Informe COSO según Nelson Cabello es: “(…) documento que contiene
las principales directivas para la implantación, gestión y control de un sistema de
control”6. Debido a la gran aceptación de la que ha gozado, desde su publicación
en 1992, el Informe COSO se ha convertido en el estándar de referencia. Existen
en la actualidad tres versiones del Informe COSO. La versión del 1992, la versión
del 2004 y la versión del 2006, que incorpora las exigencias de ley Sarbanes
Oxley a su modelo.
El control interno de la información financiera (COSO III) se define como un

proceso que realiza el Consejo de Administración de las organizaciones cotizadas,
La Dirección y terceros, que ha sido diseñado para brindar seguridad razonable
de la fiabilidad de los Estados Financieros que son publicados.
Define a las empresas como pequeñas, medianas o grandes, esta guía no

proporciona tales definiciones. Utiliza el término más pequeña en lugar de
pequeña empresa, lo que sugiere que se dirige a un amplio abanico de empresas.
Está enfocada en empresas que tienen varias de las siguientes características:
 Menos líneas de negocio y menos productos dentro de cada línea.

 Concentración del enfoque de marketing, por canal o geografía.
 Liderazgo de La Dirección con intereses o derechos de propiedad
significativos.
6 Nelson Cabello. Postulado de Derecho Tributario. Septiembre 2011.

24
Grupo No. 3
 Menos niveles de dirección, con ámbitos de control más amplios.

 Sistemas de procesamiento de transacciones y protocolos menos complejos.
 Menos personal, con un conjunto más amplio de tareas.
 Capacidad limitada para mantener recursos de línea abundantes así como
puestos de apoyo como legal, recursos humanos, contabilidad y auditoría
interna.
3.2. Control amplio y directo desde el nivel más alto

Muchas empresas más pequeñas están dominadas por el propietario de la
empresa u otro líder que ejerce a discreción y proporciona dirección personal a
otros empleados.
Además de ser clave para permitirle a la empresa crecer y cumplir otros objetivos,
este posicionamiento también puede contribuir de forma significativa al control
interno eficaz del reporte de la información financiera. El conocimiento exhaustivo
de diferentes facetas del negocio, sus operaciones, procesos, variedad de
compromisos contractuales y riesgos de negocio permite a su líder saber que
esperar en los informes generados por el sistema de reporte de la información
financiera y hacer un seguimiento si es necesario cuando surgen variaciones
inesperadas. El riesgo que trae aparejado la capacidad de anular procedimientos
de control establecidos se puede manejar con protocolos especificados.
3.3. Segregación de funciones limitadas

La restricción de recursos puede limitar el número de trabajadores, lo que a veces
lleva a comprometer la segregación de funciones. Sin embargo, existen acciones
que puede tomar La Dirección para compensar posibles deficiencias, entre las que
se encuentran las siguientes: Que los gerentes revisen informes de transacciones
detalladas generados por el sistema, seleccionen transacciones para revisión de
documentación soporte, supervisen recuentos periódicos del inventario físico,

25
Grupo No. 3
equipamiento u otros bienes y los comparen con los registros de contabilidad, y

revisen o efectúen de manera independiente las reconciliaciones de cuentas. En
muchas empresas pequeñas los gerentes ya están siguiendo esto y otros
procedimientos que ayudan a la presentación de informes fiables y se les debe
atribuir mérito por su contribución hacia un control interno eficaz.
3.4. Tecnología de la información

Muchas veces la realidad de los limitados recursos internos de tecnología de la
información se puede resolver con software desarrollado y mantenido por
terceros. Estos paquetes aun requieren una implementación y operación
controlada, pero se evitan muchos de los riesgos asociados con el desarrollo
interno de sistemas de la información. Normalmente la necesidad de cambio en
los controles de programa es limitada ya que dichos cambios los efectúa
exclusivamente la empresa que lo desarrolló, y generalmente el personal de una
empresa más pequeña no tiene pericia técnica como para efectuar modificaciones
no autorizadas.
3.5. Lograr eficiencia

El marco COSO reconoce que una entidad primero debe haber implementado una
serie apropiada de objetivos de reporte de la información financiera. A un alto
nivel, el objetivo del reporte de la información financiera es preparar Estados
Financieros fiables, lo que supone lograr una seguridad razonable de que los
Estados Financieros están libres de representaciones erróneas. A partir de este
objetivo a alto nivel, La Dirección establece objetivos secundarios relacionados
con las actividades y circunstancias empresariales y su correcto reflejo en los
Estados Financieros y sus detalles. Estos objetivos pueden estar condicionados
por requisitos regulatorios o por otros factores que La Dirección puede decidir
incluir al momento de fijar sus objetivos.

26
Grupo No. 3
3.6. Enfoque de riesgos

Aunque La Dirección considera riesgos en varios sentidos, se centra en aquellos
que le puedan impedir lograr sus objetivos principales, incluyendo los riesgos de
reporte de la información financiera fiable. Basado en riesgo significa centrarse en
factores cuantitativos y cualitativos que pueden afectar a la fiabilidad del reporte
de la información financiera, e identificar en que parte del procesamiento de
transacciones o de otras actividades relacionadas con la preparación de Estados
Financieros puede fallar algo. Al centrarse en los objetivos clave.
La Dirección puede adaptar el enfoque y alcance de las evaluaciones de riesgo

necesarias. A menudo se considera el riesgo en el momento inicial de diseñar e
implementar control interno, en el que los riesgos para lograr los objetivos se
identifican y analizan como base para determinar cómo se deben gestionar. Otro
enfoque consiste en evaluar si el control interno es eficaz en mitigar los riesgos
para lograr los objetivos.
En el contexto de evaluar la eficacia del control interno, a veces hay una tendencia
de considerar el control interno utilizando listas de controles genéricos que son
apropiadas para una empresa típica. Aunque estas herramientas en formato de
cuestionario u otro formato pueden ser útiles, un resultado no buscado es que a
veces la dirección se centra en controles estándares o típicos que simplemente
no son relevantes para los objetivos de reporte de la información financiera de la
empresa o para los riesgos asociados con estos objetivos.
Un problema relacionado con el que uno se puede encontrar es el de comenzar

las evaluaciones con los detalles de los sistemas de contabilidad y documentarlos
con extremo detalle sin reconocer si todos los procesos son realmente relevantes
para lograr un reporte de la información financiera fiable. Esto no significa que
dichos enfoques no sean útiles, ya que lo pueden ser. Sin embargo, sea el enfoque

27
Grupo No. 3
que sea, se logra eficiencia cuando se dirige la atención hacia los objetivos que
La Dirección haya establecido, específicos para las actividades y circunstancias
de la empresa.
3.7. Racionalizar la Documentación

Una documentación eficaz ayuda a comunicar lo que se debe hacer, cómo se
debe hacer, y también crea expectativas de desempeño. Otra función de la
documentación es ayudar a formar a nuevo personal y como recordatorio o
material de referencia para otros trabajadores. La documentación también
proporciona evidencia para respaldar el informe de la eficacia del control interno.
El nivel y naturaleza de la documentación varía considerablemente entre

empresas. Lógicamente las empresas grandes suelen tener más operaciones
para documentar, o procesos de reporte de la información financiera más
complejos, y por lo tanto ven necesario tener documentación más extensa que las
empresas más pequeñas. Las empresas más pequeñas suelen tener menos
necesidad de documentación formal, como manuales exhaustivos de políticas,
flujogramas de procesos, organigramas, descripciones de puestos y similar.
En las empresas más pequeñas normalmente hay menos gente y menos niveles
de dirección, relaciones laborales más estrechas e interacción más frecuente, lo
que promueve la comunicación de lo que se espera y de lo que se está haciendo.
Por ejemplo, una empresa más pequeña podría documentar recursos humanos,
el proceso de compras, o políticas de créditos a clientes a través de memorándum
y complementarlos con orientación de La Dirección en reuniones. Una empresa
más grande probablemente tendrá políticas más detalladas (o manuales) para
orientar a su personal sobre cómo implementar controles.

28
Grupo No. 3
3.8. Proceso de control interno integrado

El proceso de control interno comienza con la dirección que fija objetivos
de reporte de la información financiera relevantes a las actividades y
circunstancias particulares de la empresa. Una vez fijados, La Dirección identifica
y evalúa una variedad de riesgos para lograr los objetivos, determina cuáles
pueden resultar en un error material en el reporte de la información financiera, y
establece como se deberían gestionar estos riesgos a través de varias
actividades de control.
La Dirección implementa procesos para capturar, procesar y comunicar

información necesaria para el reporte de la información financiera y otros
componentes del sistema de control interno. Todo esto se hace en el contexto
del entorno de control de la empresa, que se forma y se redefine según sea
necesario para lograr el tono apropiado desde la cúpula de la organización y
los atributos relacionados. Estos componentes se supervisan para asegurar
que los controles siguen operando correctamente con el transcurso del tiempo
Cada uno de los cinco componentes del control interno presentados en el

marco es importante para cumplir el objetivo de reporte de la información
financiera de manera fiable. Determinar si el control interno de reporte de la
información financiera de una empresa es eficaz requiere un juicio. El control
interno tiene cinco componentes que trabajan en conjunto para prevenir o detectar
y corregir errores materiales en informes financieros. Cuando los cinco
componentes están presentes y en funcionamiento, hasta el punto en que la
dirección tiene una seguridad razonable de que los Estados Financieros se
preparan de forma fiable, se puede considerar que el control interno es eficaz.
Aunque cada componente debe estar presente y en funcionamiento, esto

no significa que cada componente debe funcionar de forma idéntica o al

29
Grupo No. 3
mismo nivel en cada empresa. Pueden existir algunas compensaciones entre

componentes.
Por lo tanto, el control interno eficaz no necesariamente significa que se

introdujo un estándar de control a nivel de excelencia en cada proceso.
Una deficiencia en un componente puede estar mitigada por otros controles

en ese componente o por controles en otro componente que es lo
suficientemente sólido como para que la totalidad del control sea adecuado para
reducir el riesgo de errores materiales hasta un nivel aceptable.
3.9. Aplicando principios para lograr un control interno eficaz sobre el

reporte de la información financiera
Esta guía ofrece una serie de principios básicos que representan los conceptos
fundamentales asociados con los cinco componentes del Marco, y directamente
extraídos de él.
Figura No. 6
Estructura COSO III

30
Grupo No. 3
Evaluacion de Riesgos
Ambiente de Control
ESTABLECIMIENTO DE
OBJETIVOS
COSO III
Monitoreo Actividades de Control
Información y Comunicación
3.9.1. Ambiente de control

Se entiende por Ambiente de Control al clima de control que se gesta o surge en
la conciencia individual y grupal de los integrantes de una organización, por la
influencia de la historia y cultura de la entidad y por las pautas dadas por la alta
dirección en referencia a la integridad y valores éticos.
Otros factores relevantes que ejercen su influencia en el Ambiente de Control son:

el compromiso de competencia profesional, la filosofía de dirección y el estilo de
gestión, la estructura organizacional, la asignación de autoridad y responsabilidad,
las políticas y prácticas de recursos humanos y el Consejo de Administración y
Comité de Auditoría.
3.9.2. Evaluación de riesgos

Toda entidad debe hacer frente a una serie de riesgos tanto de origen interno
como externo que deben evaluarse. Una condición previa a la evaluación de los
riesgos es el establecimiento de objetivos en cada nivel de la organización que
sean coherentes entre sí. La evaluación del riesgo consiste en la identificación y
análisis de los factores que podrían afectar la consecución de los objetivos y, en

31
Grupo No. 3
base a dicho análisis, determinar la forma en que los riesgos deben ser
administrados y controlados. Debido a que las condiciones económicas,
industriales, normativas continuarán cambiando, es necesario disponer de
mecanismos para identificar y afrontar los riesgos asociados con el cambio.
3.9.3. Actividades de control

Son las políticas y los procedimientos que ayudan a asegurar que se llevan a cabo
las instrucciones de La Dirección. Ayudan a asegurar que se tomen las medidas
necesarias para controlar los riesgos relacionados con la consecución de los
objetivos de la entidad.
Hay actividades de control en toda la organización, a todos los niveles y en todas

las funciones. Incluyen una gama de actividades tan diversa como aprobaciones,
autorizaciones, verificaciones, conciliaciones, revisiones de rentabilidad operativa,
salvaguarda de activos y segregación de funciones.
Las actividades de control pueden dividirse en tres categorías, según el tipo de

objetivo de la entidad con el que están relacionadas: las operacionales, la
confiabilidad de la información financiera y el cumplimiento de la legislación
aplicable.
3.9.4. Información y comunicación

Hay que identificar, recopilar y comunicar información pertinente en tiempo y
forma que permitan cumplir a cada empleado con sus responsabilidades.
Los sistemas de información generan informes, que contienen información

operativa, financiera y la correspondiente al cumplimiento, que posibilitan La
Dirección y el control del negocio. Dichos informes contemplan, no sólo, los datos
generados internamente, sino también información sobre incidencias, actividades

32
Grupo No. 3
y condiciones externas, necesaria para la toma de decisiones y para formular

informes financieros.
Debe haber una comunicación eficaz en un sentido amplio, que fluya en todas las
direcciones a través de todos los ámbitos de la organización, de arriba hacia abajo
y a la inversa.
Las responsabilidades de control han de tomarse en serio. Los empleados tienen

que comprender cuál es su papel en el sistema de control interno y cómo las
actividades individuales están relacionadas con el trabajo de los demás.
Asimismo, tiene que haber una comunicación eficaz con terceros, como clientes,
proveedores, organismos de control y accionistas.
3.9.5. Monitoreo
Los sistemas de control interno requieren monitoreo, es decir, un proceso que
compruebe que se mantiene el adecuado funcionamiento del sistema a lo largo
del tiempo. Esto se consigue mediante actividades de monitoreo continuo,
evaluaciones periódicas o una combinación de ambas cosas. El Monitoreo
continuo se da en el transcurso de las operaciones. Incluye tanto las actividades
normales de dirección y monitoreo, como otras actividades llevadas a cabo por el
personal en la realización de sus funciones. El alcance y frecuencia de las
evaluaciones dependerá de la evaluación de riesgos y de la eficiencia de los
procesos de supervisión.
Los sistemas de control interno y, en ocasiones, la forma en que los controles se

aplican, evolucionan con el tiempo, por lo que procedimientos que eran eficaces
en un momento dado, pueden perder su eficacia o dejar de aplicarse. Las causas
pueden ser la incorporación de nuevos empleados, defectos en la formación y
supervisión, restricciones de tiempo y recursos y presiones adicionales.

33
Grupo No. 3
Asimismo, las circunstancias en base a las cuales se configuró el sistema de

control interno en un principio también pueden cambiar, reduciendo su capacidad
de advertir de los riesgos originados por las nuevas circunstancias. En
consecuencia, La Dirección tendrá que determinar si el sistema de control interno
es en todo momento adecuado y su capacidad de asimilar los nuevos riesgos.
Para COSO, este proceso debe estar integrado con el negocio, de tal manera que
ayude a conseguir los resultados esperados en materia de rentabilidad y
rendimiento. Trasmitir el concepto de que el esfuerzo involucra a toda la
organización.

34
Grupo No. 3
CAPÍTULO IV
APLICACIÓN DEL SISTEMA DE CONTROL INTERNO
CASO PRÁCTICO
En el siguiente caso práctico, se presenta un análisis de los controles que se

tienen en el departamento de sistemas de una empresa mediana. La cual se
dedica a la distribución de vehículos. Debe tomarse en cuenta que se evaluará el
departamento y no se hará la evaluación de toda la organización.
Para la evaluación de control interno es muy importante la revisión de los controles

existentes en el área de sistemas ya que la información financiera es generada
por medio de los sistemas con los que cuentan y depende del buen uso de las
mismas para que sea generada de la manera correcta.
Se definirán cada uno de los componentes de control interno y su interrelación

con el área de sistemas.
Ambiente de control:
Valores éticos
El personal de dicha organización es un personal consciente de cumplir con los
valores establecidos por la dirección. Dichos valores son documentados en un
código de conducta en donde se establece cual será el comportamiento correcto
que debe tenerse dentro de la organización. En la organización no se tiene una
rotación de personal alta sino que por el contrario, los empleados se identifican
con la organización y cumplen con los valores establecidos.

35
Grupo No. 3
El personal del departamento de sistemas está consciente de guardar la cordura

dentro y fuera de la organización. El personal tiene de laborar en dicha
organización cerca de 10 años.
El gerente de dicho departamento forma parte de un comité en el cual se incluyen

todos los gerentes de área. Dicho comité se reúne quincenalmente con el objetivo
de evaluar las necesidades que se tienen y en forma conjunta, dar las soluciones
a estas.
Estructura organizacional
El departamento está conformado por un gerente y tres personas más. Que están
bajo su supervisión
Las funciones del departamento de informática son las siguientes:

El gerente de sistemas se encarga de la elaboración de proyectos nuevos así
como de la asignación del personal a su cargo y de la programación del tiempo
para cada uno de ellos.
Programación
 Cambio de programas, Actualizaciones y otros.
 Verificación del adecuado funcionamiento de los programas ya existentes
 Desarrollo de reportes y demás requerimientos.
Operaciones
 Soporte de comunicaciones, redes e Internet.
 Realización de Backups (respaldos).
 Seguridad Lógica (manejo de contraseñas).
 Seguridad Física.

36
Grupo No. 3
Soporte a Usuarios
 Actualizaciones de Software e instalación del mismo.
 Solución a problemas relacionados con programas utilitarios y equipo.
Evaluación de Riesgos
Dentro de los objetivos que deben existir en dicha área pueden mencionarse los
siguientes:
 Asegurar que las funciones del área de sistemas cumplan con los objetivos de
la organización.
 Existencia de una segregación de funciones del personal dentro del
departamento de sistemas
 Asegurar que no existan accesos sin autorización
 Contar con los controles necesarios para minimizar el riesgo de que el equipo
no sea dañado accidental o intencionalmente.
 Asegurar que el desarrollo de sistemas y los cambios a programas sean
autorizados, probados y documentados.
 Contar con los respaldos y el plan de contingencias necesarios para reanudar
las operaciones en casos de algún desastre.

37
Grupo No. 3
Tabla No. 2
Evaluación del Control Interno
Causa Efecto
 Cambio de contraseñas con  Uso inadecuado de las

periodos largos. contraseñas.
 Despido o denuncias no  Acceso de usuarios que ya no
informadas oportunamente. laboran en la empresa.
 Desconocimiento de la  Asignación incorrecta de Accesos
administración de los accesos  Danos al equipo principal,
asignado a usuarios. accidental o
 Acceso no restringido al área de malintencionadamente.
Servidores.  En el caso de que el equipo se
 No se tienen alarmas de incendio sobrecalentara y provocase fuego
 Cambios a los programas sin el este no podría ser controlado a
Bobo. del usuario que los requirió. tiempo.
 Los respaldos o Backus solo son  Los cambios a programas
guardados en las oficinas.  En el caso de algún desastre o
robo, los respaldos no pueden ser
recuperados.
Fuente: elaboración propia

38
Grupo No. 3
Recomendaciones para mejorar los procesos

1. Cambiar las contraseñas cada 30 días.
2. Informar oportunamente las altas y bajas de los empleados
3. Que cada acceso de cada nivel de sistemas esté debidamente autorizado y
documentado
4. Mantener el equipo principal aislado del acceso público y delegar responsables
para su cuidado adecuado.
5. Instalar alarmas contra incendios en los cuartos de servidores
6. Guardar más de una copia de seguridad y en un lugar diferente de las oficinas
normales.

39
Grupo No. 3
CONCLUSIONES
 El sistema COSO I es una metodología que da respuesta a los requerimientos

de varias secciones y áreas del control interno, por ello es, probablemente, la
más utilizada en Estados Unidos y en la mayor parte de los países del mundo.
 Se entiende que riesgo es toda aquella posibilidad de que un evento futuro e

incierto ocurra en cualquier momento y afecte el logro de los objetivos
estratégicos, operativos y financieros de una organización.
 El propósito principal del sistema COSO III es ayudar a La Dirección a

establecer y mantener un control interno del reporte de la información
financiera a costo razonable, pero esto no impide que pueda ser utilizado para
que La Dirección evalúe la eficacia del control interno en general de una
manera eficiente.

40
Grupo No. 3
RECOMENDACIONES
 A las empresas se recomienda que muchas de las buenas prácticas que se

han venido desarrollando hasta entonces en materia de control interno, se
sigan realizando pero con ayuda y apoyo de las actualizaciones al sistema
COSO, pues este reúne y consolida criterios para tener un sistema de control
interno con un modelo integrado de mejor manera.
 A las empresas pequeñas se recomienda mantener su control interno de una

forma en la cual no tenga que incurrir en muchos costos, pero paralelo a esto
se tomar en cuenta los beneficios que trae un control interno eficiente, como
puede ser: Obtener la información fiable y puntual que apoya la capacidad de
decisión de La Dirección.
 A la administración de las empresas se recomienda la implementación del

sistema COSO debido a que la posibilidad de que un evento futuro ocurra es
un riesgo inherente en cualquier lugar; sin embargo, el sistema COSO
contribuye a disminuir la posibilidad de que dicho evento ocurra.

41
Grupo No. 3
REFERENCIA BIBLIOGRÁFICA
 Abella Rubio, Ramón & Cendón Cubero, Ana. Actualización COSO I. Análisis
del borrador del marco de control interno actualizado. Centro de Gobierno
Corporativo. Año 2012.
 Arens Alvin, Auditoría. Un enfoque integral México: Editorial Pearson. Sexta

edición 1996. Pág. 838.
 Bámaca, David. Seminario Como sobrevivir… y ganar! Consejeros en

Finanzas Empresariales CFE corresponsales de Moores Rowland
International Junio, 2000. Pág. 16.
 Berbia, Patricia, Evaluación Eficaz del Sistema de Control Interno, publicación

año 2008. Pág. 270.
 Cabello, Nelson. Postulado Derecho Tributario. Septiembre 2011.
 Committee of Sponsoring Organizations of the Treadway Commission. Control

Interno del reporte de la Información Financiera guía para pequeñas empresas
cotizadas. Volumen I: Guía. Junio 2006.
 Coopers & Lybrand. Los nuevos conceptos del control interno. Informe COSO
España; Ediciones Día de Santos, S.A. 1997. Pág. 57.
 Edición original McGraw-Hill Inc. Enciclopedia de la Auditoría. Editorial

Océano, Barcelona, España 2004. Pág. 300.

42
Grupo No. 3
 Fonseca Borja. Auditoria Interna: Un Enfoque moderno de Planificación,

Ejecución y Control. Artes Gráficas Acrópolis. 2a Impresión.
 Internal Control Issues in Derivatives Usage. Año de 1996. Recuperado el 21
de enero 2014 a las 8:46 p.m. de: http://www.coso.org/guidance.htm.
 Lam Álvarez, Elsa Maria. Evaluación del Control Interno basado en el Modelo
Coso. Tesis inédita de grado. Universidad Francisco Marroquín. Facultad de
Ciencias Económicas. Guatemala. Año 2002.
 Marco Convergencia Internacional de Medidas y normas de capital. Comité de

Supervisión Bancaria Basilea. Junio 2004.
 Pungitore, José Luis. Sistemas Administrativos y Control Interno. Editorial

Osmar D. Buyatti. Impresión 2006 ampliada y actualizada.
 Roldan de Morales, Esperanza. Apuntes de Auditoría IV. Universidad de San

Carlos de Guatemala. Facultad de Ciencias Económicas. Escuela de
Auditoría. 25 de junio de 2010.
 Salles, Sáinz. Control Interno sobre reporte Financiero, Guía para empresa
COSO III. Octubre 2007. Recuperado el 22 de enero 2014 a las 9:33 p.m. de:
http://www.ssgt.com.mx/pdf/repfinanciero.pdf

43
Grupo No. 3
ANEXO
CUESTIONARIO
1. ¿Qué significa COSO?

Committee of Sponsoring Organizations of the Tread way Commission.
2. ¿Cuál es el fin de implementar COSO II?

A medida que acelera el ritmo de cambio, la mayoría de las organizaciones
necesitarán mejorar su capacidad de aprovechar oportunidades, evitar
riesgos y manejar la incertidumbre. Esta nueva metodología proporciona la
estructura conceptual y el camino para lograrlo.
3. Mencione 3 factores que generen incertidumbre a las entidades.

 Globalización;
 Tecnología;
 Reestructuraciones;
4. ¿Cuál es el principal propósito del COSO III?

Ayudar a La Dirección a establecer y mantener un control interno del
reporte de la información financiera a costo razonable, pero esto no impide
que pueda ser utilizado para que La Dirección evalúe la eficacia del control
interno en general de una manera eficiente.
5. ¿Qué son las actividades de control?

Son las políticas y los procedimientos que ayudan a asegurar que se llevan
a cabo las instrucciones de La Dirección. Ayudan a asegurar que se tomen
las medidas necesarias para controlar los riesgos relacionados con la
consecución de los objetivos de la entidad.

44
Grupo No. 3
6. ¿Cómo se define el control interno de la información financiera COSO III?

Como un proceso que realiza el Consejo de Administración de las
organizaciones cotizadas, La Dirección y terceros, que ha sido diseñado
para brindar seguridad razonable de la fiabilidad de los Estados Financieros
que son publicados.
7. ¿Cuándo fue publicado el sistema COSO I?

En el año de 1992.
8. ¿Quiénes integran el Committee of Sponsoring Organizations of the

Treadway Commission (COSO)?
Representantes de cinco organismos profesionales diferentes:
 AAA (Asociación Americana de Contabilidad).
 AICPA (Instituto Americano de Contables Públicos Autorizados).
 FEI (Instituto de Ejecutivos Financieros).
 IIA (Instituto de Auditores Internos).
 IMA (Instituto de Contables de Gestión).
9. ¿Qué es el COSO I?
Es un documento que contiene las principales directivas para la
implantación, gestión y control de un sistema de control.
10. ¿Cuáles son los 5 componentes del sistema de control interno COSO?
 Ambiente de control

45
Grupo No. 3
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Actividades de monitorización

T5 Evaluación de Ci Según Coso I Ii Iii

Încărcat de

Informații document

Titlu original

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

T5 Evaluación de Ci Según Coso I Ii Iii

Încărcat de

Drepturi de autor:

Formate disponibile

Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

No. Carné Nombre

Guatemala, enero 2014

2.1. Definición de COSO II 16

Tabla No. Pág.

Figura No. Pág.

Como parte del Seminario de Integración Profesional del undécimo semestre de

Esa evaluación es adoptada por numerosas organizaciones para contrarrestar los

Durante el desarrollo del informe se procura demostrar que el modelo de control

El trabajo de investigación se divide en cuatro capítulos que abarcan lo que se

De igual forma se incluye un caso práctico donde se evalúa e implementa el

El principal objetivo de esta investigación es cubrir los aspectos de mayor

Dicho informe fue publicado por el “Comité of Sponsoring Organizations of the

En consecuencia, el Marco actualizado incluye modificaciones que pretenden

Seminario de Integración Profesional

En este sentido, el marco actualizado está compuesto por tres volúmenes:

De manera adicional, el marco actualizado incluye el “Internal Control over

Es un medio para un fin, no un fin en sí mismo. Efectuado por la junta directiva,

Aplicado en la definición de la estrategia y aplicado a través de la organización en

Seminario de Integración Profesional

1.3. Objetivos y clasificación de los objetivos

Seminario de Integración Profesional

1.3.1. Objetivos estratégicos

Los Procesos Internos se planifican para lograr los objetivos financieros.

Todos estos elementos, garantizan que determinada Función, esté apoyando a la

Es bueno aclarar que no se pretenden realizar los pasos de la Implantación, si no,

1.3.2. Objetivos de las operaciones

La consecución de los objetivos operacionales no siempre está bajo el control de

Seminario de Integración Profesional

1.3.3. Objetivos relacionados con la información financiera

Las afirmaciones que subyacen detrás de los estados financieros son:

Seminario de Integración Profesional

 Valoración: El importe de los activos y pasivos y el de los ingresos ha sido

1.3.4. Objetivos de cumplimiento

Un grupo de objetivos de especial interés es el referido a “la salvaguarda de los

Seminario de Integración Profesional

1.4. Principios básicos

1.4.1. División del trabajo

1.4.2. Fijación de responsabilidad

Seminario de Integración Profesional

permitan determinar en todos los casos, la responsabilidad primaria sobre todas

1.4.3. Cargo y descargo

La supervisión de las operaciones reflejadas en cada cuenta y subcuenta o

Resulta conveniente además aplicar la práctica de rotar a los trabajadores en sus

Seminario de Integración Profesional

1.5. Estructura y Elementos

1.5.1. El entorno de control

1.5.2. La evaluación de los riesgos

Seminario de Integración Profesional

cambiante, debe disponer de ciertos mecanismos que evalúen constantemente el

La metodología de evaluación de riesgos de una organización normalmente

1.5.3. Actividades de control

1.5.4. Información y comunicación

Seminario de Integración Profesional

Todos los miembros de la organización son responsables de la implantación y

La dirección de la empresa es el principal responsable del Control interno. Esto es

Seminario de Integración Profesional

El informe COSO I plantea una estructura de control de la siguiente forma:

1.6. COSO I versus marco actualizado COSO

Seminario de Integración Profesional

El marco actualizado de control interno ha nacido con el objetivo de adaptar el

A través de la consideración de las condiciones actuales del mercado, de la