Universidad de San Carlos de Guatemala

Facultad de Ciencias Económicas

Escuela de Auditoría
Jornada Fin de Semana
Seminario de Integración Profesional

Tema 5

EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIOS COSO I, II Y III

Grupo 5

Guatemala, 26 de enero de 2014

 Tema 5

EVALUACIÓN DEL CONTROL INTERNO SEGÚN CRITERIOS COSO I, II Y III

Lic. Délfido Eduardo Morales Gabriel

Docente Supervisor de Seminario de Integración Profesional

Grupo 5

No. Nombre Carné

1. Alex Estuardo Mérida González (Coordinador) 199110123

2. Carlos Rolando García Contreras 199411193

3. Herbert Iván Mérida González 199611429

4. Mario René García Toledo 199721785

5. Claudia Patricia Alonzo Donis 199815433

6. Adolfo Roberto Hernández Monterroso 200018065

7. Julio Francisco Hernández Rodas 200019115

8. Josué Job Girón Jiménez 200110316

9. Carlos Humberto Gálvez Espinoza 200115816

10. Dennis Francisco Yojcóm Ajú 200316841

11. David Ricardo Ramírez Beteta 200615232

12. Lourdes Aracely Álvarez Ramírez 200711852
 ÍNDICE

INTRODUCCIÓN 5
CAPÍTULO I 6

1 EVALUACIÓN DE LA ESTRUCTURA DEL CONTROL INTERNO 6

1.1 ANTECEDENTES: 6
1.2 DEFINICIONES: 7
1.3 RELACIONES ENTRE COSO I Y COSO II: 9
1.4 OBJETIVOS Y CLASIFICACIÓN: 10
1.5 ESTRUCTURA Y ELEMENTOS DEL CONTROL INTERNO SEGÚN COSO: 11

CAPÍTULO II 12

2 EL PAPEL DE LA AUDITORÍA INTERNA DENTRO DE LOS SISTEMAS DE

CONTROL INTERNO BASADOS EN COSO 12
2.1 MÉTODO PARA LA IMPLEMENTACIÓN Y POSTERIOR EVALUACIÓN DEL
CONTROL INTERNO: 13

CAPÍTULO III 16

3 ELEMENTOS O COMPONENTES DE COSO II 16

3.1 EL AMBIENTE INTERNO: 17
3.2 ESTABLECIMIENTO DE OBJETIVOS: 17
3.3 IDENTIFICACIÓN DE EVENTOS: 18
3.4 EVALUACIÓN DE RIESGOS: 18
3.5 RESPUESTA O ESTRATEGIA A LOS RIESGOS: 19
3.6 ACTIVIDADES DE CONTROL: 20
3.7 INFORMACIÓN Y COMUNICACIÓN: 20
3.8 3.8 MONITOREO O SUPERVISIÓN: 21

CAPÍTULO IV 22

4 COMUNICACIÓN DE LOS ASPECTOS A MEJORAR EN DEFICIENCIAS DE

CONTROL 22
4.1 CONCEPTO GENERAL: 22

3
 4.2 NOVEDADES DE COSO III: 24

CAPÍTULO V 26

5 CONTROL INTERNO AL PLANIFICAR LA AUDITORÍA 26

CONCLUSIONES 30
RECOMENDACIONES 31
REFERENCIAS BIBLIOGRÁFICAS 32

4
 INTRODUCCIÓN

El control interno es un aspecto muy importante para todo tipo de negocio, a todo nivel,
grandes, medianas y pequeñas empresas lo utilizan, ya que saben que de ello se
deriva un buen funcionamiento, así como también su éxito o su fracaso, sino logran
tener todos los mecanismos de control que puedan ayudar a evitar tener riesgos en sus
operaciones.

La creación de formas de control que vayan mejorando con el pasar del tiempo y de
acuerdo a las necesidades que diariamente tienen las empresas, es uno de los
objetivos de COSO y de ello se derivan las actualizaciones y nuevas formas de tener
controles efectivos, más confiables, de fácil comprensión y que sea más rentable el
beneficio que el costo que pueda tener su implementación.

Para el estudiante de la Carrera de Contaduría Pública y Auditoría en el desarrollo de

su carrera y dentro de su formación profesional, el conocimiento de estas herramientas,
la forma de operar, su alcance y objetivos, ayudan a que puedan realizar un mejor
trabajo de campo, al momento de auditar empresas o instituciones públicas y
financieras, dar recomendaciones acordes a las necesidades de las entidades y hacer
más beneficioso el trabajo que realizan.

Todas las empresas deben llegar a tener un nivel de riesgo controlado y aceptable, que
no altere por sorpresa sus resultados u objetivos, el Gobierno Corporativo juega un
papel importante dentro de la implementación y manejo del control interno, de él
depende mucho que las directrices que se dicten, sean efectivas y se adopten
correctamente, la delegación de instrucciones debe ser clara, precisa y sobre todo que
se vele porque se cumplan a cabalidad a todo nivel.

5
 CAPÍTULO I

1 EVALUACIÓN DE LA ESTRUCTURA DEL CONTROL INTERNO

1.1 ANTECEDENTES

En los últimos años se han desarrollado diferentes marcos de control basados en

iniciativas a nivel nacional en EEUU, Canadá, Reino Unido, Australia, dando lugar a
marcos de control, como COSO, CoCo, Cadbury Report, Turnbull, King, etc.

Todos comparten la misma filosofía del nuevo enfoque de control interno, con
diferentes matices sobre importancia del riesgo, gobierno corporativo, etc. COSO es el
marco más extendido y utilizado, que se concentra en el control interno de manera
integrada y comprensiva.

Adoptado por el sector público y privado en USA, por el Banco Mundial y el BID, y se
extiende rápidamente por todo Latino América.

La responsabilidad recae en la máxima autoridad de la entidad, nombrado Gobierno

Corporativo en la cual se definen las estrategias y diseñan los procedimientos
necesarios para identificar eventos potenciales que puedan afectar las funciones de las
instituciones que tengan a su cargo y proporcionen una seguridad razonable con lo
relacionado a los objetivos de la misma; se debe comprender que cuando se identifica
alguno de estos eventos, se tiene que manejar la forma de clasificarlos en; si son
negativos como RIESGOS, y positivos como OPORTUNIDADES. Este informe fue el
resultado del análisis de situaciones financieras ocurridas en mercados mundiales y en
empresas internacionales, tales como ENRON, PARMALAT, VIVENDI WORDCOM,
GLOBAL CROSSING, etc.

Para comprender esta unidad se hace una reseña de lo que es COSO (COMMITTEE
OF SPONSORING ORGANIZATIONS OF THE TREADWAY COMMISSION), este

6
consiste en un comité creado en Estados Unidos en el año 1985 donde se incluye la
participación de auditores internos, contadores, administradores, entre otros, es
importante agregar que se trata de un trabajo de más de cinco años y que las
instituciones que colaboraron se encuentran en por lo menos cincuenta países, con el
objetivo primordial de proporcionar un marco conceptual con diferentes puntos de vista
acerca de control interno, para que se utilice internacionalmente a diferentes entidades,
cuyo objetivo va dirigido primordialmente a todo lo referente al control interno: a)
implementar una definición de control interno para que sea de conocimiento general y
para satisfacer las necesidades de cada persona, b) facilitar la evaluación del sistema
de control interno mediante una estructura, c) mejorar la identificación de riesgos y los
procedimientos de análisis de riesgos.

El COSO II, que según su propio texto no contradice al COSO I (siendo ambos marcos
conceptualmente compatibles), sin embargo, este marco se enfoca a la gestión de los
riesgos y no la intención de reducir riesgos como se plantea en COSO I, a través de
técnicas como la administración de un portafolio de riesgos. En el mes de mayo 2013
se publicó el nuevo Marco sobre Control Interno (COSO I) actualizado, dando así paso
a la serie de COSO`s y que tiene por nombre COSO III, que no afecta en nada al
COSO ERM, sino que mejora algunos aspectos y amplía el campo de acción del
primero.

1.2 DEFINICIONES

El Control Interno se define entonces como un proceso integrado a los procesos, y no

un conjunto de pesados mecanismos burocráticos añadidos a los mismos, efectuado
por el consejo de administración, la dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía razonable para el logro de
objetivos. La seguridad a la que aspira solo es la razonable, en tanto siempre existirá
el limitante del costo en que se incurre por el control, que debe estar en concordancia
con el beneficio que aporta; y, además, siempre se corre el riesgo de que las personas
se asocien para cometer fraudes.

7
La implantación de control interno en base a COSO se forma de 5 componentes que
son:
 Ambiente de control (Marca el comportamiento en una organización. Tiene
influencia directa en el nivel de concientización del personal respecto al control.)
 Evaluación de riesgos (Mecanismos para identificar y evaluar riesgos para
alcanzar los objetivos de trabajo, incluyendo los riesgos particulares asociados
con el cambio.)
 Actividades de control (Acciones, Normas y Procedimientos que tienden a
asegurar que se cumplan las directrices y políticas de la Dirección para afrontar
los riesgos identificados.)
 Información y comunicación (Sistemas que permiten que el personal de la
entidad capte e intercambie la información requerida para desarrollar, gestionar
y controlar sus operaciones.)
 Supervisión (Evalúa la calidad del control interno en el tiempo. Es importante
para determinar si éste está operando en la forma esperada y si es necesario
hacer modificaciones.)

A la ERM o Administración de Riesgos Corporativos, la definimos como “un proceso

efectuado por consejo de administración de una entidad, su dirección y restante
personal, aplicable a la definición de estrategias en toda la empresa y diseñado para
identificar eventos potenciales que puedan afectar a la organización, gestionarlos
dentro del riesgo aceptado y proporcionar una seguridad razonable sobre la
consecución de objetivos de la entidad”.

Por lo que debemos apreciar que el COSO ERM ayuda a la creación de valor,
permitiendo manejarse eficazmente con eventos futuros potenciales que crean
incertidumbre, responde con comportamientos que reduzcan la probabilidad de
resultados desventajosos e incrementen los beneficios.

8
1.3 RELACIONES ENTRE COSO I Y COSO II

COSO I COSO II

Ambiente Interno

Ambiente de Control
Establecimientos de
Objetivos

Identificación de Riesgos

Evaluación de Riesgos Evaluación de Riesgos

Respuestas a los Riesgos

Actividades de Control Actividades de Control

Información y Comunicación Información y Comunicación

Monitoreo Monitoreo

9
1.4 OBJETIVOS Y CLASIFICACIÓN

A diferencia de COSO I, en ERM se definen los siguientes objetivos:

 EFECTIVIDAD Y EFICIENCIA DE LAS OPERACIONES

 CONFIABILIDAD DE LA ELABORACION DE INFORMACION CONTABLE
 CUMPLIMIENTO DE LEYES Y REGULACIONES APLICABLES
 SALVAGUARDA DE LOS ACTIVOS

Y complementando con nuevos elementos el COSO III, agrega los siguientes:

 EL ESTABLECIMIENTO DE OBJETIVOS EMPRESARIALES

 LA IDENTIFICACION DE EVENTOS QUE PUEDEN AFECTARLES
 LAS RESPUESTAS A LOS RIESGOS

10
1.5 ESTRUCTURA Y ELEMENTOS DEL CONTROL INTERNO SEGÚN COSO

El informe COSO plantea una estructura de control de la siguiente forma:

Información y Comunicación

Objetivo Evaluació Actividades Supervis

s de n de de Control. ión o
Trabajo Riesgos. (Acciones, Monitore
para el (Eventos normas y o
año que ponen procedimient (Evaluar
en riesgo os para la calidad
los afrontar los del
Ambiente de Control Adecuado

Para Garantizar:

1. Operaciones Eficientes y Eficaces

2. Confiabilidad de la Informacion Contable.
3. Cumplimiento de las leyes y las normas.

11
 CAPÍTULO II

2 EL PAPEL DE LA AUDITORÍA INTERNA DENTRO DE LOS SISTEMAS DE

CONTROL INTERNO BASADOS EN COSO

Basados en los nuevos conceptos de Control Interno, éste se define como el proceso
efectuado por la dirección y el resto del personal, para garantizar una seguridad
razonable de las operaciones que permitan el alcance de los objetivos propuestos.

Partiendo de esto, en todos los casos la responsabilidad por la implementación,

evaluación y mantenimiento del proceso es la dirección de la entidad y específicamente
del Director General. La responsabilidad de los Auditores Internos en este proceso es
la de revisar el control implementado, señalar deficiencias y promover mejoras, pero en
todos los casos será el personal de cada área el encargado del mantenimiento del
sistema y la implantación de las mejoras. De forma que tampoco ningún área de la
empresa o institución debe considerarse encargada o responsable del Control Interno.

La Auditoría Interna se considerará entonces como una parte del sistema de control
interno que funciona al revisar y evaluar los controles internos establecidos por otros,
asesorar y señalar deficiencias y presentar recomendaciones de mejoras. Los
auditores internos no se encargan de efectuar controles para poder proteger su propia
independencia. Es por tanto, una de las novedades de los sistemas de Control Interno
basados en COSO, que la dirección sea la primera encargada de la auto evaluación del
sistema, papel que hasta hace unos años le correspondía exclusivamente a los
auditores internos e independientes.

Las Unidades de Auditoría Interna deben brindar sus servicios a toda la organización.
Constituyen un "mecanismo de seguridad" con el que cuenta la autoridad superior para
estar informada, con razonable certeza, sobre la confiabilidad del diseño y
funcionamiento de su sistema de control interno.

12
Por lo cual las Unidades de Auditoría Interna estarán facultadas para impugnar que:
1. Los objetivos de cada unidad, área o departamento de la empresa estén
trazados de manera adecuada, y respondan a los objetivos generales de la
entidad. Y además, que estén enmarcados en las categorías de objetivos
establecidas.
2. El análisis de los riesgos se realice con profundidad, y se enmarque en los
objetivos organizacionales.
3. Las Actividades de Control (sean planes de acción, normas o manuales de
procedimientos) se elaboren teniendo en cuenta su función de minimizar los
riesgos identificados.
4. Exista una adecuada y eficaz autoevaluación del sistema implantado en cada
área y que la misma sirva a la retroalimentación y mejoría del sistema. (Estas
autoevaluaciones servirán de base a los auditores internos para proponer
mejoras a partir del diagnóstico de cada área.)
5. Fluya de manera eficiente la información para garantizar la compresión y
actualización que requiere el personal de todas las áreas.

Así, la Auditoría Interna vigila, en representación de la autoridad superior, el adecuado

funcionamiento del sistema, informando oportunamente a aquella sobre su situación.
De esta manera juega su papel de asesora y supervisora del sistema, que se traduce
en su aporte en el alcance de los objetivos previstos.

2.1 MÉTODO PARA LA IMPLEMENTACIÓN Y POSTERIOR EVALUACIÓN DEL

CONTROL INTERNO

De los métodos más utilizados hoy en el mundo para el desarrollo del control interno en
las organizaciones, el Taller es al parecer el que ha tenido mejores resultados o, al
menos, el más utilizado.

Estos talleres se crearán por grupos de no más de 18 personas, formados por los
dirigentes y trabajadores de las áreas. En todos los casos, como parte de la
implementación del componente Ambiente de Control, todo este personal habrá sido

13
capacitado sobre los conceptos vigentes de Control, y su papel en el mismo. Además,
se tendrá pleno conocimiento de los objetivos y estrategias trazados específicos del
área.

Dirigirá el taller un facilitador, encargado que el mismo se realice metodológicamente

de forma correcta. En cada caso el facilitador será un miembro del Comité de Control,
u otra persona designada que tenga el conocimiento necesario del tema.

En una primera etapa, se enunciarán las metas a alcanzar del área, y se trabajará para
que los participantes en el taller identifiquen de manera espontánea los riesgos y
obstáculos que pueden poner en peligro el alcance de cada uno de los objetivos. De
manera que de cada objetivo tenga localizado uno, varios o ningún riesgo asociado. El
facilitador velará que no se identifiquen riesgos que no pongan en peligro la
consecución de al menos un objetivo y que se identifiquen riesgos para todas las
categorías siempre que proceda. Cada riesgo identificado se evaluará según la
frecuencia y el impacto del mismo. La Dirección de la unidad o área será responsable
de registrar todos riesgos identificados y a qué objetivo está vinculado; así como la
frecuencia y el impacto con que se evaluó.

En una segunda etapa; el facilitador propondrá a los participantes identificar de manera

espontánea acciones o medidas, que pudieran disminuir la posibilidad de ocurrencia de
los eventos localizados como riesgos, de forma que a cada uno de los riesgos se le
localicen una o varias acciones de control. El facilitador velará además que no existan
acciones de control que no estén asociadas a ningún riesgo específico. La dirección de
la unidad o área es responsable de registrar las acciones de control propuestas y a qué
riesgo se vincula, lo cual se utilizara en la confección de planes de acción, normas y
procedimientos específicos.

Los talleres se utilizaran además para la autoevaluación del sistema implantado, y la

misma es recomendable que se realice al menos de forma semestral. Se fomentará el

14
debate, de forma que los trabajadores enjuicien la correcta evaluación de los riesgos y
la eficacia de las actividades de control establecidas.

El correcto desarrollo de los talleres debe facilitar, por tanto, la implementación de los
componentes de evaluación de riesgo y Actividades de Control; así como una parte
más importante del componente de supervisión y monitoreo.

Se considera imprescindible que las Unidades de Auditoría Interna participen en los

talleres, de manera que puedan enjuiciar la calidad con que se desarrollan los mismos;
así como se retroalimenten de las autoevaluaciones que les brindaran información
invaluable para la realización de su función supervisora.

15
 CAPÍTULO III

3 ELEMENTOS O COMPONENTES DE COSO II

El modelo COSO II o ERM contiene ocho componentes, cinco de los ocho

componentes fueron tomados desde el marco integral de control interno:
1. Ambiente Interno (entorno de control)
2. Establecimiento de Objetivos
3. Identificación de Eventos
4. Evaluación de Riesgos
5. Respuesta al Riesgo
6. Actividades de Control
7. Información y Comunicación
8. Supervisión

16
3.1 EL AMBIENTE INTERNO

Abarca el carácter de una organización, que influye en la conciencia de sus

empleados sobre el riesgo, y forma la base de los otros componentes de la gestión
de riesgos corporativos, proporcionando disciplina y estructura. Los factores del
ambiente interno incluyen la filosofía de gestión de riesgos de una entidad, su
riesgo aceptado, la supervisión ejercida por el consejo de administración, la
integridad, valores éticos y competencia de su personal y la forma en que la
dirección asigna la autoridad, la responsabilidad, así como organiza y desarrolla a
sus empleados.

Como la organización y el personal percibe y trata los riesgos.

 Filosofía de Gestión de la Alta Administración
 Como la Entidad considera el Riesgo, Apetito al Riesgo
 Integridad y Valores Éticos
 Estructura de la Organización, Asignación de Responsabilidades
 Conflictos de Interés
 Transparencia
 Responsabilidad Social

3.2 ESTABLECIMIENTO DE OBJETIVOS

Los objetivos se fijan a escala estratégica, estableciendo con ellos una base para los
objetivos operativos, de información y de cumplimiento. Cada entidad se enfrenta a
una gama de riesgos procedentes de fuentes externas e internas y una condición
previa para la identificación eficaz de eventos, la evaluación de sus riesgos y la
respuesta a ellos es fijar los objetivos, que tienen que estar alineados con el riesgo
aceptado por la entidad, que orienta a su vez los niveles de tolerancia al riesgo de
la misma.

17
Asegurar que la alta dirección ha establecido un proceso para fijar los objetivos de la
entidad, que estos apoyan y están alineados con la misión definida.

 Determinación de los objetivos estratégicos y objetivos específicos relacionados

(efecto cascada).
 Aversión y tolerancia al Riesgo.

3.3 IDENTIFICACIÓN DE EVENTOS

La dirección identifica los eventos potenciales que, de ocurrir, afectarán a la entidad

y determina si representan oportunidades o si pueden afectar negativamente a la
capacidad de la empresa para implantar la estrategia y lograr los objetivos con
éxito. Los eventos con impacto negativo representan riesgos, que exigen la
evaluación y respuesta de la dirección. Los eventos con impacto positivo
representan oportunidades, que la dirección reconduce hacia la estrategia y el
proceso de fijación de objetivos. Cuando identifica los eventos, la dirección
contempla una serie de factores internos y externos que pueden dar lugar a riesgos
y oportunidades, en el contexto del ámbito global de la organización.

Acontecimientos internos y externos que pueden afectar a los objetivos de la entidad.

 Identificar y separar Riesgos de las Oportunidades

 Impacto Negativo: Riesgos, evaluarlos y administrarlos

 Impacto Positivo: Oportunidades, recanalizados a estrategias y objetivos.

 Identificar Riesgos Internos y Externos

 Información Histórica

 Indicadores de Comportamiento de Excepción

 Tendencias de Mercados y Tecnológicas

 Análisis de los Flujos de Procesos

18
3.4 EVALUACIÓN DE RIESGOS

La evaluación de riesgos permite a una entidad considerar la amplitud con que los
eventos potenciales impactan en la consecución de objetivos. La dirección evalúa
estos acontecimientos desde una doble perspectiva, probabilidad e impacto y
normalmente usa una combinación de métodos cualitativos y cuantitativos. Los
impactos positivos y negativos de los eventos potenciales deben examinarse,
individualmente o por categoría, en toda la entidad. Los riesgos se evalúan con un
doble enfoque: riesgo inherente y riesgo residual.

Evaluar los riesgos considerado su probabilidad e impacto en el logro de los objetivos

de la entidad y determinar cómo gestionarlos:
 Riesgo Inherente.
 Riesgo Residual.
 Evaluación cuantitativa y cualitativa del riesgo.

3.5 RESPUESTA O ESTRATEGIA A LOS RIESGOS

Una vez evaluados los riesgos relevantes, la dirección determina cómo responder a
ellos. Las respuestas pueden ser las de evitar, reducir, compartir y aceptar el riesgo.
Al considerar su respuesta, la dirección evalúa su efecto sobre la probabilidad e
impacto del riesgo, así como los costes y beneficios, y selecciona aquella que sitúe
el riesgo residual dentro de las tolerancias al riesgo establecidas. La dirección
identifica cualquier oportunidad que pueda existir y asume una perspectiva del
riesgo globalmente para la entidad o bien una perspectiva de la cartera de
riesgos, determinando si el riesgo residual global concuerda con el riesgo aceptado
por la entidad.

Selección de respuestas posibles:

 Marco de Aversión y Tolerancia al Riesgo
 Aceptar
 Compartir
 Reducir

19
  Evitar
 Portafolio de Riesgos
 Interrelación de Riesgos Individuales
 Impacto de un Conjunto de Riesgos de Baja Ponderación

3.6 ACTIVIDADES DE CONTROL

Las actividades de control son las políticas y procedimientos que ayudan a

asegurar que se llevan a cabo las respuestas de la dirección a los riesgos. Las
actividades de control tienen lugar a través de la organización, a todos los niveles
y en todas las funciones. Incluyen una gama de actividades tan diversas como
aprobaciones, autorizaciones, verificaciones, conciliaciones, revisiones del
funcionamiento operativo, seguridad de los activos y segregación de funciones.

Políticas y procedimientos establecidos para asegurar que las respuestas a los riesgos
se llevan eficazmente:

 Tipos de Actividades

 Preventivas
 Detectivas
 Manuales
 Computacionales
 Controles Gerenciales

 Se realizan a lo largo de toda la organización

3.7 INFORMACIÓN Y COMUNICACIÓN

La información pertinente se identifica, capta y comunica de una forma y en un

marco de tiempo que permiten a las personas llevar a cabo sus responsabilidades.
Los sistemas de información usan datos generados internamente y otras entradas de
fuentes externas y sus salidas informativas facilitan la gestión de riesgos y la toma
de decisiones informadas relativas a los objetivos. También existe una comunicación

20
eficaz fluyendo en todas direcciones dentro de la organización. Todo el personal
recibe un mensaje claro desde la alta dirección de que deben considerar
seriamente las responsabilidades de gestión de los riesgos corporativos. Las
personas entienden su papel en dicha gestión y cómo las actividades individuales
se relacionan con el trabajo de los demás. Asimismo, deben tener unos medios
para comunicar hacia arriba la información significativa. También debe haber una
comunicación eficaz con terceros, tales como los clientes, proveedores,
reguladores y accionistas.

Identificación, captura y comunicación en forma y plazo adecuado para permitir al

personal a afrontar sus responsabilidades.

 Fuentes Internas y Externas

 Fluir dentro de la Organización
 Difusión Interna y Externa

3.8 3.8 MONITOREO O SUPERVISIÓN

La gestión de riesgos corporativos se supervisa, revisando la presencia y

funcionamiento de sus componentes a lo largo del tiempo, lo que se lleva a cabo
mediante actividades permanentes de supervisión, evaluaciones independientes o
una combinación de ambas técnicas.

Durante el transcurso normal de las actividades de gestión, tiene lugar una

supervisión permanente. El alcance y frecuencia de las evaluaciones independientes
dependerá fundamentalmente de la evaluación de riesgos y la eficacia de los
procedimientos de supervisión permanente. Las deficiencias en la gestión de riesgos
corporativos se comunican de forma ascendente, trasladando los temas más
importantes a la alta dirección y al consejo de administración.

Supervisión de la gestión de riesgos en todos los niveles, realizando las modificaciones

que se necesiten.

21
22
 CAPÍTULO IV

4 COMUNICACIÓN DE LOS ASPECTOS A MEJORAR EN DEFICIENCIAS DE

CONTROL

4.1 CONCEPTO GENERAL

Este nuevo enfoque no intenta ni sustituye el marco de control interno, sino que lo
incorpora como parte de él, permitiendo a las compañías mejorar sus prácticas de
control interno o decidir encaminarse hacia un proceso más completo de gestión de
riesgo.

A medida que acelera el ritmo de cambio, la mayoría de las organizaciones necesitarán

mejorar su capacidad de aprovechar oportunidades, evitar riesgos y manejar la
incertidumbre. Esta nueva metodología proporciona la estructura conceptual y el
camino para lograrlo.

La premisa principal de la gestión integral de riesgo es que cada entidad, con o sin
fines de lucro, existe para proveer valor a sus distintos “grupos de interés”. Sin
embargo, todas estas entidades enfrentan incertidumbres y el desafío para la
administración es determinar qué cantidad de incertidumbre esta la entidad preparada
para aceptar, como esfuerzo, en su búsqueda de incrementar el valor de esos “grupos
de interés”. Esa incertidumbre se manifiesta tanto como riesgo y oportunidad, con el
potencial de erosionar o generar valor.

La gestión integral de riesgo permite a la administración tratar efectivamente la

incertidumbre, riesgo y oportunidad, de tal modo de aumentar la capacidad de la
entidad de construir valor.

La incertidumbre es generada por factores externos a la entidad como la globalización,

tecnología, reestructuraciones, cambios en los mercados, competencia y regulaciones,

23
y por factores internos como las elecciones estratégicas de la organización. La
incertidumbre emana de la inhabilidad para determinar con precisión la probabilidad
asociada a la ocurrencia de un evento y a sus impactos correspondientes. El valor es
creado, preservado o erosionado por las decisiones de la administración en todas las
actividades, desde la planificación estratégica a la operación del día a día.

La creación de valor ocurre por la asignación de recursos, incluyendo personal, capital,

tecnología, y marca, donde el beneficio derivado es mayor que los recursos utilizados.
La preservación de valor ocurre cuando el valor creado es sostenido en el tiempo, a
través de calidad superior del producto o servicio, capacidad de producción,
satisfacción al cliente, entre otras. El valor puede ser erosionado cuando estos
objetivos no son alcanzados debido a una pobre estrategia o a su débil ejecución.

Es importante mencionar que el COSO II es una especie de tratado de ciencia

actuarial + Seguridad TIC + Código de Buenas Prácticas de Gobierno Corporativo,
dicho sea en el mejor sentido. Esto queda reflejado en algunos párrafos: “... La gestión
de los riesgos corporativos es que las entidades existen con el fin último de generar
valor para sus grupos de interés” pero “La búsqueda de equilibrio entre intereses, a me-
nudo contrarios, puede resultar complicada y frustrante”. Grupo de interés se define
como un “Conjunto de personas físicas o jurídicas que colaboran con una entidad o
están afectadas por ella, tales como accionistas, comunidad en que opera,...”. Casi,
casi, llegamos a la denominada responsabilidad social corporativa (RSC).

La gestión de riesgos corporativos incluye las siguientes capacidades a mejorar:

 Alinear el riesgo aceptado y la estrategia

En su evaluación de alternativas estratégicas, la dirección considera el riesgo aceptado
por la entidad, estableciendo los objetivos correspondientes y desarrollando
mecanismos para gestionar los riesgos asociados.

24
  Mejorar las decisiones de respuesta a los riesgos
La gestión de riesgos corporativos proporciona rigor para identificar los riesgos y
seleccionar entre las posibles alternativas de respuesta a ellos: evitar, reducir,
compartir o aceptar.

 Reducir las sorpresas y pérdidas operativas

Las entidades consiguen mejorar su capacidad para identificar los eventos potenciales
y establecer respuestas, reduciendo las sorpresas y los costes o pérdidas asociados.

 Identificar y gestionar la diversidad de riesgos para toda la entidad

Cada entidad se enfrenta a múltiples riesgos que afectan a las distintas partes de la
organización y la gestión de riesgos corporativos facilita respuestas eficaces e
integradas a los impactos interrelacionados de dichos riesgos.

 Aprovechar las oportunidades

Mediante la consideración de una amplia gama de potenciales eventos, la dirección
está en posición de identificar y aprovechar las oportunidades de modo proactivo.

 Mejorar la dotación de capital

La obtención de información sólida sobre el riesgo permite a la dirección evaluar
eficazmente las necesidades globales de capital y mejorar su asignación. Estas
capacidades, inherentes en la gestión de riesgos corporativos, ayudan a la dirección a
alcanzar los objetivos de rendimiento y rentabilidad de la entidad y prevenir la pérdida
de recursos. La gestión de riesgos corporativos permite asegurar una información
eficaz y el cumplimiento de leyes y normas, además de ayudar a evitar daños a la
reputación de la entidad y sus consecuencias derivadas. En suma, la gestión de
riesgos corporativos ayuda a una entidad a llegar al destino deseado, evitando baches
y sorpresas por el camino.

25
  Eventos Riesgos y Oportunidades
Los eventos pueden tener un impacto negativo, positivo o de ambos tipos a la vez. Los
que tienen un impacto negativo representan riesgos que pueden impedir la creación de
valor o erosionar el valor existente. Los eventos con impacto positivo pueden
compensar los impactos negativos o representar oportunidades, que derivan de la
posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los
objetivos, ayudando a la creación de valor o a su conservación. La dirección canaliza
las oportunidades que surgen, para que reviertan en la estrategia y el proceso de
definición de objetivos, y formula planes que permitan aprovecharlas.

4.2 NOVEDADES DE COSO III

En mayo de 2013 se publicó la tercera versión COSO III, las novedades que
introducirá este Marco Integrado de Gestión de Riesgos son:
 Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los
entornos
 Mayor confianza en la eliminación de riesgos y consecución de objetivos
 Mayor claridad en cuanto a la información y comunicación.

La actualización pretende incrementar la facilidad de uso y ampliar la aplicación,

aproximaciones adicionales y ejemplo de operaciones relevantes, cumplimiento de las
actividades y objetivos adicionales en reportes no financieros. El entorno del sistema
COSO cambia en globalización de los mercados y operaciones, expectativas en las
cualidades operativas y responsabilidades, adicional al objetivo principal que son
expectativas relacionadas a la prevención y detección de fraudes, dentro de otras.
Aparte de considerar que los objetivos deben ser consecuentes con la estrategia fijada
por la Organización.

26
El cubo de acuerdo a los cambios del 2013 queda de la siguiente forma:

Además cuando se citan las mejoras que acompañan al nuevo Marco actualizado, se
comenta que este ahora viene acompañado de dos nuevos y novedosos documentos:
el correspondiente al Control Interno sobre la información financiera externa (ICEFR) y
las Herramientas de evaluación a emplear para valorar la eficacia del control interno. La
nueva entrada en vigencia del nuevo Marco es el 15 de diciembre de 2014.

27
 CAPÍTULO V

5 CONTROL INTERNO AL PLANIFICAR LA AUDITORÍA

Dentro de la Normas Internacionales de Auditoría, específicamente en la NIA 300

“Planeación de una Auditoría de Estados Financieros”, se establece que la planeación
adecuada ayuda a asegurar que se dedique la atención apropiada a áreas importantes
de la auditoría, que se identifiquen los potenciales problemas y se resuelvan
oportunamente, interactuando incluso, conjuntamente con el gobierno corporativo.

Al momento de planificar una auditoría se deben tener en cuenta los lineamientos que
proporciona la NIA 315 “Entendimiento de la entidad y su entorno y evolución de los
riesgos de representación errónea de importancia relativa”, en donde se establece que,
obtener un entendimiento de la entidad y su entorno incluyendo su control interno, es
un proceso continuo, dinámico de compilación, actualización y análisis de información
en toda la auditoría, para reducir el riesgo en un nivel bajo o aceptable.

Esta norma indica que, el auditor usa el entendimiento del control interno para
identificar los tipos de representaciones erróneas potenciales, considerar factores que
afectan a los riesgos de representación errónea de importancia relativa, y diseñar la
naturaleza, oportunidad y extensión de procedimientos adicionales de auditoría.

El control interno es el proceso diseñado y efectuado por los encargados del gobierno
corporativo, la administración y otro personal para proporcionar seguridad razonable
sobre el logro de los objetivos de la entidad respecto de la confiabilidad de la
información financiera, efectividad y eficiencia de las operaciones y cumplimiento de las
leyes y reglamentaciones aplicables. El control interno se diseña e implementa para
atender a riesgos de negocio identificados que amenazan el logro de cualquiera de
estos objetivos.

28
El control interno, según se discute en esta NIA, consiste de los siguientes
componentes:

a) El ambiente de control.
b) El proceso de evaluación del riesgo por la entidad.
c) El sistema de información, incluyendo los procesos del negocio relacionados,
relevantes a la información financiera y la comunicación.
d) Actividades de control.
e) Monitoreo de controles.

La división del control interno en los cinco componentes, descritos anteriormente,

proporcionan un marco de referencia útil para que los auditores consideren cómo
pueden afectar la auditoría los diferentes aspectos del control interno de una entidad.
Existe una relación directa entre los objetivos de una entidad y los controles que
implementa para proporcionar seguridad razonable sobre su logro. Los objetivos de la
entidad, y por lo tanto sus controles, se relacionan con información financiera,
operaciones y cumplimiento; sin embargo, no todos estos objetivos y controles son
relevantes para la evaluación del riesgo por el auditor.

El propósito de la revisión del control interno es determinar si se cumplen los objetivos

elementales del mismo.

Dichos objetivos son los siguientes:

 Garantizar información financiera confiable y oportuna.

 Salvaguarda de activos.
 Promover la eficiencia operativa de la entidad.
 Cumplimiento de objetivos, políticas, planes, procedimientos, leyes y
reglamentos.
 El logro de los objetivos y metas establecidas para las operaciones o programas.

29
Para llevar a cabo la planificación de la auditoría en el control interno, se debe conocer
el control interno lo suficiente, se debe tener conocimiento del diseño de los controles
relevantes y determinar si han sido puestos en práctica por la compañía.

Al planear la auditoría este conocimiento sirve para:

 Identificar los tipos de posibles errores.

 Examinar los factores que influyen en el riesgo de error material.
 Diseñar pruebas de controles, cuando se apliquen.
 Diseñar pruebas sustantivas.

Es importante que el auditor tome en cuenta que no todas las áreas son de necesaria
evaluación, el auditor basándose en la evaluación preliminar del control interno,
experiencia y buen criterio, establecerá el alcance de la evaluación en función de los
objetivos del trabajo que le permitan determinar cuáles serán las áreas críticas.

La selección de las áreas dependerá fundamentalmente de los objetivos y alcance de

la evaluación, de las características estructurales y funcionales del ente auditado y de
la incidencia, directa o indirecta, que tengan las áreas señaladas en el proceso
productivo donde se practicará la evaluación del control interno.

El auditor debe considerar si se requiere o no habilidades especializadas referentes a

la tecnología de información del cliente, debe tomar en cuenta su evaluación del riesgo
inherente, los juicios sobre la materialidad y la naturaleza de las operaciones de la
compañía. En todas las auditorías el conocimiento del control abarcará su ambiente, la
evaluación del riesgo, el sistema de información contable y de comunicación, las
actividades del control y el monitoreo. Deben obtener suficiente conocimiento de las
actitudes de los ejecutivos, de sus ideas y acciones referente al ambiente de control.
Habrán de concentrarse en la esencia de los controles, no en su forma.

30
Para efectuar una adecuada Planeación del Control Interno, se deben considerar las
siguientes técnicas y procedimientos, los cuales servirán de apoyo para elaborar el
Programa de Auditoría

Para las operaciones financieras se debe examinar la prueba de los sistemas

integrados, registros de operaciones, otros documentos y procedimientos que generan
la información financiera para determinar:

 Si los registros y controles sobre los ingresos, costos, gastos, activos y pasivos,
son adecuados.
 Si los datos de los informes financieros son confiables, se presentan en forma
razonable y oportuna de acuerdo a Principios de Contabilidad Generalmente
Aceptados, políticas y criterios de los sistemas integrados y otras normas.

Al investigar los documentos relacionados con las transacciones en efectivo,

seguramente recubrirán si las cuentas bancarias están conciliadas. Las circunstancias
de su trabajo determinaran si es necesario que procuren conocer las otras actividades
de control.

Finalmente, los auditores deben conocer a fondo los métodos de monitoreo de la

compañía que se refieren a los informes financieros, pues de lo contrario no
comprenderán como se utilizan para tomar medidas tendientes a mejorar un
desempeño inadecuado. También determinarán como la labor de los auditores internos
contribuye a perfeccionar el control interno.

31
 RESUMEN

COSO (COMMITTEE OF SPONSORING ORGANIZATIONS OF THE TREADWAY

COMMISSION) consiste en un comité creado en Estados Unidos en el año 85 donde
se incluye la participación de auditores internos, contadores, administradores entre
otros.

El Control Interno es un proceso integrado a los procesos de cualquier entidad ya sea

privada o pública. La Auditoría Interna se considera como una parte del sistema de
control interno que funciona al revisar y evaluar los controles internos establecidos por
otros, asesorar y señalar deficiencias y presentar recomendaciones de mejoras. La
Auditoría Interna vigila, en representación de la autoridad superior o Gobierno
Corporativo, el adecuado funcionamiento del sistema, informando oportunamente a
aquella sobre su situación.

COSO ERM es un informe de Gestión de Riegos Corporativos, considerado como

modelo conceptual común, donde proporciona directrices para la evaluación y mejora
en la identificación evaluación y respuesta de los riegos, compuesto de ocho
componentes relacionados entre sí, aplicables a toda la organización y cualquiera de
sus oportunidades individuales con lenguaje común y dirección y guías claras, además
de quienes deben efectuarlo como el consejo de administración de una Organización o
entidad tanto pública como privada.

El modelo COSO II ó ERM contiene ocho componentes, cinco de los ocho

componentes fueron tomados desde el marco integral de control interno:
1. Ambiente interno. 2. Establecimiento de objetivos
3. Identificación de Eventos 4. Evaluación de Riesgos
5. Respuesta al Riesgo 6. Actividades de Control
7. Información y Comunicación 8. Supervisión

32
Las actividades de control son las políticas y procedimientos que ayudan a asegurar
que se llevan a cabo las respuestas de la dirección a los riesgos.

Tipos de Actividades:

a) Preventivas b) Detectivas c) Manuales

d) Computaciones e) Controles Gerenciales

Los eventos de riesgos y oportunidades, pueden tener un impacto negativo, positivo.

Los que tienen un impacto negativo representan riesgos que pueden impedir la
creación de valor o erosionar el valor existente. Los eventos con impacto positivo
pueden compensar los impactos negativos o representar oportunidades, que derivan de
la posibilidad de que ocurra un acontecimiento que afecte positivamente al logro de los
objetivos, ayudando a la creación de valor o a su conservación.

En síntesis podemos decir entonces que:

COSO I
El objeto es ayudar a las entidades a evaluar y mejorar sus sistemas de control interno,
facilitando un modelo sobre la base del cual pudieran valorar sus sistemas de control
interno y generando una definición común de “control interno”. Su primer informe fue
en el año 1992.

COSO II
Se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO
II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a
la gestión de riesgos implicando necesariamente a todo el personal, incluidos los
directores y administradores. Fue publicado en 2004.

33
COSO III
Los cambios realizados y relevantes son los siguientes
- Mejorar la agilidad de los sistemas de gestión de riesgos para adaptarse a los
entornos
- Mayor confianza en la eliminación de riesgos y consecución de objetivos
- Mayor claridad en cuanto a la información y comunicación.

Fue publicado en Mayo de 2013 y entra en vigencia en diciembre del 2014.

34
 CONCLUSIONES

1. En términos generales COSO I, fue diseñado con la intención de reducir riesgos

a través de diferentes técnicas, considerando para ello en la adopción del control
interno una estructura por medio de 5 componentes:
 Ambiente de control
 Evaluación de riesgo
 Actividades de control
 Información y comunicación
 Supervisión
Lo anterior permite a la administración de cada entidad poder garantizar una
eficacia operativa, así como la confiabilidad en la información presentada y el
adecuado cumplimiento en las políticas adoptadas.

2. Por consiguiente, dentro de COSO II a excepción de COSO I, se integra a sus

componentes el establecimiento de objetivos, la identificación de eventos y
respuesta al riesgo, esto con el objetivo de poder ampliar las técnicas utilizadas,
y obtener un panorama más amplio en los procesos desarrollados. Asimismo,
cabe mencionar que uno de los objetivos en el desarrollo de COSO II, es brindar
al Gobierno Corporativo una respuesta y/o solución a los eventos identificados,
así como la medición de los riesgos detectados.

3. Actualmente en COSO III, existen actualizaciones que ayudan al mejoramiento

en cuanto al uso y aplicación de este sistema. Entre los cambios sustanciales
relacionados al mejoramiento, se encuentran el cumplimiento de las actividades
y objetivos adicionales en reportes no financieros. El entorno de COSO se
adopta de forma globalizada a los mercados y operaciones existentes y crea
expectativas en las operaciones desarrolladas contemplando la detección y
prevención de operaciones fraudulentas.

35
 RECOMENDACIONES

1. Las entidades debieran evaluar la implementación de un adecuado sistema de

control interno con base a COSO, ya que basado en ello permitirá obtener
mejores beneficios económicos futuros, así como confiar en que la información
administrativo-financiera y los procesos se encuentren debidamente diseñados,
implementados y monitoreados por recurso humano con capacidad profesional
suficiente para desarrollar dicha actividad.

2. El surgimiento de nuevas técnicas y métodos para operar en un ambiente de

control confiable, han sido mejoradas con el tiempo, debido a ello, las entidades
que adopten la implementación del sistema de control interno con base a COSO
II, deben contemplar la medición y valoración de los riesgos detectados
anteriormente en sus operaciones y/o transacciones y con continuar operando
en un ambiente confiable y seguro.

3. La necesidad de evolucionar se desarrolla constantemente, muestra de ello es la

creación de COSO III, la cual también debe ser considerada como una
modificación a las expectativas creadas en las implementaciones anteriores. La
administración de cada entidad deberá evaluar la pronta y correcta aplicación de
COSO III al momento de que este entre en vigencia, tomando en cuenta que
esto seguirá dando confiabilidad y respaldo en sus actividades, así como una
aportación adicional a los beneficios adquiridos por medio de los sistemas de
información implementados.

36
 REFERENCIAS BIBLIOGRÁFICAS

De La Peña Sánchez, José. ERM-COSO II, Auditor de Cuentas Censor Jurado y

Licenciado en Informática [email protected]

IAASB, Normas Internacionales de Auditoría NIA 300 Y 315 Emitidas Por El

Comité Internacional De Practica De Auditoría (IAASB por sus siglas en Ingles)
Edición 2007

Marín de Guerrero, María Alejandra COSO II o ERM, Gestión De Riesgos

Corporativos, COSO Nuevos conceptos de Control Interno. Informe COSO.
México

Wolinsky, Jaime I., Dr., Administración de Riesgos Enterprise Risk Management

http://www.coso.org
COSO II - El Enfoque Integrado para la Administración Corporativa de Riesgos
Enterprise Risk Management - Integrated Framework

COSO III -Integrated Framework – Internal Control, Executive Summary, Mayo

2013

http://www.auditoriainternasiglo21.blogspot.com/2013
Auditoría interna del siglo XXI

http://www.aec.es
Asociación española para la calidad, en línea [consulta 15/1/14 19:45 horas]

37