La efectividad del enfoque COSO del control interno en las empresas

LA EFECTIVIDAD DEL ENFOQUE COSO DEL
CONTROL INTERNO EN LAS EMPRESAS
ANTECEDENTES DE LA INVESTIGACIÓN
Los antecedentes son los siguientes:
Ponce (2013)1, señala que el control empresarial consiste en la supervisión, vigilancia y
verificación de los actos y resultados de la gestión de las empresas unipersonales y personas
jurídicas, en atención al grado de eficiencia, eficacia, transparencia y economía en el uso y
destino de los recursos y bienes, así como del cumplimiento de las normas legales y de los
lineamientos de política y planes de acción, evaluando los sistemas de administración,
gerencia y control, con fines de su mejoramiento a través de la adopción de acciones
preventivas y correctivas pertinentes. El control empresarial es un componente del buen
gobierno empresarial y en tanto se facilite la administración de los recursos, actividades y
procesos será una poderosa herramienta.
El control es interno y externo y su desarrollo constituye un proceso integral y permanente.
El control interno comprende las acciones de cautela previa, simultánea y de verificación
posterior que realiza la entidad sujeta a control, con la finalidad que la gestión de sus recursos,
bienes y operaciones se efectúe correcta y eficientemente. Su ejercicio es previo, simultáneo y
posterior. El control interno previo y simultáneo compete exclusivamente a las autoridades,
funcionarios y servidores de las entidades como responsabilidad propia de las funciones que
le son inherentes, sobre la base de las normas que rigen las actividades de la organización y
los procedimientos establecidos en sus planes, reglamentos, manuales y disposiciones
institucionales, los que contienen las políticas y métodos de autorización, registro,
verificación, evaluación, seguridad y protección. El control posterior es ejercido por los
responsables superiores del servidor o funcionario ejecutor, en función del cumplimiento de
las disposiciones establecidas, así como por el órgano de Control Empresarial según su plan
anual de control, evaluando y verificando los aspectos administrativos del uso de los recursos
y bienes, así como la gestión y ejecución llevadas a cabo, en relación con las metas y
objetivos trazadas; así como de los resultados obtenidos.
1 Ponce Fuentes, Fernando (2013) Tesis: Auditoría y control empresarial. Presentada en la
Universidad Inca Garcilaso de la Vega para optar el Grado de Doctor en Contabilidad.
2
Wong (2013)2, señala que el control empresarial al igual que el control gubernamental, se
lleva a cabo en el marco de los siguientes principios: i) La universalidad, entendida como la
potestad de los órganos de control para efectuar, con arreglo a su competencia y atribuciones,
el control sobre todas las actividades de la respectiva entidad, así como de todos sus
funcionarios y servidores, cualquiera fuere su jerarquía; ii) El carácter integral, en virtud del
cual el ejercicio del control consta de un conjunto de acciones y técnicas orientadas a evaluar,
de manera cabal y completa, los procesos y operaciones, materia de examen en la entidad y
sus beneficios económicos y/o sociales obtenidos, en relación con el gasto generado, las metas
cualitativas y cuantitativas establecidas, su vinculación con políticas gubernamentales,
variables exógenas no previsibles o controlables e índices históricos de eficiencia; iii) La
autonomía funcional, expresada en la potestad de los órganos de control para organizarse y
ejercer sus funciones con independencia técnica y libre de influencias. Ninguna entidad o
autoridad, funcionario o servidor público, ni terceros, pueden oponerse, interferir o dificultar
el ejercicio de sus funciones y atribuciones de control; iv) El carácter permanente, que
define la naturaleza continua y perdurable del control como instrumento de vigilancia de los
procesos y operaciones de la entidad; v) El carácter técnico y especializado del control,
como sustento esencial de su operatividad, bajo exigencias de calidad, consistencia y
razonabilidad en su ejercicio; considerando la necesidad de efectuar el control en función de
la naturaleza de la entidad en la que se incide; vi) La legalidad, que supone la plena sujeción
del proceso de control a la normativa constitucional, legal y reglamentaria aplicable a su
actuación; vii) El debido proceso de control, por el que se garantiza el respeto y observancia
de los derechos de las entidades y personas, así como de las reglas y requisitos establecidos;
viii) La eficiencia, eficacia y economía a través de los cuales el proceso de control logra sus
objetivos con un nivel apropiado de calidad y óptima utilización de recursos; ix) La
oportunidad, consistente en que las acciones de control se lleven a cabo en el momento y
circunstancias debidas y pertinentes para cumplir su cometido; x) La objetividad, en razón de
la cual las acciones de control se realizan sobre la base de una debida e imparcial evaluación
de fundamentos de hecho y de derecho, evitando apreciaciones subjetivas; xi) La
materialidad, que implica la potestad del control para concentrar su actuación en las
transacciones y operaciones de mayor significación económica o relevancia en la entidad
examinada; xii) El carácter selectivo del control, entendido como el que ejerce el Sistema en
las entidades, sus órganos y actividades críticas de los mismos, que denoten mayor riesgo de
2 Wong Tenorio, Andrea (2013) Tesis: Control interno y eficiencia empresarial. Presentada en
la Universidad San Martin de Porres para optar el Grado de Doctor en Contabilidad.
3
incurrir en actos contra la probidad administrativa; xiii) La presunción de licitud, según la
cual, salvo prueba en contrario, se reputa que las autoridades, funcionarios y servidores de las
entidades, han actuado con arreglo a las normas legales y administrativas pertinentes; xiv) El
acceso a la información, referido a la potestad de los órganos de control de requerir, conocer
y examinar toda la información y documentación sobre las operaciones de la entidad, aunque
sea secreta, necesaria para su función; xv) La reserva, por cuyo mérito se encuentra prohibido
que durante la ejecución del control se revele información que pueda causar daño a la entidad,
a su personal o al Sistema, o dificulte la tarea de este último; xvi) La continuidad de las
actividades o funcionamiento de la entidad al efectuar una acción de control; xvii) La
publicidad, consistente en la difusión oportuna de los resultados de las acciones de control u
otras realizadas por los órganos de control, mediante los mecanismos que la Contraloría
General considere pertinente; xviii) La participación ciudadana, que permita la contribución
de la ciudadanía en el ejercicio del control gubernamental; xix) La flexibilidad, según la cual,
al realizarse el control, ha de otorgarse prioridad al logro de las metas propuestas, respecto de
aquellos formalismos cuya omisión no incida en la validez de la operación objeto de la
verificación, ni determinen aspectos relevantes en la decisión final. Los principios antes
indicados son de observancia obligatoria por los Órganos de Control Empresarial y pueden ser
ampliados o modificados por la Contraloría General, a quien compete su interpretación.
Herrera (2013)3, establece que las empresas comerciales, industriales y de servicios deben
implementar sistemas de control interno en sus procesos, actividades, recursos, operaciones y
actos institucionales, orientando, su ejecución al cumplimiento de los siguientes objetivos: i)
Promover y optimizar la eficiencia, eficacia, transparencia y economía en las operaciones de
la entidad, así como la calidad de los servicios que presta; ii) Cuidar y resguardar los recursos
y bienes de la empresa contra cualquier forma de pérdida, deterioro, uso indebido y actos
ilegales, así como, en general, contra todo hecho irregular o situación perjudicial que pudiera
afectarlos; iii) Cumplir la normatividad aplicable a la entidad y sus operaciones; iv)
Garantizar la confiabilidad y oportunidad de la información; v) Fomentar e impulsar la
práctica de valores institucionales; vi) Promover el cumplimiento de los funcionarios o
servidores de rendir cuenta por los fondos y bienes a su cargo y/o por una misión u objetivo
encargado y aceptado. Son obligaciones del jefe de la entidad y funcionarios de la entidad,
3 Herrera Fernández Gloria (2013) Tesis: Control interno para la efectividad empresarial.
Presentada en la Universidad Nacional Mayor de San Marcos para optar el Grado de Doctor
en Contabilidad.
4
relativas a la implementación y funcionamiento del control interno: i) Velar por el adecuado
cumplimiento de las funciones y actividades de la entidad y del órgano a su cargo, con
sujeción a la normativa legal y cnica aplicables; ii) Organizar, mantener y perfeccionar el
sistema y las medidas de control interno, verificando la efectividad y oportunidad de la
aplicación, en armonía con sus objetivos, así como efectuar la auto evaluación del control
interno, a fin de propender al mantenimiento y mejora continua del control interno; iii)
Demostrar y mantener probidad y valores éticos en el desempeño de sus cargos,
promoviéndolos en toda la organización iv) Documentar y divulgar internamente las políticas,
normas y procedimientos de gestión y control interno, referidas, entre otros aspecto; v)
Disponer inmediatamente las acciones correctivas pertinentes, ante cualquier evidencia de
desviaciones o irregularidades; vi) Implementar oportunamente las recomendaciones y
disposiciones emitidas por la propia entidad (informe de auto evaluación), los órganos de
Control y otros entes de fiscalización que correspondan; vii) Emitir las normas específicas
aplicables a su entidad, de acuerdo a su naturaleza, estructura y funciones, para la aplicación
y/o regulación del control interno en las principales áreas de su actividad administrativa u
operativa, propiciando los recursos y apoyo necesarios para su eficaz funcionamiento.
León & Zevallos (2013)4 resaltan la relevancia del control interno en las distintas
actividades administrativas, financieras, contables, legales de las municipalidades. Este
trabajo tiende a propiciar un moderno y eficaz instrumento de control administrativo que
implica un cambio en la estructura del órgano responsable que el control interno funcione de
manera integral, efectiva y eficiente que asegure en lo posible un control permanente de
todos los procedimientos del organismo municipal a fin de que cada acción sea ejecutada
ejerciendo una estricta y permanente vigilancia del cumplimiento de las medidas de control
previo, concurrente y posterior. El control interno revisa todo el acontecer institucional y
facilita informes, sobre el cual se llevan a cabo ajustes a las actividades con el propósito de
tener economía, eficiencia, efectividad y mejora continua institucional.
4 León Flores, Rossana & Zevallos Cárdenas, Josefina (2013) Tesis: el proceso administrativo
de control interno en la gestión municipal. Presentada para optar el Grado de Maestro en
Administración en la Universidad Nacional Federico Villarreal.
5
Hernández (2013)5; determinó la falta de eficiencia economía y efectividad de de las
empresas en el cumplimiento de la misión institucional por lo que propone un modelo de
control que facilite el gerenciamiento corporativo, lo que permitirá finalmente tener los
mejores productos y mejores servicios para los clientes actuales y potenciales. El control
Interno es el sistema integrado por la estructura organizacional y el conjunto de los planes,
métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación
adoptados, con el fin de procurar que todas las actividades, operaciones y actuaciones, así
como la administración de la información y los recursos, se realicen de acuerdo con las
normas constitucionales y legales vigentes, dentro de las políticas trazadas por la dirección y
en atención a las metas u objetivos previstos. El ejercicio del control interno debe consultar
los principios de igualdad, eficiencia, economía, celeridad, moralidad, publicidad y
valoración de costos ambientales. En consecuencia, deberá concebirse y organizarse de tal
manera que su ejercicio sea intrínseco al desarrollo de las funciones de todos los cargos
existentes en la entidad, y en particular de las asignadas a aquellos que tengan
responsabilidad del mando. El control interno se expresará a través de las políticas
aprobadas por los niveles de dirección y administración de las respectivas entidades y se
cumplirá en toda la escala de la estructura administrativa, mediante la elaboración y
aplicación de técnicas de dirección, verificación y evaluación de regulaciones
administrativas, de manuales de funciones y procedimientos, de sistemas de información y
de programas de selección, inducción y capacitación de personal. Toda entidad bajo la
responsabilidad de sus directivos, debe por lo menos implementar los siguientes aspectos
que deben orientar la aplicación del control interno: Establecimiento de objetivos y metas
tanto generales como específicas, así como la formulación de planes operativos que sean
necesarios; Definición de políticas como guías de acción y procedimientos para la ejecución
de los procesos; Adopción de un sistema de organización adecuado para ejecutar los planes;
Delimitación precisa de la autoridad y los niveles de responsabilidad; Adopción de normas
para la protección y utilización racional de los recursos; Dirección y administración del
personal conforme a un sistema deritos y sanciones; Aplicación de las recomendaciones
resultantes de las evaluaciones de Control Interno; Establecimiento de mecanismos que
faciliten el control ciudadano a la gestión de las entidades; Establecimiento de sistemas
modernos de información que faciliten la gestión y el control; Organización de métodos
5 Hernández Celis, Domingo (2013) Aporte profesional: Control eficaz y gerenciamiento
corporativo. Presentado en la Universidad San Martín de Porres donde labora como docente
de pre y postgrado.
6
confiables para la evaluación de la gestión; Establecimiento de programas de inducción,
capacitación y actualización de directivos y demás personal de la entidad; Simplificación y
actualización de normas y procedimientos.
Céspedes (2013)6, señala que el sistema de control de las empresas, es el conjunto de órganos
de control, normas, métodos y procedimientos, estructurados e integrados funcionalmente,
destinados a conducir y desarrollar el ejercicio del control en forma integral. Su actuación
comprende todas las actividades y acciones en los campos administrativos, presupuestal,
operativo y financiero de las entidades y alcanza al personal que presta servicios en ellas,
independientemente del régimen que las regula. El control eficaz, es un proceso integral
efectuado por el Representante , funcionarios y trabajadores de una empresa, diseñado para
enfrentar a los riesgos y para dar seguridad razonable de que, en la consecución de la misión
de la entidad, se alcanzarán los siguientes objetivos gerenciales: Promover la eficiencia,
eficacia, transparencia y economía en las operaciones de la entidad, así como la calidad de los
servicios públicos que presta; Cuidar y resguardar los recursos y bienes contra cualquier
forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en general, contra todo
hecho irregular o situación perjudicial que pudiera afectarlos; Cumplir la normatividad
aplicable a la entidad y a sus operaciones; Garantizar la confiabilidad y oportunidad de la
información; Fomentar e impulsar la práctica de valores institucionales.
López (2013)7, señala que el control eficaz en el marco del Informe COSO es el conjunto de
acciones, actividades, planes, políticas, normas, registros, organización, procedimientos y
métodos, incluyendo las actitudes de las autoridades y el personal, organizadas e instituidas en
cada entidad del Estado, para la consecución de los objetivos institucionales que procura. Los
componentes están constituidos por: i) El ambiente de control, entendido como el entorno
organizacional favorable al ejercicio de prácticas, valores, conductas y reglas apropiadas para
el funcionamiento del control interno y una gestión escrupulosa; ii) La evaluación de riesgos,
que deben identificar, analizar y administrar los factores o eventos que puedan afectar
6 Céspedes Carmona, Rosario (2013) Tesis: Control eficaz para el gobierno empresarial.
Presentado en la Universidad Nacional del Callao para optar el Grado de Maestro en
Auditoria.
7 López Sánchez, Luis Antonio (2013) Tesis: El control interno en el marco del COSO y la administración
efectiva. Presentada en la Universidad Inca Garcilaso de la Vega para optar el Grado de Doctor en
Contabilidad.
7
adversamente el cumplimiento de los fines, metas, objetivos, actividades y operaciones
institucionales; iii) Las actividades de control gerencial, que son las políticas y
procedimientos de control que imparte el Representante o funcionario que se designe,
gerencia y los niveles ejecutivos competentes, en relación con las funciones asignadas al
personal, con el fin de asegurar el cumplimiento de los objetivos de la entidad; iv) Las
actividades de prevención y monitoreo, referidas a las acciones que deben ser adoptadas en el
desempeño de las funciones asignadas, con el fin de cuidar y asegurar respectivamente, su
idoneidad y calidad para la consecución de los objetivos del control interno; v) Los sistemas
de información y comunicación, a través de los cuales el registro, procesamiento, integración
y divulgación de la información, con bases de datos y soluciones informáticas accesibles y
modernas, sirva efectivamente para dotar de confiabilidad, transparencia y eficiencia a los
procesos de gestión y control interno institucional; vi) El seguimiento de resultados,
consistente en la revisión y verificación actualizadas sobre la atención y logros de las medidas
de control interno implantadas, incluyendo la implementación de las recomendaciones
formuladas en sus informes; vii) Los compromisos de mejoramiento, por cuyo mérito los
órganos y personal de la administración institucional efectúan autoevaluaciones para el mejor
desarrollo del control interno e informan sobre cualquier desviación deficiencia susceptible de
corrección, obligándose a dar cumplimiento a las disposiciones o recomendaciones que se
formulen para la mejora u optimización de sus labores.
EFECTIVIDAD DEL ENFOQUE COSO DEL CONTROL INTERNO:
Según el IAI-España (2013)8, la efectividad del enfoque COSO del control interno se refiere
al logro de las metas, objetivos y misión empresarial mediante el conjunto de acciones,
actividades, planes, políticas, normas, registros, organización, procedimientos y métodos,
incluyendo la actitud de los directivos, funcionarios y el personal, organizados e instituidos en
cada empresa, para la consecución de los objetivos empresariales que procura. Asimismo, sus
componentes están constituidos por: (i) El ambiente de control, entendido como el entorno
organizacional favorable al ejercicio de prácticas, valores, conductas y reglas apropiadas para
el funcionamiento del control interno y una gestión escrupulosa (ii) La evaluación de riesgos,
que deben identificar, analizar y administrar los factores o eventos que puedan afectar
adversamente el cumplimiento de los fines, metas, objetivos, actividades y operaciones
8 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
8
institucionales (iii) Las actividades de control gerencial, que son las políticas y
procedimientos de control que imparte el Representante o funcionario que se designe,
gerencia y los niveles ejecutivos competentes, en relación con las funciones asignadas al
personal, con el fin de asegurar el cumplimiento de los objetivos de la entidad (iv) Las
actividades de prevención y monitoreo, referidas a las acciones que deben ser adoptadas en el
desempeño de las funciones asignadas, con el fin de cuidar y asegurar respectivamente, su
idoneidad y calidad para la consecución de los objetivos del control interno (v) Los sistemas
de información y comunicación, a través de los cuales el registro, procesamiento, integración
y divulgación de la información, con bases de datos y soluciones informáticas accesibles y
modernas, sirva efectivamente para dotar de confiabilidad, transparencia y eficiencia a los
procesos de gestión y control interno institucional (vi) El seguimiento de resultados,
consistente en la revisión y verificación actualizadas sobre la atención y logros de las medidas
de control interno implantadas, incluyendo la implementación de las recomendaciones
formuladas en sus informes (vii) Los compromisos de mejoramiento, por cuyo mérito los
órganos y personal de la administración institucional efectúan autoevaluaciones para el mejor
desarrollo del control interno e informan sobre cualquier desviación deficiencia susceptible de
corrección, obligándose a dar cumplimiento a las disposiciones o recomendaciones que se
formulen para la mejora u optimización de sus labores.
Dicho control es un instrumento de gestión que se utiliza para proporcionar una garantía
razonable del cumplimiento de los objetivos establecidos por el Representante o funcionario
designado. La estructura de control interno es el conjunto de los planes, métodos,
procedimientos y otras medidas, incluyendo la actitud del Dirección, que posee una
institución para ofrecer una garantía razonable de que se cumplen los siguientes objetivos: (i)
Promover las operaciones metódicas, económicas, eficientes y eficaces así como los
productos y servicios con calidad, de acuerdo con la misión de la institución (ii) Preservar los
recursos frente a cualquier pérdida por despilfarro, abuso, mala gestión, error y fraude (iii)
Respetar las leyes, reglamentaciones y directivas de la Dirección, y, (iv) Elaborar y mantener
datos financieros y de gestión fiables presentados correcta y oportunamente en los informes.
El Informe COSO incorporó en una sola estructura conceptual los distintos enfoques
existentes en el ámbito mundial y actualizó los procesos de diseño, implantación y evaluación
del control interno. Asimismo, define al control interno como un proceso que constituye un
medio para lograr un fin, y no un fin en mismo. También señala que es ejecutado por
personas en cada nivel de una organización y proporciona seguridad razonable para la
9
consecución de los siguientes objetivos: (i) eficacia y eficiencia en las operaciones, (ii)
confiabilidad en la información financiera, y (iii) cumplimiento de las leyes y regulaciones.
Este control debe ser construido dentro de la infraestructura de la entidad y debe estar
entrelazado con sus actividades de operación.
Se indica que el control interno está compuesto por cinco componentes interrelacionados: (i)
ambiente de control, (ii) evaluación de riesgos, (iii) actividades de control, (iv) información 
y comunicación, y (v) monitoreo (supervisión).
En septiembre del 2004, el COSO emite el documento “Gestión de Riesgos Corporativos -
Marco Integrado”, promoviendo un enfoque amplio e integral en empresas y organizaciones
gubernamentales. Asimismo este enfoque amplía los componentes propuestos en el Control
Interno Marco Integrado a ocho componentes a saber: (i) ambiente interno, (ii)
establecimiento de objetivos, (iii) identificación de eventos, (iv) evaluación de riesgos, (v)
respuesta a los riesgos, (vi) actividades de control, (vii) información y comunicación, y (viii)
supervisión.
Las Normas de Control Interno, constituyen lineamientos, criterios, métodos y disposiciones
para la aplicación y regulación del control interno en las principales áreas de la actividad
administrativa u operativa de las entidades, incluidas las relativas a la gestión financiera,
logística, de personal, de obras, de sistemas de información y de valores éticos, entre otras. Se
dictan con el propósito de promover una administración adecuada de los recursos en las
entidades. Los Representante es, funcionarios y servidores de cada entidad, según su
competencia, son responsables de establecer, mantener, revisar y actualizar la estructura de
control interno en función a la naturaleza de sus actividades y volumen de operaciones.
Asimismo, es obligación de los Representante es, la emisión de las normas específicas
aplicables a su entidad, de acuerdo con su naturaleza, estructura, funciones y procesos en
armonía con lo establecido en el presente documento. Las Normas de Control Interno se
fundamentan en criterios y prácticas de aceptación general, así como en aquellos lineamientos
y estándares de control.
Las Normas de Control Interno tienen como objetivo propiciar el fortalecimiento de los
sistemas de control interno y mejorar la gestión pública, en relación a la protección del
patrimonio y al logro de los objetivos y metas institucionales. En este contexto, los objetivos
de las Normas de Control Interno son: i) Servir de marco de referencia en materia de control
interno para la emisión de la respectiva normativa institucional, así como para la regulación
10
de los procedimientos administrativos y operativos derivados de la misma; ii) Orientar la
formulación de normas específicas para el funcionamiento de los procesos de gestión e
información gerencial en las entidades; iii) Orientar y unificar la aplicación del control interno
en las entidades.
Es un proceso integral efectuado por el Representante , funcionarios y servidores de una
entidad, diseñado para enfrentar a los riesgos y para dar seguridad razonable de que, en la
consecución de la misión de la entidad, se alcanzarán los siguientes objetivos gerenciales: (i)
Promover la eficiencia, eficacia, transparencia y economía en las operaciones de la entidad,
así como la calidad de los servicios que presta (ii) Cuidar y resguardar los recursos y bienes
contra cualquier forma de pérdida, deterioro, uso indebido y actos ilegales, así como, en
general, contra todo hecho irregular o situación perjudicial que pudiera afectarlos (iii)
Cumplir la normatividad aplicable a la entidad y a sus operaciones (iv) Garantizar la
confiabilidad y oportunidad de la información (v) Fomentar e impulsar la práctica de valores
institucionales (vi) Promover el cumplimiento de los funcionarios o servidores de rendir
cuentas por los fondos y bienes a su cargo o por una misión u objetivo encargado y aceptado.
La adecuada implantación y funcionamiento sistémico del control interno en las entidades
exige que la administración institucional prevea y diseñe apropiadamente una debida
organización para el efecto, y promueva niveles de ordenamiento, racionalidad y la aplicación
de criterios uniformes que contribuyan a una mejor implementación y evaluación integral. En
tal sentido, se considera que son principios aplicables al sistema de control interno: (i) el
autocontrol, en cuya virtud todo funcionario y servidor debe controlar su trabajo, detectar
deficiencias o desviaciones y efectuar correctivos para el mejoramiento de sus labores y el
logro de los resultados esperados; (ii) la autorregulación, como la capacidad institucional para
desarrollar las disposiciones, métodos y procedimientos que le permitan cautelar, realizar y
asegurar la eficacia, eficiencia, transparencia y legalidad en los resultados de sus procesos,
actividades u operaciones; y (iii) la autogestión, por la cual compete a cada entidad conducir,
planificar, ejecutar, coordinar y evaluar las funciones a su cargo con sujeción a la normativa
aplicable y objetivos previstos para su cumplimiento. La organización sistémica del control
interno se diseña y establece institucionalmente teniendo en cuenta las responsabilidades de
dirección, administración y supervisión de sus componentes funcionales, para lo cual en su
estructura se preverán niveles de control estratégico, operativo y de evaluación.
El enfoque moderno establecido por el COSO, señala que los componentes de la estructura de
control interno se interrelacionan entre sí y comprenden diversos elementos que se integran en
11
el proceso de gestión. Por ello en el presente documento, para fines de la adecuada
formalización e implementación de la estructura de control interno en todas las entidades se
concibe que ésta se organice con base en los siguientes cinco componentes: a. Ambiente de
control; b. Evaluación de riesgos; c. Actividades de control gerencial; d. Información y
comunicación; e. Supervisión, que agrupa a las actividades de prevención y monitoreo,
seguimiento de resultados y compromisos de mejoramiento. Dichos componentes son los
reconocidos internacionalmente por las principales organizaciones mundiales especializadas
en materia de control interno y, si bien su denominación y elementos conformantes pueden
admitir variantes, su utilización facilita la implantación estandarizada de la estructura de
control interno en las entidades contribuyendo igualmente a su ordenada, uniforme e integral
evaluación por los órganos de control competentes.
El control interno es efectuado por diversos niveles jerárquicos. Los funcionarios, auditores
internos y personal de menor nivel contribuyen para que el sistema de control interno
funcione con eficacia, eficiencia y economía. El Representante, funcionarios y todo el
personal de la entidad son responsables de la aplicación y supervisión del control interno, así
como en mantener una estructura sólida de control interno que promueva el logro de sus
objetivos, así como la eficiencia, eficacia y economía de las operaciones.
Para contribuir al fortalecimiento del control interno en las entidades, el Representante o
funcionario que se designe, debe asumir el compromiso de implementar los criterios que se
describen a continuación: i) Apoyo institucional a los controles internos: El Representante, los
funcionarios y todo el personal de la entidad deben mostrar y mantener una actitud positiva y
de apoyo al funcionamiento adecuado de los controles internos. La actitud es una
característica de cada entidad y se refleja en todos los aspectos relativos a su actuación. Su
participación y apoyo favorece la existencia de una actitud positiva; ii) Responsabilidad sobre
la gestión: Todo funcionario público tiene el deber de rendir cuenta ante una autoridad
superior y ante el público por los fondos o bienes públicos a su cargo o por una misión u
objetivo encargado y aceptado; iii) Clima de confianza en el trabajo: El Representante y los
funcionarios deben fomentar un apropiado clima de confianza que asegure el adecuado flujo
de información entre los empleados de la entidad. La confianza permite promover una
atmósfera laboral propicia para el funcionamiento de los controles internos, teniendo como
base la seguridad y cooperación recíprocas entre las personas así como su integridad y
competencia, cuyo entorno retroalimenta el cumplimiento de los deberes y los aspectos de la
responsabilidad; iv) Transparencia en la gestión: La transparencia en la gestión de los recursos
12
y bienes, con arreglo a la normativa respectiva vigente, comprende tanto la obligación de la
entidad de divulgar información sobre las actividades ejecutadas relacionadas con el
cumplimiento de sus fines así como la facultad del público de acceder a tal información, para
conocer y evaluar en su integridad, el desempeño y la forma de conducción de la gestión; v)
Seguridad razonable sobre el logro de los objetivos del control interno. La estructura de
control interno efectiva proporciona seguridad razonable sobre el logro de los objetivos
trazados. El Representante o funcionario designado de cada entidad debe identificar los
riesgos que implican las operaciones y, estimar sus márgenes aceptables en términos
cuantitativos y cualitativos, de acuerdo con las circunstancias.
Una estructura de control interno no puede garantizar por misma una gestión eficaz y
eficiente, con registros e información financiera íntegra, precisa y confiable, ni puede estar
libre de errores, irregularidades o fraudes. La eficacia del control interno puede verse afectada
por causas asociadas a los recursos humanos y materiales, tanto como a cambios en el
ambiente externo e interno. El funcionamiento del sistema de control interno depende del
factor humano, pudiendo verse afectado por un error de concepción, criterio, negligencia o
corrupción. Por ello, aun cuando pueda controlarse la competencia e integridad del personal
que aplica el control interno, mediante un adecuado proceso de selección y entrenamiento,
estas cualidades pueden ceder a presiones externas o internas dentro de la entidad. Es más, si
el personal que realiza el control interno no entiende cual es su función en el proceso o decide
ignorarlo, el control interno resultará ineficaz. Otro factor limitante son las restricciones que,
en términos de recursos materiales, pueden enfrentar las entidades. En consecuencia, deben
considerarse los costos de los controles en relación con su beneficio. Mantener un sistema de
control interno con el objetivo de eliminar el riesgo de pérdida no es realista y conllevaría a
costos elevados que no justificarían los beneficios derivados. Por ello, al determinar el diseño
e implantación de un control en particular, la probabilidad de que exista un riesgo y el efecto
potencial de éste en la entidad deben ser considerados junto con los costos relacionados a la
implantación del nuevo control. Los cambios en el ambiente externo e interno de la entidad,
tales como los cambios organizacionales y en la actitud del Representante y funcionarios
pueden tener impacto sobre la eficacia del control interno y sobre el personal que opera los
controles. Por esta razón, el Representante o funcionario designado debe evaluar
periódicamente los controles internos, informar al personal de los cambios que se
implementen y respetar el cumplimiento de los controles dando un buen ejemplo a todos.
13
CONCEPTOS DE LA EFECTIVIDAD DEL ENFOQUE COSO DEL CONTROL
INTERNO:
1. EL AMBIENTE DE CONTROL:
Según el IAI-España (2013)9, el componente ambiente de control define el establecimiento de
un entorno organizacional favorable al ejercicio de buenas prácticas, valores, conductas y
reglas apropiadas, para sensibilizar a los miembros de la entidad y generar una cultura de
control interno. Estas prácticas, valores, conductas y reglas apropiadas contribuyen al
establecimiento y fortalecimiento de políticas y procedimientos de control interno que
conducen al logro de los objetivos institucionales y la cultura institucional de control. El
Representante , funcionarios y demás miembros de la entidad deben considerar como
fundamental la actitud asumida respecto al control interno. La naturaleza de esa actitud fija el
clima organizacional y, sobre todo, provee disciplina a través de la influencia que ejerce sobre
el comportamiento del personal en su conjunto. Esta norma comprende: Filosofía de la
Dirección; Integridad y los valores éticos; Administración estratégica; Estructura
organizacional; Administración de recursos humanos; Competencia profesional; Asignación
de autoridad y responsabilidades; Órgano de Control Empresarial. La calidad del ambiente de
control es el resultado de la combinación de los factores que lo determinan. El mayor o menor
grado de desarrollo de éstos fortalecerá o debilitará el ambiente y la cultura de control,
influyendo también en la calidad del desempeño de la entidad.
1.1. Filosofía de la Dirección
La filosofía y estilo de la Dirección comprende la conducta y actitudes que deben caracterizar
a la gestión de la entidad con respecto del control interno. Debe tender a establecer un
ambiente de confianza positivo y de apoyo hacia el control interno, por medio de una actitud
abierta hacia el aprendizaje y las innovaciones, la transparencia en la toma de decisiones, una
conducta orientada hacia los valores y la ética, así como una clara determinación hacia la
medición objetiva del desempeño, entre otros.
Comentarios:
01 La filosofía de la Dirección refleja una actitud de apoyo permanente hacia el control
interno y el logro de sus objetivos, actuando con independencia, competencia y liderazgo, y
estableciendo un código de ética y criterios de evaluación del desempeño.
9 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
14
02 El Representante o funcionario designado debe evaluar y supervisar continuamente el
funcionamiento adecuado del control interno en la entidad y transmitir a todos los niveles de
la entidad, de manera explícita y permanente, su compromiso con el mismo.
03 El Representante o funcionario designado debe hacer entender al personal la importancia
de la responsabilidad de ejercer y ejecutar los controles internos, ya que cada miembro
cumple un rol importante dentro de la entidad. También debe lograr que éstas sean asumidas
con seriedad e incentivar una actitud positiva hacia el control interno.
04 El Representante o funcionario designado debe propiciar un ambiente que motive la
propuesta de medidas que contribuyan al perfeccionamiento del control interno y al desarrollo
de la cultura de Control Empresarial.
05 El Representante o funcionario designado debe facilitar, promover, reconocer y valorar los
aportes del personal estimulando la mejora continua en los procesos de la entidad.
06 El Representante o funcionario designado debe integrar el control interno a todos los
procesos, actividades y tareas de la entidad. A este propósito contribuye el ambiente de
confianza entre el personal, derivado de la difusión de la información necesaria, la adecuada
comunicación y las técnicas de trabajo participativo y en equipo.
07 El ambiente de confianza incluye la existencia de mecanismos que favorezcan la
retroalimentación permanente para la mejora continua. Esto implica que todo asunto que
interfiera con el desempeño organizacional, de los procesos, actividades y tareas pueda ser
detectado y transmitido oportunamente para su corrección oportuna.
08 El Representante y funcionarios de la entidad, a través de sus actitudes y acciones, deben
promover las condiciones necesarias para el establecimiento de un ambiente de confianza.
1.2. Integridad y valores éticos
La integridad y valores éticos del Representante, funcionarios y servidores determinan sus
preferencias y juicios de valor, los que se traducen en normas de conducta y estilos de gestión.
El Representante o funcionario designado y demás empleados deben mantener una actitud de
apoyo permanente hacia el control interno con base en la integridad y valores éticos
establecidos en la entidad.
Comentarios:
01 Los principios y valores éticos son fundamentales para el ambiente de control de las
entidades. Debido a que éstos rigen la conducta de los individuos, sus acciones deben ir más
allá del solo cumplimiento de las leyes, decretos, reglamentos y otras disposiciones
normativas.
15
02 El Representante o funcionario designado debe incorporar estos principios y valores como
parte de la cultura organizacional, de manera que subsistan a los cambios de las personas que
ocupan temporalmente los cargos en una entidad. También debe contribuir a su
fortalecimiento en el marco de la vida institucional y su entorno.
03 El Representante o funcionario designado juega un rol determinante en el establecimiento
de una cultura basada en valores, que con su ejemplo, contribuirá a fortalecer el ambiente de
control.
04 La demostración y la persistencia en un comportamiento ético por parte del Representante
y los funcionarios es de vital importancia para los objetivos del control interno.
1.3. Administración estratégica
Las entidades del Estado requieren la formulación sistemática y positivamente correlacionada
con los planes estratégicos y objetivos para su administración y control efectivo, de los cuales
se derivan la programación de operaciones y sus metas asociadas, así como su expresión en
unidades monetarias del presupuesto anual.
Comentarios:
01 Se entiende por administración estratégica al proceso de planificar, con componentes de
visión, misión, metas y objetivos estratégicos. En tal sentido, toda entidad debe buscar tender
a la elaboración de sus planes estratégicos y operativos gestionándolos. En una entidad sin
administración estratégica, el control interno carecería de sus fundamentos más importantes y
sólo se limitaría a la verificación del cumplimiento de ciertos aspectos formales.
02 El análisis de la situación y del entorno debe considerar, entre otros elementos de análisis,
los resultados alcanzados, las causas que explican los desvíos con respecto de lo programado,
la identificación de las demandas actuales y futuras de la ciudadanía.
03 Los productos de las actividades de formulación, cumplimiento, seguimiento y evaluación
deben estar formalizadas en documentos debidamente aprobados y autorizados, con arreglo a
la normativa vigente respectiva. El Representante o funcionario designado debe difundir
estos documentos tanto dentro de la entidad como a la ciudadanía en general.
1.4. Estructura organizacional
El Representante o funcionario designado debe desarrollar, aprobar y actualizar la estructura
organizativa en el marco de eficiencia y eficacia que mejor contribuya al cumplimiento de sus
objetivos y a la consecución de su misión.
16
Comentarios:
01 La determinación la estructura organizativa debe estar precedida de un análisis que permita
elegir la que mejor contribuya al logro de los objetivos estratégicos y los objetivos de los
planes operativos anuales. Para ello debe analizarse, entre otros: (i) la eficacia de los procesos
operativos, (ii) la velocidad de respuesta de la entidad frente a cambios internos y externos,
(iii) la calidad y naturaleza de los productos o servicios brindados, (iv) la satisfacción de los
clientes, usuarios o ciudadanía, (v) la identificación de necesidades y recursos para las
operaciones futuras, (vi) las unidades orgánicas o áreas existentes, y; (vii) los canales de
comunicación y coordinación, informales, formales y multidireccionales que contribuyen a
los ajustes necesarios de la estructura organizativa.
02 La determinación de la estructura organizativa debe traducirse en definiciones acerca de
normas, procesos de programación de puestos y contratación del personal necesario para
cubrir dichos puestos Con respecto de los recursos materiales debe programarse la adquisición
de bienes y contratación de servicios requeridos, así como la estructura de soporte para su
administración, incluyendo la programación y administración de los recursos financieros.
03 Las entidades públicas, de acuerdo con la normativa vigente emitida por los organismos
competentes, deben diseñar su estructura orgánica, la misma que no solo debe contener
unidades sino también considerar los procesos, operaciones, tipo y grado de autoridad en
relación con los niveles jerárquicos, canales y medios de comunicación, así como las
instancias de coordinación interna e interinstitucional que resulten apropiadas. El resultado de
toda esta labor debe formalizarse en manuales de procesos, de organización y funciones y
organigramas.
04 La dimensión de la estructura organizativa estará en función de la naturaleza, complejidad
y extensión de los procesos, actividades y tareas, en concordancia con la misión establecida
en su ley de creación.
1.5. Administración de los recursos humanos
Es necesario que el Representante o funcionario designado establezca políticas y
procedimientos necesarios para asegurar una apropiada planificación y administración de los
recursos humanos de la entidad, de manera que se garantice el desarrollo profesional y
asegure la transparencia, eficacia y vocación de servicio a la comunidad.
Comentarios:
01 La eficacia del funcionamiento de los sistemas de control interno radica en el elemento
humano. De allí la importancia del desempeño de cada uno de los miembros de la entidad y
17
de cuán claro comprendan su rol en el cumplimiento de los objetivos. En efecto, la aplicación
exitosa de las medidas, mecanismos y procedimientos de control implantados por la
administración está sujeta, en gran parte, a la calidad del potencial del recurso humano con
que se cuente.
02 El Representante o funcionario designado debe definir políticas y procedimientos
adecuados que garanticen la correcta selección, inducción y desarrollo del personal. Las
actividades de reclutamiento y contratación, que forman parte de la selección, deben llevarse a
cabo de manera ética. En la inducción deben considerarse actividades de integración del
recurso humano en relación con el nuevo puesto tanto en términos generales como
específicos.
En el desarrollo de personal se debe considerar la creación de condiciones laborales
adecuadas, la promoción de actividades de capacitación y formación que permitan al personal
aumentar y perfeccionar sus capacidades y habilidades, la existencia de un sistema de
evaluación del desempeño objetivo, rendición de cuentas e incentivos que motiven la
adhesión a los valores y controles institucionales.
1.6. Competencia profesional
El Representante o funcionario designado debe reconocer como elemento esencial la
competencia profesional del personal, acorde con las funciones y responsabilidades asignadas
en las empresas.
Comentarios:
01 La competencia incluye el conocimiento, capacidades y habilidades necesarias para ayudar
a asegurar una actuación ética, ordenada, económica, eficaz y eficiente, al igual que un buen
entendimiento de las responsabilidades individuales relacionadas con el control interno.
02 El Representante o funcionario designado debe especificar, en los requerimientos de
personal, el nivel de competencia requerido para los distintos niveles y puestos de la entidad,
así como para las distintas tareas requeridas por los procesos que desarrolla la entidad.
03 El Representante, funcionarios y demás servidores de la entidad deben mantener el nivel
de competencia que les permita entender la importancia del desarrollo, implantación y
mantenimiento de un buen control interno, y practicar sus deberes para poder alcanzar los
objetivos de éste y la misión de la entidad.
1.7. Asignación de autoridad y responsabilidad
18
Es necesario asignar claramente al personal sus deberes y responsabilidades, así como
establecer relaciones de información, niveles y reglas de autorización, así como los límites de
su autoridad.
Comentarios:
01 El Representante o funcionario designado debe tomar las acciones necesarias para
garantizar que el personal que labora en la entidad tome conocimiento de las funciones y
autoridad asignadas al cargo que ocupan. Los funcionarios y servidores públicos tienen la
responsabilidad de mantenerse actualizados en sus deberes y responsabilidades demostrando
preocupación e interés en el desempeño de su labor.
02 La asignación de autoridad y responsabilidad debe estar definida y contenida en los
documentos normativos de la entidad, los cuales deben ser de conocimiento del personal en
general.
03 Todo el personal que labora en las entidades del Estado debe asumir sus responsabilidades
en relación con las funciones y autoridad asignadas al cargo que ocupa. En este sentido, cada
funcionario o servidor público es responsable de sus actos y debe rendir cuenta de los
mismos.
04 El Representante o funcionario designado debe establecer los límites para la delegación de
autoridad hacia niveles operativos de los procesos y actividades propias de la entidad, en la
medida en que ésta favorezca el cumplimiento de sus objetivos.
05 Toda delegación incluye la necesidad de autorizar y aprobar, cuando sea necesario, los
resultados obtenidos como producto de la autoridad asignada.
06 Es necesario considerar que la delegación de autoridad no exime a los funcionarios y
servidores públicos de la responsabilidad conferida como consecuencia de dicha delegación.
Es decir, la autoridad se delega, en tanto que la responsabilidad se comparte.
1.8. Órgano de Control Empresarial
La existencia de actividades de control interno a cargo de la correspondiente unidad orgánica
especializada denominada Órgano de Control Empresarial, que debe estar debidamente
implementada, contribuye de manera significativa al buen ambiente de control.
Comentarios:
01 Los Órganos de Control Empresarial realizan sus funciones de control con arreglo a la
normativa de cada empresa.
02 Los productos generados por el Órgano de Control Empresarial no deben limitarse a
evaluar los procesos de control vigentes, sino que deben extenderse a la identificación de
19
necesidades u oportunidades de mejora en los demás procesos de la entidad, tales como
aquellos relacionados con la confiabilidad de los registros y estados financieros, la calidad de
los productos y servicios y la eficiencia de las operaciones, entre otros.
03 Cualquiera sea la conformación de los equipos de trabajo responsables de la evaluación del
control interno, deben integrarse con miembros de comprobada competencia e idoneidad
profesional.
2. EVALUACIÓN DE RIESGOS:
Según el IAI-España (2013)10, el componente evaluación de riesgos abarca el proceso de
identificación y análisis de los riesgos a los que está expuesta la entidad para el logro de sus
objetivos y la elaboración de una respuesta apropiada a los mismos. La evaluación de riesgos
es parte del proceso de administración de riesgos, e incluye: planeamiento, identificación,
valoración o análisis, manejo o respuesta y el monitoreo de los riesgos de la entidad. La
administración de riesgos es un proceso que debe ser ejecutado en todas las entidades. El
Representante o funcionario designado debe asignar la responsabilidad de su ejecución a un
área o unidad orgánica de la entidad. Asimismo, el Representante o funcionario designado y
el área o unidad orgánica designada deben definir la metodología, estrategias, tácticas y
procedimientos para el proceso de administración de riesgos. Adicionalmente, ello no exime a
que las demás áreas o unidades orgánicas, de acuerdo con la metodología, estrategias, tácticas
y procedimientos definidos, deban identificar los eventos potenciales que pudieran afectar la
adecuada ejecución de sus procesos, así como el logro de sus objetivos y los de la entidad, con
el propósito de mantenerlos dentro de margen de tolerancia que permita proporcionar
seguridad razonable sobre su cumplimiento. A través de la identificación y la valoración de
los riesgos se puede evaluar la vulnerabilidad del sistema, identificando el grado en que el
control vigente maneja los riesgos. Para lograr esto, se debe adquirir un conocimiento de la
entidad, de manera que se logre identificar los procesos y puntos críticos, así como los
eventos que pueden afectar las actividades de la entidad. Dado que las condiciones
empresariales, económicas, tecnológicas, regulatorias y operacionales están en constante
cambio, la administración de los riesgos debe ser un proceso continuo. Establecer los
objetivos institucionales es una condición previa para la evaluación de riesgos.
Los objetivos deben estar definidos antes que el Representante o funcionario designado
comience a identificar los riesgos que pueden afectar el logro de las metas y antes de ejecutar
10 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
20
las acciones para administrarlos. Estos se fijan en el nivel estratégico, táctico y operativo de la
entidad, que se asocian a decisiones de largo, mediano y corto plazo respectivamente. Se debe
poner en marcha un proceso de evaluación de riesgos donde previamente se encuentren
definidos de forma adecuada las metas de la entidad, así como los métodos, técnicas y
herramientas que se usarán para el proceso de administración de riesgos y el tipo de informes,
documentos y comunicaciones que se deben generar e intercambiar. También deben
establecerse los roles, responsabilidades y el ambiente laboral para una efectiva
administración de riesgos. Esto significa que se debe contar con personal competente para
identificar y valorar los riesgos potenciales.
El control interno solo puede dar una seguridad razonable de que los objetivos de una entidad
sean cumplidos. La evaluación del riesgo es un componente del control interno y juega un rol
esencial en la selección de las actividades apropiadas de control que se deben llevar a cabo.
La administración de riesgos debe formar parte de la cultura de una entidad. Debe estar
incorporada en la filosofía, prácticas y procesos de negocio de la entidad, más que ser vista o
practicada como una actividad separada. Cuando esto se logra, todos en la entidad pasan a
estar involucrados en la administración de riesgos. Esta norma comprende: Planeamiento de la
gestión de riesgos; Identificación de los riesgos; Valoración de los riesgos; Respuesta al
riesgo.
2.1. Planeamiento de la administración de riesgos
Es el proceso de desarrollar y documentar una estrategia clara, organizada e interactiva para
identificar y valorar los riesgos que puedan impactar en una entidad impidiendo el logro de
los objetivos. Se deben desarrollar planes, métodos de respuesta y monitoreo de cambios, así
como un programa para la obtención de los recursos necesarios para definir acciones en
respuesta a riesgos.
Comentarios:
01 Un evento es un incidente o acontecimiento derivado de fuentes internas o externas que
afecta a la implementación de la estrategia o la consecución de objetivos. Los eventos pueden
tener un impacto positivo, negativo o de ambos tipos a la vez. Cuando el impacto es positivo
se le conoce como oportunidad, en tanto que si es negativo se le conoce como riesgo.
02 El riesgo se define como la posibilidad de que un evento ocurra y afecte de manera adversa
el logro de los objetivos de la entidad, impidiendo la creación de valor o erosionando el valor
existente. El riesgo combina la probabilidad de que ocurra un evento negativo con cuánto
daño causaría (impacto).
21
03 El planeamiento de la administración de riesgos es un proceso continuo. Incluye
actividades de identificación, análisis o valoración, manejo o respuesta y monitoreo y
documentación de los riesgos.
04 En el planeamiento de los riesgos se desarrolla una estrategia de gestión, que incluye su
proceso e implementación. Se establecen objetivos y metas, asignando responsabilidades para
áreas específicas, identificando conocimientos técnicos adicionales necesarios, describiendo
el proceso de evaluación de riesgos y las áreas a considerar, detallando indicadores de riesgos,
delineando procedimientos para las estrategias del manejo, estableciendo métricas para el
monitoreo y definiendo los reportes, documentos y las comunicaciones necesarios.
05 El planeamiento de la administración de riesgos puede ser específico en algunas áreas,
como en la asignación de responsabilidades y en la definición del entrenamiento necesario
que el personal debe tener para un mejor manejo y monitoreo de los riesgos, entre otros.
06 La administración apropiada de los riesgos tiende a reducir la probabilidad de la ocurrencia
y del impacto negativo de éstos y muestra a la entidad cómo debe ir adaptándose a los
cambios.
2.2. Identificación de los riesgos
En la identificación de los riesgos se tipifican todos los riesgos que pueden afectar el logro de
los objetivos de la entidad debido a factores externos o internos. Los factores externos
incluyen factores económicos, medioambientales, políticos, sociales y tecnológicos. Los
factores internos reflejan las selecciones que realiza la administración e incluyen la
infraestructura, personal, procesos y tecnología.
Comentarios:
01 La metodología de identificación de riesgos de una entidad puede comprender una
combinación de técnicas vinculadas con herramientas de apoyo. Las técnicas de identificación
de riesgos, deben tomar como base eventos y tendencias pasados así como técnicas de
prospectiva en general.
02 Es útil agrupar en categorías los riesgos potenciales mediante la acumulación de los
eventos que ocurren en una entidad en los procesos claves (estratégicos y operativos), en las
actividades críticas, en las fuentes de información, en los ciclos de vida de diferentes
procesos, en juicios de expertos, por contexto, entre otros. El Representante y funcionarios
deben desarrollar un entendimiento de las interrelaciones que existen entre los riesgos, no solo
consiguiendo información detallada como base para su valoración, sino también realizando
ejercicios de prospectiva, de manera que se vea plasmado en su gestión.
22
03 El proceso de identificación de riesgos debe tener como entradas tanto la experiencia de la
entidad en materia de impactos derivados de hechos ocurridos como futuros.
04 La técnica denominada Juicio de Expertos no solo es aplicable a la identificación de
riesgos, sino también a la ejecución de pronósticos y a la toma de decisiones. Las más usadas
son el método Delphi y la técnica del Grupo Nominal.
05 Se debe identificar los eventos externos e internos que afectan o puedan afectar a la
entidad. Dichos eventos, si ocurren, tienen un impacto positivo, negativo o una combinación
de ambos. Por lo tanto, los eventos con signo negativo representan riesgos y requieren de
evaluación y respuesta por parte del órgano competente de la entidad. De otro lado, los
eventos con signo positivo representan oportunidades y compensan los impactos negativos de
los riesgos. En términos generales, una fuente de identificación son los análisis de fortalezas-
oportunidades-debilidades-amenazas que realizan las entidades como parte del proceso de
planeamiento estratégico, en tanto éstos hayan sido correctamente elaborados.
2.3. Valoración de los riesgos
El análisis o valoración del riesgo le permite a la entidad considerar cómo los riesgos
potenciales pueden afectar el logro de sus objetivos. Se inicia con un estudio detallado de los
temas puntuales sobre riesgos que se hayan decidido evaluar. El propósito es obtener la
suficiente información acerca de las situaciones de riesgo para estimar su probabilidad de
ocurrencia, tiempo, respuesta y consecuencias.
Comentarios:
01 La administración debe valorar los riesgos a partir de dos perspectivas: probabilidad e
impacto. Probabilidad representa la posibilidad de ocurrencia, mientras que el impacto
representa el efecto debido a su ocurrencia. Estos estimados se determinan usando tanto datos
de eventos pasados observados, los cuales pueden proveer una base objetiva en comparación
con los estimados subjetivos, como técnicas prospectivas.
02 La metodología de análisis o valoración del riesgo de una entidad debe normalmente
comprender una combinación de técnicas cualitativas y cuantitativas. Las técnicas cualitativas
consisten en la evaluación de la prioridad de los riesgos identificados usando como criterios la
probabilidad de ocurrencia, el impacto de la materialización de los riesgos sobre los objetivos,
además de otros factores tales como la tolerancia al riesgo y costos, entre otros. La
administración a menudo usa técnicas cualitativas de valoración cuando los riesgos no son
cuantificables o cuando el uso de datos no son verificables. Las técnicas cuantitativas son
usadas para analizar numéricamente el efecto de los riesgos identificados en los objetivos. La
23
selección de las técnicas debe reflejar el nivel de precisión requerido y la cultura de la unidad
de negocios.
03 La administración debe usar métricas de desempeño para determinar en qué medida se
están logrando los objetivos. Puede ser útil usar la misma unidad de medida cuando se
considera el impacto potencial de un riesgo para el logro de un objetivo específico. La entidad
puede valorar la manera cómo los riesgos se correlacionan positivamente, combinan e
interactúan para crear probabilidades o impactos significativamente diferentes. Si bien el
impacto individual puede ser bajo, una correlación positiva de éstos puede tener impacto
mayor. Cuando los riesgos no están positivamente correlacionados, la administración los
valora individualmente; cuando es probable que éstos ocurran en múltiples unidades de
negocio, la gestión puede valorarlos y agruparlos en categorías comunes. Usualmente existe
un rango de resultados posibles que se asocian con un riesgo, y la gestión los considera como
base para desarrollar una respuesta.
04 Se debe estimar la frecuencia con que se presentarán los riesgos identificados, cuantificar
la probable pérdida que pueden ocasionar y calcular el impacto que pueden tener en la
satisfacción de los usuarios del servicio. De este análisis, se derivarán los objetivos
específicos de control y las actividades asociadas para minimizar los efectos de los riesgos
identificados como relevantes.
05 Los métodos utilizados para determinar la importancia relativa de los riesgos pueden ser
diversos, debiendo considerar al menos una estimación de su frecuencia, probabilidad de
ocurrencia y una cuantificación de los efectos resultantes o impacto.
2.4. Respuesta al riesgo
La administración identifica las opciones de respuesta al riesgo considerando la probabilidad
y el impacto en relación con la tolerancia al riesgo y su relación costo beneficio. La
consideración del manejo del riesgo y la selección e implementación de una respuesta son
parte integral de la administración de los riesgos.
Comentarios:
01 Una parte crítica de esta etapa es la estrategia de respuesta a los riesgos. Este proceso
consiste en la selección de la opción más apropiada en su manejo (evitarlos, reducirlos,
compartirlos y aceptarlos) y su debida implementación (a menudo aquellos con niveles de
medio y alto riesgo).
24
02 Las respuestas al riesgo son evitar, reducir, compartir y aceptar. Evitar el riesgo implica el
prevenir las actividades que los originan. La reducción incluye los métodos y técnicas
específicas para lidiar con ellos, identificándolos y proveyendo una acción para la reducción
de su probabilidad e impacto. El compartirlo reduce la probabilidad o el impacto mediante la
transferencia u otra manera de compartir una parte del riesgo. La aceptación no realiza acción
alguna para afectar la probabilidad o el impacto. Como parte de la administración de riesgos,
la entidad considera para cada riesgo significativo las respuestas potenciales a partir del rango
de respuestas. Esto da profundidad suficiente para seleccionar la respuesta y modificar su
“status quo”.
03 La administración de la entidad considera el riesgo como un todo y puede asumir un
enfoque mediante el cual el responsable de cada unidad desarrolla una valoración compuesta
de los riesgos y de las respuestas para esa unidad. Este punto de vista refleja el perfil de la
unidad en relación con sus objetivos y sus tolerancias al riesgo.
04 La administración, luego de seleccionar una respuesta, vuelve a medir el riesgo sobre una
base residual. Asimismo, debe reconocer que siempre existirá algún nivel de riesgo residual
no solo porque los recursos son limitados, sino también por causa de la incertidumbre futura
inherente y las limitaciones propias de todas las actividades.
3. ACTIVIDADES DE CONTROL GERENCIAL:
Según el IAI-España (2013)11, el componente actividades de control gerencial comprende
políticas y procedimientos establecidos para asegurar que se están llevando a cabo las
acciones necesarias en la administración de los riesgos que pueden afectar los objetivos de la
entidad, contribuyendo a asegurar el cumplimiento de estos. El Representante o funcionario
designado debe establecer una política de control que se traduzca en un conjunto de
procedimientos documentados que permitan ejercer las actividades de control. Los
procedimientos son el conjunto de especificaciones, relaciones y ordenamiento sistémico de
las tareas requeridas para cumplir con las actividades y procesos de la entidad. Los
procedimientos establecen los métodos para realizar las tareas y la asignación de
responsabilidad y autoridad en la ejecución de las actividades. Las actividades de control
gerencial tienen como propósito posibilitar una adecuada respuesta a los riesgos de acuerdo
con los planes establecidos para evitar, reducir, compartir y aceptar los riesgos identificados
que puedan afectar el logro de los objetivos de la entidad. Con este propósito, las actividades
11 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
25
de control deben enfocarse hacia la administración de aquellos riesgos que puedan causar
perjuicios a la entidad. Las actividades de control gerencial se dan en todos los procesos,
operaciones, niveles y funciones de la entidad. Incluyen un rango de actividades de control de
detección y prevención tan diversas como: procedimientos de aprobación y autorización,
verificaciones, controles sobre el acceso a recursos y archivos, conciliaciones, revisión del
desempeño de operaciones, segregación de responsabilidades, revisión de procesos y
supervisión. Para ser eficaces, las actividades de control gerencial deben ser adecuadas,
funcionar consistentemente de acuerdo con un plan y contar con un análisis de costo-
beneficio. Asimismo, deben ser razonables, entendibles y estar relacionadas directamente con
los objetivos de la entidad. Esta norma comprende: Procedimientos de autorización y
aprobación; Segregación de funciones; Evaluación costo-beneficio; Controles sobre el acceso
a los recursos o archivos; Verificaciones y conciliaciones; Evaluación de desempeño;
Rendición de cuentas; Revisión de procesos, actividades y tareas; y, Controles para las
Tecnologías de la Información y Comunicaciones (TIC).
3.1. Procedimientos de autorización y aprobación
La responsabilidad por cada proceso, actividad o tarea organizacional debe ser claramente
definida, específicamente asignada y formalmente comunicada al funcionario respectivo. La
ejecución de los procesos, actividades, o tareas debe contar con la autorización y aprobación
de los funcionarios con el rango de autoridad respectivo.
Comentarios:
01 La autorización para la ejecución de procesos, actividades o tareas debe ser realizada sólo
por personas que tengan el rango de autoridad competente. Las instrucciones que se imparten
a todos los funcionarios de la institución deben darse principalmente por escrito u otro medio
susceptible de ser verificado y formalmente establecido. La autorización es el principal medio
para asegurar que las actividades válidas sean ejecutadas según las intenciones del
Representante o funcionario designado. Los procedimientos de autorización deben estar
documentados y ser claramente comunicados a los funcionarios y servidores públicos.
Asimismo, deben incluir condiciones y términos, de tal manera que los empleados actúen en
concordancia con dichos términos y dentro de las limitaciones establecidas por el
Representante o funcionario designado o normativa respectiva.
02 La aprobación consiste en el acto de dar conformidad o calificar positivamente, por escrito
u otro medio susceptible de ser verificado y formalmente establecido, los resultados de los
procesos, actividades o tareas con el propósito que éstos puedan ser emitidos como productos
26
finales o ser usados como entradas en otros procesos. Los procedimientos de aprobación
deben estar documentados y ser claramente comunicados a los funcionarios y servidores
públicos.
3.2. Segregación de funciones
La segregación de funciones en los cargos o equipos de trabajo debe contribuir a reducir los
riesgos de error o fraude en los procesos, actividades o tareas. Es decir, un solo cargo o equipo
de trabajo no debe tener el control de todas las etapas clave en un proceso, actividad o tarea.
Comentarios:
01 Las funciones deben establecerse sistemáticamente a un cierto número de cargos para
asegurar la existencia de revisiones efectivas. Las funciones asignadas deben incluir
autorización, procesamiento, revisión, control, custodia, registro de operaciones y archivo de
la documentación.
02 La segregación de funciones debe estar asignada en función de la naturaleza y volumen de
operaciones de la entidad.
03 La rotación de funcionarios o servidores públicos puede ayudar a evitar la colusión ya que
impide que una persona sea responsable de aspectos claves por un excesivo período de
tiempo.
3.3. Evaluación costo-beneficio
El diseño e implementación de cualquier actividad o procedimiento de control deben ser
precedidos por una evaluación de costo-beneficio considerando como criterios la factibilidad
y la conveniencia en relación con el logro de los objetivos, entre otros.
Comentarios:
01 Debe considerarse como premisa básica que el costo de establecer un control no supere el
beneficio de él se pueda obtener. Para ello la evaluación de los controles debe hacerse a través
de dos criterios: factibilidad y conveniencia.
02 La factibilidad tiene que ver con la capacidad de la entidad de implantar y aplicar el
control eficazmente, lo que está determinado, fundamentalmente, por su disponibilidad de
recursos, incluyendo personal con capacidad para ejecutar los procedimientos y medidas del
caso y obtener los objetivos de control pretendidos.
27
03 La conveniencia se relaciona con los beneficios esperados en comparación con los recursos
invertidos, y con la necesidad de que los controles se acoplen de manera natural a los
procesos, actividades y tareas de los empleados y se conviertan en parte de ellos.
04 Revisar y actualizar periódicamente los controles existentes de manera que satisfagan los
criterios de factibilidad y conveniencia.
3.4. Controles sobre el acceso a los recursos o archivos
El acceso a los recursos o archivos debe limitarse al personal autorizado que sea responsable
por la utilización o custodia de los mismos. La responsabilidad en cuanto a la utilización y
custodia debe evidenciarse a través del registro en recibos, inventarios o cualquier otro
documento o medio que permita llevar un control efectivo sobre los recursos o archivos.
Comentarios:
01 El acceso a los recursos y archivos se da de dos maneras: (i) autorización para uso y (ii)
autorización de custodia.
02 La restricción de acceso a los recursos reduce el riesgo de la utilización no autorizada o
pérdida. El grado de restricción depende de la vulnerabilidad de los recursos y el riesgo
percibido de pérdida o utilización indebida. Asimismo, deben evaluarse periódicamente estos
riesgos. Por otro lado, para determinar la vulnerabilidad de un recurso se debe considerar su
costo, portabilidad y posibilidad de cambio.
3.5. Verificaciones y conciliaciones
Los procesos, actividades o tareas significativos deben ser verificados antes y después de
realizarse, así como también deben ser finalmente registrados y clasificados para su revisión
posterior.
Comentarios:
01 Las verificaciones y conciliaciones de los registros contra las fuentes respectivas deben
realizarse periódicamente para determinar y enmendar cualquier error u omisión que se haya
cometido en el procesamiento de los datos.
02 Deben también realizarse verificaciones y conciliaciones entre los registros de una misma
unidad, entre éstos y los de distintas unidades, así como contra los registros generales de la
institución y los de terceros ajenos a ésta, con la finalidad de establecer la veracidad de la
información contenida en los mismos. Dichos registros están referidos a la información
operativa, financiera, administrativa y estratégica propia de la institución.
28
3.6. Evaluación de desempeño
Se debe efectuar una evaluación permanente de la gestión tomando como base regular los
planes organizacionales y las disposiciones normativas vigentes, para prevenir y corregir
cualquier eventual deficiencia o irregularidad que afecte los principios de eficiencia, eficacia,
economía y legalidad aplicables.
Comentarios:
01 La administración, independientemente del nivel jerárquico o funcional, debe vigilar y
evaluar la ejecución de los procesos, actividades, tareas y operaciones, asegurándose que se
observen los requisitos aplicables (jurídicos, técnicos y administrativos; de origen interno y
externo) para prevenir o corregir desviaciones. Durante la evaluación del desempeño, los
indicadores establecidos en los planes estratégicos y operativos deben aplicarse como puntos
de referencia.
02 La evaluación del desempeño permite generar conciencia sobre los objetivos y beneficios
derivados del logro de los resultados organizacionales, tanto dentro de la institución como
hacia la colectividad. Asimismo, la retroalimentación obtenida con respecto al cumplimiento
de los planes permite conocer si es necesario modificarlos. Esto último con el objetivo de
fortalecer a la entidad y enfrentar cualquier riesgo existente, así como prever cualquier otro
que pueda presentarse en el futuro.
03 La evaluación de desempeño de la gestión debe constituir una herramienta necesaria que
requiere ser formalizada a través de regulaciones internas, debiendo definirse y formalizarse
en documentos de carácter institucional.
04 Una medida de evaluación del desempeño en cuanto a procesos u operaciones lo pueden
brindar los indicadores. Estos constituyen una herramienta para evaluar el logro de los
objetivos y metas y asegurar el adecuado funcionamiento del sistema a través de la aplicación
de las actividades de control de control gerencial destinadas a minimizar los riesgos de la
entidad. A partir de estos indicadores se puede diseñar un sistema de alerta temprano que
permita identificar con anticipación los factores que pueden afectar el logro de objetivos y
metas, cuantificando su incidencia.
3.7. Rendición de cuentas
La entidad, los Representante es, funcionarios y servidores están obligados a rendir cuentas
por el uso de los recursos y bienes de la empresa, el cumplimiento misional y de los objetivos
empresariales, así como el logro de los resultados esperados, para cuyo efecto el sistema de
control interno establecido deberá brindar la información y el apoyo pertinente.
29
Comentarios:
01 En cumplimiento de la normativa establecida y como correlato a sus responsabilidades por
la administración y uso de recursos y bienes de la entidad, los funcionarios y servidores
públicos deben estar preparados en todo momento para cumplir con su obligación periódica
de rendir cuentas ante la instancia correspondiente, respecto al uso de los recursos y bienes
del Estado.
02 El sistema de control interno debe servir como fuente y respaldo de la información
necesaria, que refuerza y apoya el compromiso por la oportuna rendición de cuentas mediante
la implementación de medidas y procedimientos de control.
3.8. Documentación de procesos, actividades y tareas
Los procesos, actividades y tareas deben estar debidamente documentados para asegurar su
adecuado desarrollo de acuerdo con los estándares establecidos, facilitar la correcta revisión
de los mismos y garantizar la trazabilidad de los productos o servicios generados.
01 Los procesos, actividades y tareas que toda entidad desarrolla deben ser claramente
entendidos y estar correctamente definidos de acuerdo con los estándares establecidos por el
Representante o funcionario designado, para así garantizar su adecuada documentación.
Dicha documentación comprende también los registros generados por los controles
establecidos, como consecuencia de hechos significativos que se produzcan en los procesos,
actividades y tareas, debiendo considerarse como mínimo la descripción de los hechos
sucedidos, el efecto o impacto, las medidas adoptadas para su corrección y los responsables
en cada caso.
02 Cualquier modificación en los procesos, actividades y tareas producto de mejoras o
cambios en las normativas y estándares deben reflejarse en una actualización de la
documentación respectiva.
03 La documentación correspondiente a los procesos, actividades y tareas de la entidad deben
estar disponibles para facilitar la revisión de los mismos.
04 La documentación de los procesos, actividades y tareas debe garantizar una adecuada
transparencia en la ejecución de los mismos, así como asegurar el rastreo de las fuentes de
defectos o errores en los productos o servicios generados (trazabilidad).
3.9. Revisión de procesos, actividades y tareas
Los procesos, actividades y tareas deben ser periódicamente revisados para asegurar que
cumplen con los reglamentos, políticas, procedimientos vigentes y demás requisitos. Este tipo
30
de revisión en una entidad debe ser claramente distinguido del seguimiento del control
interno.
Comentarios:
01 Las revisiones periódicas de los procesos, actividades y tareas deben proporcionar
seguridad de que éstos se estén desarrollando de acuerdo con lo establecido en los
reglamentos, políticas y procedimientos, así como asegurar la calidad de los productos y
servicios entregados por las entidades. Caso contrario se debe detectar y corregir
oportunamente cualquier desviación con respecto a lo planeado.
02 Las revisiones periódicas de los procesos, actividades y tareas deben brindar la
oportunidad de realizar propuestas de mejora en éstos con la finalidad de obtener una mayor
eficacia y eficiencia, y así contribuir a la mejora continua en la entidad.
3.10. Controles para las Tecnologías de la Información y Comunicaciones
La información de la entidad es provista mediante el uso de Tecnologías de la Información y
Comunicaciones (TIC). Las TIC abarcan datos, sistemas de información, tecnología asociada,
instalaciones y personal. Las actividades de control de las TIC incluyen controles que
garantizan el procesamiento de la información para el cumplimiento misional y de los
objetivos de la entidad, debiendo estar diseñados para prevenir, detectar y corregir errores e
irregularidades mientras la información fluye a través de los sistemas.
Comentarios:
01 Los controles generales los conforman la estructura, políticas y procedimientos que se
aplican a las TIC de la entidad y que contribuyen a asegurar su correcta operatividad. Los
principales controles deben establecerse en: Sistemas de seguridad de planificación y gestión
de la entidad en los cuales los controles de los sistemas de información deben aplicarse en las
secciones de desarrollo, producción y soporte técnico; Segregación de funciones; Controles de
acceso general, es decir, seguridad física y lógica de los equipos centrales; Continuidad en el
servicio.
02 Para la puesta en funcionamiento de las TIC, la entidad debe diseñar controles en las
siguientes etapas: (i) Definición de los recursos; (ii) Planificación y organización; (iii)
Requerimiento y salida de datos o información; (iv) Adquisición e implementación; (v)
Servicios y soporte; (vi) Seguimiento y monitoreo.
03 La segregación de funciones implica que las políticas, procedimientos y estructura
organizacional estén establecidos para prevenir que una persona controle los aspectos clave de
31
las operaciones de los sistemas, pudiendo así conducir a acciones no autorizadas u obtener
acceso indebido a los recursos de información.
04 El control del desarrollo y mantenimiento de los sistemas de información provee la
estructura para el desarrollo seguro de nuevos sistemas y la modificación de los existentes,
incluyendo las carpetas de documentación de estos. Se requiere definir mecanismos de
autorización para la realización de proyectos, revisiones, pruebas y aprobaciones para
actividades de desarrollo y modificaciones previas a la puesta en operación de los sistemas.
Las decisiones sobre desarrollo propio o adquisición de software deben considerar la
satisfacción de las necesidades y requerimientos de los usuarios así como el aseguramiento de
su operabilidad.
05 Los controles de aplicación incluyen la implementación de controles para el ingreso de
datos, proceso de transformación y salida de información, ya sea por medios físicos o
electrónicos. Los controles deben estar implementados en los siguientes procesos: 1.
Controles para el área de desarrollo: En el requerimiento, análisis, desarrollo, pruebas, pase a
producción, mantenimiento y cambio en la aplicación del software. En el aseguramiento de
datos fuente por medio de accesos a usuarios internos del área de sistemas. En la salida
interna y externa de datos, por medio de documentación en soporte físico o electrónico o por
medio de comunicaciones a través de publicidad y página Web. 2. Controles para el área de
producción: En la seguridad física, por medio de restricciones de acceso a la sala de cómputo
y procesamiento de datos, a las redes instaladas, así como al respaldo de la información
(backup). En la seguridad lógica, por medio de la creación de perfiles de acuerdo con las
funciones de los empleados, creación de usuarios con accesos propios (contraseñas) y relación
de cada usuario con el perfil correspondiente. 3. Controles para el área de soporte técnico, en
el mantenimiento de máquinas (hardware), licencias (software), sistemas operativos,
utilitarios (antivirus) y bases de datos. Los controles de seguridad deben proteger al sistema
en general y las comunicaciones cuando aplique, como por ejemplo redes instaladas, intranet
y correos electrónicos.
06 El control específico de las actividades incluye el cambio frecuente de contraseñas y
demás mecanismos de acceso que deben limitarse según niveles predeterminados de
autorización en función de las responsabilidades de los usuarios. Es importante el control
sobre el uso de contraseñas, cuidando la anulación de las asignadas a personal que se
desvincule de las funciones.
07 Para el adecuado ambiente de control en los sistemas informáticos, se requiere que éstos
sean preparados y programados con anticipación para mantener la continuidad del servicio.
32
Para ello se debe elaborar, mantener y actualizar periódicamente un plan de contingencia
debidamente autorizado y aprobado por el Representante o funcionario designado donde se
estipule procedimientos previstos para la recuperación de datos con el fin de afrontar
situaciones de emergencia.
08 El programa de planificación y administración de seguridad provee el marco y establece el
ciclo continuo de la administración de riesgos para las TIC, desarrollando políticas de
seguridad, asignando responsabilidades y realizando el seguimiento de la correcta operación
de los controles.
4. INFORMACIÓN Y COMUNICACIÓN:
Según el IAI-España (2013)12, se entiende por el componente de información y comunicación,
los métodos, procesos, canales, medios y acciones que, con enfoque sistémico y regular,
aseguren el flujo de información en todas las direcciones con calidad y oportunidad. Esto
permite cumplir con las responsabilidades individuales y grupales. La información no solo se
relaciona con los datos generados internamente, sino también con sucesos, actividades y
condiciones externas que deben traducirse a la forma de datos o información para la toma de
decisiones. Asimismo, debe existir una comunicación efectiva en sentido amplio a través de
los procesos y niveles jerárquicos de la entidad. La comunicación es inherente a los sistemas
de información, siendo indispensable su adecuada transmisión al personal para que pueda
cumplir con sus responsabilidades. Esta norma comprende: Funciones y características de la
información; Información y responsabilidad; Calidad y suficiencia de la información;
Sistemas de información; Flexibilidad al cambio; Archivo institucional; Comunicación
interna; Comunicación externa; Canales de comunicación.
4.1. Funciones y características de la información
La información es resultado de las actividades operativas, financieras y de control
provenientes del interior o exterior de la entidad. Debe transmitir una situación existente en un
determinado momento reuniendo las características de confiabilidad, oportunidad utilidad con
la finalidad que el usuario disponga de elementos esenciales en la ejecución de sus tareas
operativas o de gestión.
Comentarios:
12 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
33
01 La información debe ser fidedigna con los hechos que describe. En este sentido, para que
la información resulte representativa debe satisfacer requisitos de oportunidad, accesibilidad,
integridad, precisión, certidumbre, racionalidad, actualización y objetividad.
02 Los flujos de información deben ser coherentes con la naturaleza de las operaciones y
decisiones que se adopten en cada nivel organizacional. Por ello debe distinguirse que en los
niveles inferiores generalmente se realizan actividades programadas que requieren
información de carácter operacional. En cambio, en la medida que se asciende en los niveles,
se requiere disponer de otro tipo de información orientada al logro de los objetivos
estratégicos y de gestión. Por ello requiere ser seleccionada, analizada, evaluada y sintetizada
para reducir los grados de incertidumbre que caracterizan a la actividad gerencial en la toma
de decisiones, reflejada en la elección de diversas alternativas posibles.
03 La información debe ser usada para la creación de conocimiento en la entidad, siendo
necesario el establecimiento de un sistema de gestión del conocimiento que permita el
aprendizaje organizacional y la mejora continua.
4.2. Información y responsabilidad
La información debe permitir a los funcionarios y servidores públicos cumplir con sus
obligaciones y responsabilidades. Los datos pertinentes deben ser captados, identificados,
seleccionados, registrados, estructurados en información y comunicados en tiempo y forma
oportuna.
Comentarios:
01 El Representante y funcionarios deben entender la importancia del rol que desempeñan los
sistemas de información para el correcto desarrollo de sus deberes, mostrando una actitud
comprometida hacia éstos. Esta actitud debe traducirse en acciones concretas como la
asignación de recursos suficientes para su funcionamiento eficaz y otras que evidencien la
atención que se le otorga.
02 La obtención y clasificación de la información deben operarse de manera de garantizar la
adecuada oportunidad de su divulgación a las personas competentes de la entidad, propiciando
que las acciones o decisiones que se sustenten en la misma cumplan apropiadamente su
finalidad.
4.3. Calidad y suficiencia de la información
El Representante o funcionario designado debe asegurar la confiabilidad, calidad, suficiencia,
pertinencia y oportunidad de la información que se genere y comunique. Para ello se debe
34
diseñar, evaluar e implementar mecanismos necesarios que aseguren las características con las
que debe contar toda información útil como parte del sistema de control interno.
Comentarios:
01 La información es fundamental para la toma de decisiones como parte de la administración
de cualquier entidad. Por esa razón, en el sistema de información se debe considerar
mecanismos y procedimientos coherentes que aseguren que la información procesada presente
un alto grado de calidad. También debe contener el detalle adecuado según las necesidades de
los distintos niveles organizacionales, poseer valor para la toma de decisiones, así como ser
oportuna, actual y fácilmente accesible para las personas que la requieran.
02 La información debe ser generada en cantidad suficiente y conveniente. Es decir debe
disponerse de la información necesaria para la toma de decisiones, evitando manejar
volúmenes que superen lo requerido.
4.4. Sistemas de información
Los sistemas de información diseñados e implementados por la entidad constituyen un
instrumento para el establecimiento de las estrategias organizacionales y, por ende, para el
logro de los objetivos y las metas. Por ello deberá ajustarse a las características, necesidades y
naturaleza de la entidad. De este modo, el sistema de información provee la información
como insumo para la toma de decisiones, facilitando y garantizando la transparencia en la
rendición de cuentas.
Comentarios:
01 La entidad debe implementar sistemas de información que se adecuen a la estrategia global
y a la naturaleza de las operaciones de la entidad, pudiendo ser informáticos, manuales o una
combinación de ambos.
02 Pueden orientarse al manejo, preparación y presentación de la información económica,
financiera, contable, presupuestaria y operacional, entre otras de manera imparcial y objetiva.
Deben estar en posibilidad de brindar información con respecto a: i) Misión, planes, objetivos,
normas y metas institucionales; ii) Programación, ejecución y evaluación de actividades, con
expresiones monetarias y físicas; iii) Niveles alcanzados en el logro de los objetivos
estratégicos y operativos; iv) Estados de situación económica, contable y financiera por
períodos y expuestos comparativamente; v) Gestión administrativa, presupuestal y logística de
la entidad, en consonancia con la normativa sobre transparencia fiscal y acceso público a la
información; vi) Otros requerimientos específicos de orden legal, técnico u operativo.
35
03 Los sistemas de información deben estar orientados a integrar las operaciones de la
entidad, de preferencia y dependiendo del caso en tiempo real. La calidad de los sistemas de
información debe asegurarse por medio de la elaboración de procedimientos documentados.
4.5. Flexibilidad al cambio
Los sistemas de información deben ser revisados periódicamente, y de ser necesario,
rediseñados cuando se detecten deficiencias en sus procesos y productos. Cuando la entidad
cambie objetivos y metas, estrategia, políticas y programas de trabajo, entre otros, debe
considerarse el impacto en los sistemas de información para adoptar las acciones necesarias.
Comentarios:
01 La revisión de los sistemas de información debe llevarse a cabo periódicamente con el fin
de detectar deficiencias en sus procesos y productos y cuando ocurren cambios drásticos en el
entorno o en el ambiente interno de la entidad. En consecuencia, producto de la evaluación
realizada se debe decidir por efectuar cambios en sus partes u optar por el rediseño del
sistema.
02 La flexibilidad al cambio debe considerar en forma oportuna situaciones referentes a:
Cambios en la normativa que alcance a la entidad; Opiniones, reclamos, necesidades e
inquietudes de los clientes o usuarios sobre el servicio que se les proporciona.
4.6. Archivo institucional
El Representante o funcionario designado debe establecer y aplicar políticas y
procedimientos de archivo adecuados para la preservación y conservación de los documentos
e información de acuerdo con su utilidad o por requerimiento técnico o jurídico, tales como
los informes y registros contables, administrativos y de gestión, entre otros, incluyendo las
fuentes de sustento.
Comentarios:
01 La importancia del mantenimiento de archivos institucionales se pone de manifiesto en la
necesidad de contar con evidencia sobre la gestión para una adecuada rendición de cuentas.
02 Corresponde a la administración establecer los procedimientos y las políticas que deben
observarse en la conservación y mantenimiento de archivos electrónicos, magnéticos y físicos
según el caso, con base en las disposiciones técnicas y jurídicas que emiten los órganos
competentes y que apoyen los elementos del sistema de control interno.
4.7. Comunicación interna
36
La comunicación interna es el flujo de mensajes dentro de una red de relaciones
interdependientes que fluye hacia abajo, a través de y hacia arriba de la estructura de la
entidad, con la finalidad de obtener un mensaje claro y eficaz. Asimismo debe servir de
control, motivación y expresión de los usuarios.
Comentarios:
01 La comunicación interna debe estar orientada a establecer un conjunto de técnicas y
actividades para facilitar y agilizar el flujo de mensajes entre los miembros de la entidad y su
entorno o influir en las opiniones, actitudes y conductas de los clientes o usuarios internos de
la entidad, todo ello con el fin de que se cumplan los objetivos.
02 Es importante establecer buenas relaciones entre el personal de las áreas que componen la
entidad, definiendo misiones, responsabilidades y roles con la finalidad de emitir un mensaje
adecuado y claro.
03 La política de comunicaciones debe permitir las diferentes interacciones entre los
funcionarios y servidores públicos, cualesquiera sean los roles que desempeñen, así como
entre las áreas y unidades orgánicas en general.
4.8. Comunicación externa
La comunicación externa de la entidad debe orientarse a asegurar que el flujo de mensajes e
intercambio de información con los clientes, usuarios y ciudadanía en general, se lleve a cabo
de manera segura, correcta y oportuna, generando confianza e imagen positivas a la entidad.
Comentarios:
01 Se debe disponer de líneas abiertas de comunicación donde los usuarios puedan aportar
información de gran valor sobre el diseño y la calidad de los productos y servicios brindados,
permitiendo que la entidad responda a los cambios en las exigencias y preferencias de los
usuarios.
02 Las quejas o consultas que se reciben sobre las actividades, productos o servicios de la
entidad pueden revelar la existencia de deficiencias de control y problemas operativos. Estas
deficiencias deben ser revisadas y el personal encontrarse preparado para reconocer sus
implicancias y adoptar las acciones correctivas que resulten necesarias.
03 Los mensajes hacia el exterior deben considerar la imagen que la institución debe
proyectar con respecto de la lucha contra la corrupción.
04 Las comunicaciones con los grupos de interés de la entidad y ciudadanía en general deben
contener información acorde con sus necesidades, de modo que puedan entender el entorno y
los riesgos de la entidad.
37
05 Deben aplicarse controles efectivos para la comunicación externa de forma que se
prevenga flujos de información que no hayan sido debidamente autorizados. Sin embargo,
debe garantizarse la transparencia y el derecho de acceso a la información pública, de acuerdo
con la normativa respectiva vigente.
4.9. Canales de comunicación
Los canales de comunicación son medios diseñados de acuerdo con las necesidades de la
entidad y que consideran una mecánica de distribución formal, informal y multidireccional
para la difusión de la información. Los canales de comunicación deben asegurar que la
información llegue a cada destinatario en la, cantidad, calidad y oportunidad requeridas para
la mejor ejecución de los procesos, actividades y tareas.
Comentarios:
01 Los canales no sólo deben considerar la recepción de información (mensajes
apropiadamente transmitidos y entendidos), sino también líneas de entrega que permitan la
retroalimentación y distribución para coordinar las diferentes actividades.
02 El diseño de los canales de comunicación debe contribuir al control del cumplimiento de
los planes estratégico y operativo, al control del personal de la entidad, y a la ejecución de
procesos, actividades y tareas en la entidad.
03 El diseño de los canales de comunicación debe contemplar, al menos, los siguientes
aspectos: Ajustar los recursos a las necesidades de información y en concordancia con la
dimensión organizacional; Mejorar la capacidad de procesamiento de la información,
aplicando la tecnología informática; Coordinar las oportunidades de información entre los
diferentes usuarios de la entidad para evitar duplicidad de tareas o superposición entre las
mismas; Generar formas de relaciones participativas en el ámbito de trabajo, tales como:
Contactos directos entre gerentes, para lograr la continua transferencia de información entre
los mismos; Roles de enlace entre sectores, unidades y departamentos que coadyuven al
involucramiento general de los miembros de la entidad en sus diversas áreas de competencia y
respectivas problemáticas; Equipos de trabajo en relación con tareas ocasionales o periódicas,
permitiendo ahorros en el uso de canales de comunicación; Roles integradores, para ayudar a
la supervisión de los trabajos, a las relaciones interdisciplinarias y a la mejora de la visión y
logro de los objetivos institucionales.
04 Los canales de comunicación deben permitir la circulación expedita de la información, de
modo que sea trasladada al funcionario o servidor competente en un formato adecuado para su
análisis y dentro de un lapso conveniente que haga posible la toma oportuna de decisiones.
38
Como medida preventiva, estos canales deben ser usados por el personal de manera uniforme
y constante. Ello no implica que deba desestimarse por completo la posibilidad de que, para
efectos internos, en determinadas circunstancias y condiciones previamente definidas, algunos
canales informales resulten ser el medio requerido.
5. SUPERVISIÓN:
Según el IAI-España (2013)13, el sistema de control interno debe ser objeto de supervisión
para valorar la eficacia y calidad de su funcionamiento en el tiempo y permitir su
retroalimentación. Para ello la supervisión, identificada también como seguimiento,
comprende un conjunto de actividades de autocontrol incorporadas a los procesos y
operaciones de la entidad, con fines de mejora y evaluación. Dichas actividades se llevan a
cabo mediante la prevención y monitoreo, el seguimiento de resultados y los compromisos de
mejoramiento. Siendo el control interno un sistema que promueve una actitud proactiva y de
autocontrol de los niveles organizacionales con el fin de asegurar la apropiada ejecución de
los procesos, procedimientos y operaciones; el componente supervisión o seguimiento permite
establecer y evaluar si el sistema funciona de manera adecuada o es necesaria la introducción
de cambios. En tal sentido, el proceso de supervisión implica la vigilancia y evaluación, por
los niveles adecuados, del diseño, funcionamiento y modo cómo se adoptan las medidas de
control interno para su correspondiente actualización y perfeccionamiento. Las actividades de
supervisión se realizan con respecto de todos los procesos y operaciones institucionales,
posibilitando en su curso la identificación de oportunidades de mejora y la adopción de
acciones preventivas o correctivas. Para ello se requiere de una cultura organizacional que
propicie el autocontrol y la transparencia de la gestión, orientada a la cautela y la consecución
de los objetivos del control interno. La supervisión se ejecuta continuamente y debe
modificarse una vez que cambien las condiciones, formando parte del engranaje de las
operaciones de la entidad. Esta norma comprende las normas básicas para las actividades de
prevención y monitoreo; dentro de las cuales se distingue: prevención y monitoreo; monitoreo
oportuno del control interno; y las normas básicas para el seguimiento de resultados, dentro de
la cual se tiene: reporte de deficiencias; seguimiento e implantación de medidas correctivas;
asimismo comprende las normas básicas para los compromisos de mejoramiento, dentro de la
misma se distingue: autoevaluación y las evaluaciones independientes.
13 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
39
5.1. Prevención y monitoreo
El monitoreo de los procesos y operaciones de la entidad debe permitir conocer
oportunamente si éstos se realizan de forma adecuada para el logro de sus objetivos y si en el
desempeño de las funciones asignadas se adoptan las acciones de prevención, cumplimiento y
corrección necesarias para garantizar la idoneidad y calidad de los mismos.
Comentarios:
01 La supervisión constituye un proceso sistemático y permanente de revisión de los procesos
y operaciones que lleva a cabo la entidad, sean de gestión, operativas o de control. En su
desarrollo intervienen actividades de prevención y monitoreo por cuanto, dada la naturaleza
integral del control interno, resulta conveniente vigilar y evaluar sobre la marcha, es decir
conforme transcurre la gestión de la entidad, para la adopción de las acciones preventivas o
correctivas que oportunamente correspondan.
02 La prevención implica desarrollar y mantener una actitud permanente de cautela e interés
por anticipar, contrarrestar, mitigar y evitar errores, deficiencias, desviaciones y demás
situaciones adversas para la entidad. Se fundamenta sobre la base de la observación y análisis
de sus procesos y operaciones, efectuados de manera diligente, oportuna y comprometida con
la buena marcha institucional. En tal sentido, está estrechamente relacionada y opera como
resultado de las actividades de monitoreo.
03 El ejercicio de la supervisión a través del monitoreo comprende integralmente el
desempeño de la entidad. Por ello actúa en la planificación, ejecución y evaluación de la
gestión y sus resultados, retroalimentando permanentemente su accionar y proponiendo
correcciones o ajustes en las etapas pertinentes, contribuyendo así a mejorar el proceso de
toma de decisiones.
04 El resultado del monitoreo también provee las bases necesarias para estrategias adicionales
de manejo de riesgos, actualiza las existentes y vuelve a analizar los riesgos ya conocidos.
Asimismo, facilita y asegura el cabal cumplimiento de la normativa legal o administrativa
aplicable a las operaciones de la entidad, de acuerdo con su finalidad y formalidades,
brindando seguridad razonable con respecto de potenciales objeciones e inconformidades.
5.2. Monitoreo oportuno del control interno
La implementación de las medidas de control interno sobre los procesos y operaciones de la
entidad, debe ser objeto de monitoreo oportuno con el fin de determinar su vigencia,
consistencia y calidad, así como para efectuar las modificaciones que sean pertinentes para
40
mantener su eficacia. El monitoreo se realiza mediante el seguimiento continuo o
evaluaciones puntuales.
Comentarios:
01 El desarrollo del monitoreo sobre el sistema y las actividades de control interno debe
proveer a la entidad seguridad razonable sobre el logro de sus objetivos, la confiabilidad de la
información, el empleo de los criterios de eficacia y eficiencia, el cumplimiento de políticas y
normas internas vigentes, así como el logro de estándares de calidad cada vez mejores.
02 Mediante el monitoreo, la supervisión busca asegurar que los controles operen y sean
modificados apropiadamente de acuerdo con los cambios en el entorno organizacional.
Asimismo, se debe valorar si, en el cumplimiento de la misión de la entidad, se alcanzan los
objetivos generales del control interno y si se contribuye al aseguramiento de la calidad.
03 El monitoreo oportuno del sistema de control interno y las medidas puestas en aplicación,
se realiza a través del seguimiento continuo de su funcionamiento y a través de evaluaciones
puntuales, o una combinación de ambas modalidades.
04 Las actividades de seguimiento continuo se despliegan sobre el conjunto de componentes
de control interno, orientándose a minimizar los riesgos y evitar efectos ineficientes,
ineficaces o antieconómicos. Regularmente este tipo de monitoreo se construye, implementa y
ejecuta dentro de las operaciones normales y recurrentes de la entidad, incluyendo las
acciones o funciones que el personal debe realizar al cumplir con sus obligaciones.
05 Las evaluaciones puntuales se realizan para determinar la calidad y eficacia de los
controles en una etapa predefinida de los procesos y operaciones de la entidad. El rango y la
frecuencia de las evaluaciones puntuales dependerán de la valoración de riesgos y de la
efectividad de los procedimientos permanentes de seguimiento. Ambas modalidades se
correlacionan, respectivamente, con las categorizaciones del control.
06 El desarrollo del monitoreo sigue un orden jerárquico descendente desde el nivel gerencial,
pasando por los niveles ejecutivos intermedios y llegando hasta los operativos. En cualquier
caso, tiene como propósito contribuir a la minimización de los riesgos que puedan afectar el
logro de los objetivos institucionales, incrementando la eficiencia del desempeño y
preservando su calidad, en una relación interactiva con los demás componentes del proceso de
control.
07 Los Órganos del SNC contribuyen con la labor de supervisión, aportando su opinión sobre
la razonabilidad del control interno, emitiendo observaciones, comentarios y recomendaciones
como resultado de la evaluación del control interno.
41
5. SEGUIMIENTO DE RESULTADOS
5.1. Reporte de deficiencias
Según el IAI-España (2013)14, las debilidades y deficiencias detectadas como resultado del
proceso de monitoreo deben ser registradas y puestas a disposición de los responsables con el
fin de que tomen las acciones necesarias para su corrección.
Comentarios:
01 El término “deficiencia” constituye la materialización de un riesgo. Es decir, se refiere a la
condición que afecta la habilidad de la entidad para lograr sus objetivos. Por lo tanto, una
deficiencia puede representar un defecto percibido o real, que debe conducir a fortalecer el
control interno.
02 Deben establecerse requerimientos para obtener la información necesaria sobre las
deficiencias de control interno.
03 La información generada en el curso de las operaciones es usualmente reportada a través
de canales formales a los responsables por su funcionamiento, así como a los demás niveles
jerárquicos de los cuales dependen. Para ello se debe contar con canales alternativos de
comunicación para reportar actos ilegales o incorrectos.
5.2. Implantación y seguimiento de medidas correctivas
Cuando se detecte o informe sobre errores o deficiencias que constituyan oportunidades de
mejora, la entidad deberá adoptar las medidas que resulten más adecuadas para los objetivos y
recursos institucionales, efectuándose el seguimiento correspondiente a su implantación y
resultados. El seguimiento debe asegurar, asimismo, la adecuada y oportuna implementación
de las recomendaciones producto de las observaciones de las acciones de control.
Comentarios:
01 La efectividad del sistema de control interno depende, en buena parte, de que los errores,
deficiencias o desviaciones en la gestión sean identificadas y comunicadas oportunamente a
quien corresponda en la entidad para que determine la solución correspondiente que favorezca
la consecución de los objetivos institucionales del control interno. Cuando la persona que
descubra una oportunidad de mejora, no disponga de autoridad suficiente para disponer las
medidas preventivas o correctivas necesarias, deberá comunicar inmediatamente al
funcionario superior competente para que éste tome la decisión pertinente con el fin que
establezca la acción o solución respectiva.
14 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
42
02 El seguimiento del control interno debe incluir políticas y procedimientos que busquen
asegurar que las oportunidades de mejora que sean resultado de las actividades de
supervisión, así como los hallazgos u observaciones producto de las acciones de control u
otras revisiones, sean adecuada y oportunamente resueltas. Para ello se debe determinar las
alternativas de solución y adoptar la más adecuada, teniendo en cuenta en su caso las
recomendaciones formuladas por los organismos competentes de control, en armonía con sus
atribuciones funcionales y lo establecido por la normativa del SNC.
03 La implantación de medidas correctivas debe asegurar la mejora del control interno como
resultado del monitoreo, así como la adecuada y oportuna implementación de las
recomendaciones producto de las observaciones de las acciones de control.
04 Los Representante es y funcionarios deben: i) Identificar y evaluar oportunamente las
causas de los errores, deficiencias y hallazgos u observaciones detectadas como consecuencia
de revisiones o acciones de control; ii) Determinar las acciones correctivas que conduzcan a
solucionar la problemática detectada e implementar las recomendaciones de las revisiones y
acciones de control realizadas; iii) Completar, dentro de su ámbito de competencia funcional,
todas las acciones que corrijan o resuelvan los asuntos que han llamado su atención.
05 El proceso de implementación de recomendaciones y el seguimiento de medidas
correctivas derivadas de acciones o actividades de control empresarial son regulados por la los
auditores.
7. COMPROMISOS DE MEJORAMIENTO
7.1. Autoevaluación
Según el IAI-España (2013)15, se debe promover y establecer la ejecución periódica de
autoevaluaciones sobre la gestión y el control interno de la entidad, por cuyo mérito podrá
verificarse el comportamiento institucional e informarse las oportunidades de mejora
identificadas. Corresponde a sus órganos y personal competente dar cumplimiento a las
disposiciones o recomendaciones derivadas de la respectiva autoevaluación, mediante
compromisos de mejoramiento institucional.
Comentarios:
01 La autoevaluación constituye una herramienta diseñada como parte del sistema de control
interno. Se define como el conjunto de elementos de control que actúan coordinadamente
15 Instituto de Auditores Internos de España-Coopers & Lybrand SA. (2013) Los nuevos conceptos del
control interno – Informe COSO. Madrid. Ediciones Días de Santos SA.
43
permitiendo en cada área o nivel organizacional medir la eficacia y calidad de los controles en
los procesos, productos y resultados de su gestión.
02 Responde a la necesidad de establecer las fortalezas y debilidades de la entidad con
respecto al control, propiciar una mayor eficacia de todos los componentes de control, y
asignar la responsabilidad sobre el mismo a todas las dependencias de la organización.
Asimismo, les permite adecuar constantemente sus objetivos a los cambios en el entorno.
03 La autoevaluación facilita la medición oportuna de los efectos de la gestión y del
comportamiento del sistema de control, con el fin de evaluar su capacidad para generar los
resultados previstos y tomar las medidas correctivas necesarias, a través de los siguientes
elementos: i) Autoevaluación del control interno: permite establecer el grado de avance en la
implementación del sistema de control interno y la efectividad de su operación en toda la
entidad; ii) Autoevaluación de la gestión: establece el grado de cumplimiento de los objetivos
institucionales y evalúa la manera de administrar los recursos necesarios para alcanzarlos.
04 La autoevaluación genera mayor responsabilidad en los empleados al involucrarlos en el
análisis de fortalezas y debilidades del Sistema de Control, los compromete con la recolección
de la información que soporta el juicio sobre el estado del sistema y les permite proponer
planes de mejoramiento que contribuyan al logro del objetivo del sistema de control, y por
ende al de la organización.
05 La autoevaluación del control interno favorece el autocontrol y la autogestión en toda la
organización porque permite que cada persona y dependencia que participa en ella puede
determinar las deficiencias en una escala personal como organizacional. Esto permite la toma
de conciencia frente a los cambios que se requieren y estimula la toma de acciones necesarias
con el fin de mejorar la calidad del sistema.
7.2. Evaluaciones independientes
Se deben realizar evaluaciones independientes a cargo de los órganos de control competentes
para garantizar la valoración y verificación periódica e imparcial del comportamiento del
sistema de control interno y del desarrollo de la gestión institucional, identificando las
deficiencias y formulando las recomendaciones oportunas para su mejoramiento.
Comentarios:
01 El sistema de control interno y las medidas implementadas por la entidad requieren una
evaluación objetiva, imparcial y externa a las áreas u órganos responsables de su implantación
y funcionamiento, con el fin de verificar y garantizar tanto su conformidad respecto de los
planes, programas, normativa, proyectos, entre otros, como la forma en que han sido
44
realizados. En tal sentido, dicha evaluación debe ser realizada por los órganos de control
competentes del SNC, de conformidad con la normativa emitida por la CGR.
02 Como resultado de las evaluaciones independientes, se dará cumplimiento a las
recomendaciones que formulen los órganos de control, las mismas que constituyen
compromisos de mejoramiento que institucionalmente también serán objeto del
correspondiente registro, seguimiento y verificación de su cumplimiento.
DESARROLLO DEL SISTEMA DE CONTROL INTERNO:
Según Ballesteros (2014)16, el desarrollo del sistema de control interno se concreta mediante
actividades de control aplicadas en la empresa. Las actividades de control consisten en las
políticas y los procedimientos que tienden a asegurar que se cumplen las estrategias de la
dirección. También tienden a asegurar que se toman las medidas necesarias para afrontar los
riesgos que ponen en peligro la consecución de los objetivos de la entidad. Las actividades
de control se llevan a cabo en cualquier parte de la empresa en todos los niveles y en todas
sus funciones y comprenden una serie de actividades tan diferentes como pueden ser
aprobaciones y autorizaciones, verificaciones, conciliaciones, el análisis de los resultados de
las operaciones, la salvaguarda de activos y la segregación de funciones.
Las actividades de control son las normas y procedimientos (que constituyen las acciones
necesarias para implementar las políticas) que pretenden asegurar que se cumplen las
medidas que la dirección empresarial ha establecido con el fin de controlar los riesgos. Las
actividades de control pueden dividirse en tres categorías, según el tipo de objetivo de la
entidad con el que están relacionadas: las operaciones de la empresa, la fiabilidad de la
información financiera empresarial o el cumplimiento de la legislación del sector de la
empresa. Aunque algunos tipos de control están relacionados solamente con un área
específica, con frecuencia afectan a diversas áreas. Dependiendo de las circunstancias, una
determinada actividad de control puede ayudar a alcanzar objetivos de la empresa que
corresponden a diversas categorías. De este modo, los controles operacionales también
pueden contribuir a la fiabilidad de la información financiera, los controles sobre la
fiabilidad de la información financiera pueden contribuir al cumplimiento de la legislación
empresarial, y así sucesivamente.
16 Ballesteros Jiménez, Alfredo Gonzalo (2014) Auditoria Interna. Buenos Aires. Editorial
megabyte
45
Según Belmonte (2014)17, el desarrollo del sistema de control interno se concreta mediante
acciones de control. La Acción de control es la herramienta esencial del control de la
empresa por la cual el personal técnico de sus órganos conformantes, mediante la aplicación
de las normas, procedimientos y principios que regulan el control empresarial efectúa la
verificación y evaluación, objetiva y sistemática, de los actos y resultados producidos por la
entidad en la gestión y ejecución de los recursos, bienes y operaciones institucionales. Las
acciones de control se realizan con sujeción al Plan de Control y a los planes aprobados para
cada órgano de acuerdo a su programación de actividades y requerimientos de la empresa.
Dichos planes deberán contar con la correspondiente asignación de recursos presupuéstales
para su ejecución, aprobada por el Representante de la entidad, encontrándose protegidos
por el principio de reserva. Como consecuencia de las acciones de control se emitirán los
informes correspondientes, los mismos que se formularán para el mejoramiento de la gestión
de la entidad, incluyendo el señalamiento de responsabilidad que, en su caso, se hubieran
identificado. Sus resultados se exponen al Representante de la entidad, salvo que se
encuentre comprendido como presunto responsable civil y/o penal. Las acciones de control
que efectúen los órganos del Sistema no serán concluidas sin que se otorgue al personal
responsable comprendido en ellas, la oportunidad de conocer y hacer sus comentarios y
aclaraciones sobre los hallazgos en que estuvieran incursos, salvo en los casos justificados
señalados en las normas reglamentarias. Cuando en el informe respectivo se identifiquen
responsabilidades, sean éstas de naturaleza administrativa funcional, civil o penal, las
autoridades institucionales y aquellas competentes de acuerdo a Ley, adoptarán
inmediatamente las acciones para el deslinde de la responsabilidad administrativa funcional
y aplicación de la respectiva sanción, e iniciarán, ante el fuero respectivo, aquellas de orden
legal que consecuentemente correspondan a la responsabilidad señalada. Las sanciones se
imponen por el Representante de la entidad y, respecto de éste en su caso, por el organismo
o sector jerárquico superior o el llamado por ley.
EVALUACIÓN DEL CONTROL INTERNO:
Según Baldelomar (2014)18, la evaluación del sistema de control interno permite determinar
la naturaleza, oportunidad y alcance de los procedimientos de la auditoria financiera que se
17 Belmonte Ríos, Saúl (2014) Control interno empresarial. Buenos Aires. Editorial Río de la
Plata.
18 Baldelomar Buendía, Ricardo (2014) Evaluación del control interno empresarial. Buenos
Aires. Editorial La Boca.
46
van aplicar en la empresa; asimismo define las fortalezas y debilidades de la organización
empresarial mediante una cuantificación de todos sus recursos. Mediante el examen y
objetivos del control interno, registros y evaluación de los estados financieros se crea la
confianza que la entidad debe presentar frente a la sociedad. La evaluación del sistema de
control interno basado en principios, reglas, normas, procedimientos y sistemas de
reconocido valor técnico es el fundamento de la realización de una buena auditoría
financiera. El auditor financiero debe asegurarse que se cumplan todas las medidas
adecuadas y necesarias en la implementación del sistema de evaluación de control interno.
En el proceso de evaluación del control interno un auditor debe revisar altos volúmenes de
documentos, es por esto que el auditor se ve obligado a programar pruebas de carácter
selectivo para hacer inferencias sobre la confiabilidad de sus operaciones. Para dar certeza
sobre la objetividad de una prueba selectiva y sobre su representatividad, el auditor tiene el
recurso del muestreo estadístico, para lo cual se deben tener en cuenta los siguientes
aspectos primordiales: La muestra debe ser representativa; El tamaño de la muestra varía de
manera inversa respecto a la calidad del control interno; El examen de los documentos
incluidos debe ser exhaustivo para poder hacer una inferencia adecuada; Siempre habrá un
riesgo de que la muestra no sea representativa y por lo tanto que la conclusión no sea
adecuada. El Método de cuestionario, consiste en la evaluación con base en preguntas, las
cuales deben ser contestadas por parte de los responsables de las distintas áreas bajo
examen. Por medio de las respuestas dadas, el auditor obtendrá evidencia que deberá
constatar con procedimientos alternativos los cuales ayudarán a determinar si los controles
operan tal como fueron diseñados. La aplicación de cuestionarios ayudará a determinar las
áreas críticas de una manera uniforme y confiable. El Método narrativo, consiste en la
descripción detallada de los procedimientos más importantes y las características del
sistema de control interno para las distintas áreas, mencionando los registros y formularios
que intervienen en el sistema. El Método gráfico, también llamado de flujogramas, consiste
en revelar o describir la estructura orgánica las áreas en examen y de los procedimientos
utilizando símbolos convencionales y explicaciones que dan una idea completa de los
procedimientos de la entidad; tiene como ventajas que: Identifica la ausencia de controles
financieros y operativos; Permite una visión panorámica de las operaciones o de la entidad;
Identifica desviaciones de procedimientos; Identifica procedimientos que sobran o que
faltan; Facilita el entendimiento de las recomendaciones del auditor a la gerencia sobre
asuntos contables o financieros; La evaluación debe asegurar la integridad y exactitud de las
operaciones realizadas por el ente económico.
47
Entre las técnicas de evaluación; tenemos: 1. Técnicas de verificación ocular, entre estas se
encuentran: Comparación, Observación, Revisión selectiva, Rastreo. 2. Técnicas de
verificación verbal: Indagación. 3. Técnicas de verificación escrita: Análisis: Conciliación;
Confirmación. 4. Técnicas de verificación documental: Comprobación, Computación. 5.
Técnicas de verificación física: Inspección. Todas estas técnicas de evaluación las puede
encontrar aplicadas en los diferentes tipos de artículos que tienen que ver con este tema en
el canal financiero. La ficha de evaluación grafica y cuantifica el nivel de desempeño de la
empresa, esta fundamentada en: Los criterios o áreas a ser evaluados; La ordenación de
compromisos; Las sub-áreas o unidades a evaluar dentro de la respectiva área; Calificación
del control; Marcas de desviaciones; Cumplimiento de recomendaciones; Estudio y
evaluación del sistema de control interno
Según Ballesteros (2014)19, en el marco de la evaluación del control interno el auditor tiene
que comprender la estructura, políticas, procedimientos y las cualidades del personal de la
empresa, con el objetivo de: proteger sus activos, asegurar la validez de la información,
promover la eficiencia en las operaciones, y estimular y asegurar el cumplimiento de las
políticas y directrices emanadas de la dirección. Los controles en el control interno, pueden
ser caracterizados bien como contables o como administrativos: 1. Los controles contables,
comprenden el plan de organización y todos los métodos y procedimientos cuya misión es la
salvaguarda de los bienes activos y la fiabilidad de los registros contables; 2. Los controles
administrativos se relacionan con la normativa y los procedimientos existentes en una
empresa vinculados a la eficiencia operativa y el acatamiento de las políticas de la Dirección
y normalmente sólo influyen indirectamente en los registros contables. Es obvio que el
auditor independiente debe centrar su trabajo en los controles contables por las
repercusiones que éstos tienen en la preparación de la información financiera y, por
consiguiente, a los efectos de las normas técnicas, el control interno se entiende circunscrito
a los controles contables. Sin embargo, si el auditor cree que ciertos controles
administrativos pueden tener importancia respecto a las cuentas anuales, debe efectuar su
revisión y evaluación. La implantación y mantenimiento de un sistema de control interno es
responsabilidad de la dirección de la entidad, que debe someterlo a una continua supervisión
para determinar que funciona según está prescrito. Todo sistema de control interno tiene
19 Ballesteros Jiménez, Alfredo Gonzalo (2014) Evaluación del sistema de control interno
empresarial. Buenos Aires. Editorial Rosario.
48
unas limitaciones. Siempre existe la posibilidad de que al aplicar procedimientos de control
surjan errores por una mala comprensión de las instrucciones, errores de juicio, falta de
atención personal, fallo humano, etc. Las transacciones son el componente básico de la
actividad empresarial y, por tanto el objetivo primero del control interno; La transacción
origina un flujo de actividad desde su inicio hasta su conclusión. Tendremos flujos de
ventas, compras, costes, existencias, etc. Las cuatro fases son: autorización, ejecución,
anotación, y contabilización. Por definición, todo sistema de control interno va
estrechamente relacionado con el organigrama de la empresa. Este debe reflejar la auténtica
distribución de responsabilidades y líneas de autoridad. Las obligaciones de un conjunto de
empleados deben estar atribuidas de tal forma que uno o varios de estos empleados,
actuando individualmente, comprueben el trabajo de los otros. Es fundamental que toda
empresa tenga una clara y bien planteada organización y cada uno de sus miembros tenga
un conocimiento apropiado de su función.
Según Ortega (2014)20, la evaluación del control interno es un proceso llevado a cabo por
los auditores financieros y que comprende dos fases: 1. La revisión preliminar del sistema
con objeto de conocer y comprender los procedimientos y métodos establecidos por la
entidad. 2. La realización de pruebas de cumplimiento para obtener una seguridad razonable
de que los controles se encuentran en uso y que están operando tal como se diseñaron. El
grado de fiabilidad de un sistema de control interno, se puede tener por: cuestionario,
diagrama de flujo. Un cuestionario, utilizando preguntas cerradas, permitirá formarse una
idea orientativa del trabajo de auditoría. Debe realizarse por áreas, y las empresas auditoras,
disponen de modelos confeccionados aplicables a sus clientes. La representación gráfica del
sistema nos permitirá realizar un adecuado análisis de los puntos de control que tiene el
sistema en sí, así como de los puntos débiles del mismo que nos indican posibles mejoras en
el sistema. Se trata de la representación gráfica del flujo de documentos, de las operaciones
que se realicen con ellos y de las personas que intervienen. Este sistema resulta muy útil en
operaciones repetitivas, como suele ser el sistema de ventas en una empresa comercial. En
el caso de operaciones individualizadas, como la adquisición de bienes de inversión, la
representación gráfica, no suele ser muy eficaz. La información que debe formar parte de un
diagrama de flujo, es: los procedimientos para iniciar la acción, como la autorización del
20 Ortega Delpino, Julia (2014) Evaluación del sistema de control interno. Buenos Aires.
Universidad de Buenos Aires.
49
suministro, imputación a centros de coste, etc.; la naturaleza de las verificaciones rutinarias,
como las secuencias numéricas, los precios en las solicitudes de compra, etc; la división de
funciones entre los departamentos, la secuencia de las operaciones, el destino de cada uno
de los documentos (y sus copias); la identificación de las funciones de custodia. Una prueba
de cumplimiento es el examen de la evidencia disponible de que una o más técnicas de
control interno están operando durante el periodo de auditoría. El auditor deberá obtener
evidencia de auditoría mediante pruebas de cumplimiento de: Existencia: el control existe;
Efectividad: el control está funcionando con eficiencia; Continuidad: el control ha estado
funcionando durante todo el periodo. El objetivo de las pruebas de cumplimiento es quedar
satisfecho de que una técnica de control estuvo operando efectivamente durante todo el
periodo de auditoría; Periodo en el que se desarrollan las pruebas y su extensión. Los
auditores independientes podrán realizar las pruebas de cumplimiento durante el periodo
preliminar. Cuando éste sea el caso, la aplicación de tales pruebas a todo el periodo restante
puede no ser necesaria, dependiendo fundamentalmente del resultado de estas pruebas en el
periodo preliminar así como de la evidencia del cumplimiento, dentro del periodo restante,
que puede obtenerse de las pruebas sustantivas realizadas por el auditor independiente. La
determinación de la extensión de las pruebas de cumplimento se realizará sobre bases
estadísticas o sobre bases subjetivas. El muestreo estadístico es, en principio, el medio
idóneo para expresar en términos cuantitativos el juicio del auditor respecto a la
razonabilidad, determinando la extensión de las pruebas y evaluando su resultado. Cuando
se utilicen bases subjetivas se deberá dejar constancia en los papeles de trabajo de las
razones que han conducido a tal elección, justificando los criterios y bases de selección.
Realizados los cuestionarios y representado gráficamente el sistema de acuerdo con los
procedimientos, hemos de conjugar ambos a fin de realizar un análisis e identificar los
puntos fuertes y débiles del sistema. En esa labor de identificación, influye primordialmente
la habilidad para entender el sistema y comprender los puntos fuertes y débiles de su control
interno. La conjugación de ambas nos dará el nivel de confianza de los controles que operan
en la empresa, y será preciso determinar si los errores tienen una repercusión directa en los
estados financieros, o si los puntos fuertes del control eliminarían el error.

Hazle saber al autor que aprecias su trabajo

Estás en libertad de marcarlo con "Me gusta" o no

Tu opinión vale, comenta aquíOculta los comentarios

Comentarios

comentarios

Compártelo con tu mundo

Escrito por:

Cita esta página
Hernández Celis Domingo. (2015, agosto 25). La efectividad del enfoque COSO del control interno en las empresas. Recuperado de http://www.gestiopolis.com/la-efectividad-del-enfoque-coso-del-control-interno-en-las-empresas/
Hernández Celis, Domingo. "La efectividad del enfoque COSO del control interno en las empresas". GestioPolis. 25 agosto 2015. Web. <http://www.gestiopolis.com/la-efectividad-del-enfoque-coso-del-control-interno-en-las-empresas/>.
Hernández Celis, Domingo. "La efectividad del enfoque COSO del control interno en las empresas". GestioPolis. agosto 25, 2015. Consultado el 10 de Diciembre de 2016. http://www.gestiopolis.com/la-efectividad-del-enfoque-coso-del-control-interno-en-las-empresas/.
Hernández Celis, Domingo. La efectividad del enfoque COSO del control interno en las empresas [en línea]. <http://www.gestiopolis.com/la-efectividad-del-enfoque-coso-del-control-interno-en-las-empresas/> [Citado el 10 de Diciembre de 2016].
Copiar
Imagen del encabezado cortesía de theilr en Flickr