Lo que todo Auditor debe conocer del Control Interno

segn COSO III

Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rpidos cambios del mundo de hoy. Es responsabilidad de la administracin y
de los directivos desarrollar un sistema que garantice el cumplimiento de los objetivos de la
empresa y se convierta en una parte esencial de la cultura organizacional. El Marco Integrado
de Control Interno propuesto por COSO provee un enfoque integral y herramientas para la
implementacin de un sistema de control interno efectivo y en pro de la mejora continua.

Cada empresa, en el cumplimiento de su misin, debe alcanzar sus objetivos. Por esta razn,
los directivos y la administracin deben articular sus objetivos, desarrollar estrategias para
lograrlos, identificar los riesgos relacionados para mitigarlos y cumplir la estrategia planteada.
De esta manera, el Marco Integrado de Control Interno es diseado para controlar los riesgos
que puedan afectar el cumplimiento de los objetivos, reduciendo dichos riesgos a un nivel
aceptable. Es as como este Marco afirma que el control interno proporciona razonables
garantas para que las empresas puedan lograr sus objetivos, y mantener y mejorar su
rendimiento.

Cada empresa debe tener su propio sistema de control interno No pueden existir dos empresas
con el mismo sistema debido a que sus caractersticas cambian (industria, leyes y regulaciones
pertinentes, tamao, naturaleza, entre otras).

De acuerdo con COSO, el control interno es definido como un proceso integrado y dinmico
llevado a cabo por la administracin, la direccin y dems personal de una entidad, diseado
con el propsito de proporcionar un grado de seguridad razonable en cuanto a la consecucin
de los objetivos relacionados con las operaciones, la informacin/Reporting y el cumplimiento.
De esta manera, el control interno se convierte en una funcin inherente a la administracin,
integrada al funcionamiento organizacional y a la direccin institucional y deja, as, de ser una
funcin que se asignaba a un rea especfica de una empresa.

En este sentido, el sistema de control interno debe orientarse a promover todas las condiciones
necesarias para que el equipo de trabajo d su mayor esfuerzo con el fin de lograr los
resultados deseados, debido a que promueve el buen funcionamiento de la organizacin. El
concepto de responsabilidad toma gran importancia y se convierte en un factor clave para el
gobierno de las organizaciones, teniendo en cuenta que el principal propsito del sistema de
control interno es detectar oportunamente cualquier desviacin significativa en el cumplimiento
de las metas y objetivos establecidos.

La implementacin de un sistema de control interno eficiente debe proporcionar:

 Consecucin de objetivos de rentabilidad y rendimiento para prevenir la prdida de
recursos.
Operaciones eficaces y eficientes.
Desarrollo de tareas y actividades continuas, establecidas como un medio para llegar a
un fin.
Control interno efectuado por las personas de la entidad y las acciones que estas
aplican en cada nivel de la entidad.
Produccin de informes financieros confiables para la toma de decisiones.
Seguridad razonable, no absoluta, al consejo y la alta direccin de la entidad.
Cumplimiento de las leyes y regulaciones pertinentes.
Adaptacin a la estructura de la entidad.
Promocin, evaluacin y preocupacin por la seguridad, calidad y mejora continua de
todos los procesos de la entidad.

El modelo de control interno COSO 2013 actualizado est compuesto por los cinco
componentes establecidos en el marco anterior, y 17 principios y puntos de enfoque que
presentan las caractersticas fundamentales de cada componente. Se caracteriza por tener en
cuenta los siguientes aspectos y generar diferentes beneficios:

Mayores expectativas del gobierno corporativo.

Globalizacin de mercados y operaciones.
Cambio continuo en mayor complejidad en los negocios.
Mayor demanda y complejidad en leyes, reglas, regulaciones y estndares.
Expectativas de competencias y responsabilidades.
Uso y mayor nivel de confianza en tecnologas que evolucionan rpidamente.
Expectativas relacionadas con prevenir, desalentar y detectar el fraude.

La efectividad del sistema de control interno depende de estas caractersticas, y de esta

manera se puede obtener una certeza razonable del logro de los objetivos de la entidad. Un
sistema de control interno efectivo reduce a un nivel aceptable el riesgo de no alcanzar un
objetivo de la entidad y puede hacer referencia a las categoras de objetivos. Para esto es
indispensable que los componentes y principios estn presentes y en funcionamiento. Esto
quiere decir que los componentes y principios relevantes existen en el diseo e implementacin
del sistema de control interno para alcanzar los objetivos especificados. Adems, los
componentes y principios deben ser aplicados en el sistema de control interno y funcionar de
manera integrada. Cuando se determina que el Sistema de Control Interno es efectivo la alta
direccin y la Junta Directiva tienen una seguridad razonable acerca del cumplimiento de las
tres categoras de objetivos.

Sin embargo, es importante aclarar que un eficaz sistema de control interno no garantiza el
xito de una entidad. Este puede ayudar a la consecucin de los objetivos y suministrar
informacin sobre el progreso de la entidad, pero el desempeo de la administracin y
directivas y factores externos como condiciones econmicas tienen gran influencia en el xito
de la entidad. El control interno no puede evitar que se aplique un deficiente criterio profesional
o se adopten malas decisiones. Adems, el sistema de control interno puede garantizar solo
una seguridad razonable en relacin con el cumplimiento de los objetivos de la organizacin.
Las limitaciones siempre estn presentes e impiden que el Consejo de Administracin y la
direccin tengan una seguridad absoluta. Sin embargo, estas limitaciones tienen que ser
tenidas en cuenta al momento de seleccionar, desarrollar y desplegar los controles, para que
minimicen en lo posible dichas limitaciones.

Las limitaciones pueden originarse por los siguiente factores:

 La falta de adecuacin de los objetivos establecidos como condicin previa para el
control interno.
El criterio profesional de las personas en la toma de decisiones puede ser errneo y
estar sujeto a sesgos.
Fallos humanos conscientes e inconscientes.
La capacidad de la direccin de anular el control interno.
La capacidad de la direccin y dems miembros del personal para eludir los controles
mediante confabulacin entre ellos.
Acontecimientos externos que escapan al control de la organizacin.
Conspiraciones o complots.

Por esta razn, el Marco Integrado de Control Interno requiere de un criterio profesional en el
diseo, implementacin, y conduccin del control interno y la evaluacin de su efectividad. El
uso del criterio profesional ayuda a la administracin a tomar mejores decisiones con respecto
al sistema de control interno, teniendo en cuenta que esto no garantiza resultados perfectos.

La administracin hace uso del criterio profesional en diferentes momentos:

Aplicacin de los componentes de control interno en relacin con las categoras de los
objetivos.
Aplicacin de los componentes y principios de control interno dentro de la estructura de
la entidad.
Especificacin de objetivos generales y especficos apropiados y evaluacin de riesgos
para su cumplimiento.
Seleccin, desarrollo y despliegue de los controles necesarios para llevar a cabo los
principios.
Evaluar si los componentes y principios estn presentes, funcionando y operando de
manera integrada en la entidad.
Evaluacin de la severidad de una o ms deficiencias de control interno de acuerdo
con las leyes, reglas, regulaciones y estndares externos pertinentes.

Principales cambios en los 5 componentes de COSO

III

En Mayo de 2013 el Comit COSO publica la actualizacin del Marco Integrado de Control
Interno cuyos objetivos son: aclarar los requerimientos del control interno, actualizar el contexto
de la aplicacin del control interno a muchos cambios en las empresas y ambientes operativos,
y ampliar su aplicacin al expandir los objetivos operativos y de emisin de informes. Este
nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan
actualmente las organizaciones.
El siguiente cuadro muestra los cambios significativos presentes en el Marco Integrado de
Control Interno 2013, en cada uno de sus cinco componentes:
COMPONENTES
Entorno de Control
Evaluacin de Riesgos
Actividades de Control
Informacin y Comunicacin
Actividades de Monitoreo
Supervisin
CAMBIOS REPRESENTATIVOS
Se recogen en cinco principios la relevancia de la
integridad y los valores ticos, la importancia de la filosofa
de la Administracin y su manera de operar, la necesidad
de una estructura organizativa, la adecuada asignacin de
responsabilidades y la importancia de las polticas de
recursos humanos.
Se explican las relaciones entre los componentes del
Control Interno para destacar la importancia del Entorno
de Control.
Se ampla la informacin sobre el Gobierno Corporativo de
la organizacin, reconociendo diferencias en las
estructuras, requisitos, y retos a lo largo de diferentes
jurisdicciones, sectores y tipos de entidades.
Se enfatiza la supervisin del riesgo y la relacin entre el
riesgo y la respuesta al mismo.
Se ampla la categora de objetivos de Reporte,
considerando todas las tipologas de reporte internos y
externos.
Se aclara que la evaluacin de riesgos incluye la
identificacin, anlisis y respuesta a los riesgos.
Se incluyen los conceptos de velocidad y persistencia de
los riesgos como criterios para evaluar la criticidad de los
mismos.
Se considera la tolerancia al riesgo en la evaluacin de los
niveles aceptables de riesgo.
Se considera el riesgo asociado a las fusiones,
adquisiciones y externalizaciones.
Se ampla la consideracin del riesgo al fraude.
Se indica que las actividades de control son acciones
establecidas por polticas y procedimientos.
Se considera el rpido cambio y evolucin de la
tecnologa.
Se enfatiza la diferenciacin entre controles automticos y
Controles Generales de Tecnologa.
Se enfatiza la relevancia de la calidad de informacin
dentro del Sistema de Control Interno.
Se profundiza en la necesidad de informacin y
comunicacin entre la entidad y terceras partes.
Se enfatiza el impacto de los requisitos regulatorios sobre
la seguridad y proteccin de la informacin.
Se refleja el impacto que tiene la tecnologa y otros
mecanismos de comunicacin en la rapidez y calidad del
flujo de informacin.
Se clarifica la terminologa definiendo dos categoras de
actividades de monitoreo: evaluaciones continuas y
evaluaciones independientes.
Se profundiza en la relevancia del uso de la tecnologa y
los proveedores de servicios externos.
Identificacin y Anlisis de Riesgos segn COSO III

La organizacin identifica los riesgos para la consecucin de sus objetivos a travs de la

entidad y analiza los riesgos como base para determinar cmo se deben gestionar. La
administracin debe considerar los riesgos en todos los niveles de la organizacin y tomar las
acciones necesarias para responder a estos. En este proceso se consideran los factores que
influyen como la severidad, velocidad y persistencia del riesgo, la probabilidad de perdida de
activos y el impacto relacionado sobre las actividades de operativas, de reporte y cumplimiento.
As mismo la entidad necesita entender su tolerancia al riesgo y su habilidad para funcionar y
operar dentro de estos niveles de riesgo.

El proceso de identificacin de riesgos debe ser integral y completo y considerar todas las
interacciones significativas de bienes, servicios e informacin, internamente y entre la entidad y
sus principales socios y proveedores de servicios externos.

Los riesgos pueden surgir en todos los niveles de la entidad y debido a factores tanto internos
como externos. Una vez identificados estos factores se puede considerar su relevancia e
importancia, y si es posible relacionarlos con riesgos y actividades especficas.

Riesgos externos: desarrollos tecnolgicos que en caso de no adoptarse provocaran

obsolescencia organizacional, cambios en las necesidades y expectativas de la demanda,
condiciones macroeconmicas tanto a nivel internacional como nacional, condiciones
microeconmicas, competencia elevada con otras organizaciones, dificultad para obtener
crdito o costos elevados del mismo, complejidad y elevado dinamismo del entorno de la
organizacin, y reglamentos y legislacin que afecten negativamente a la organizacin.

Riesgos econmicos: cambios que pueden impactar las finanzas, la disponibilidad de

capital, y barreras al acceso competitivo.
Ambiente natural: catstrofes naturales o causadas por el ser humano, o cambios
climticos que puedan generar cambios en las operaciones, reduccin en la
disponibilidad de materia prima, perdida de sistemas de informacin, resaltando la
necesidad de planes de contingencia.
Factores regulatorios: nuevos estndares, regulaciones y leyes que impliquen cambios
en las polticas y estrategias operativas y de reporte de la entidad.
Operaciones extranjeras: cambios en el gobierno o leyes de pases extranjeros que
afecten a la entidad.
 Factores sociales: cambios en las necesidades y expectativas de los clientes que
puedan afectar el desarrollo de los productos, procesos de produccin, servicio al
cliente, precios o garantas.
Factores tecnolgicos: desarrollos que pueden afectar la disponibilidad y uso de la
informacin, costos de infraestructura y la demanda de los servicios basados en la
tecnologa.

Riesgos internos: riesgos referentes a la informacin financiera, a sistemas de

informacin defectuosos, a pocos o cuestionables valores ticos del personal, a
problemas con las aptitudes, actitudes y comportamiento del personal.

Infraestructura: decisiones sobre el uso de recursos de capital que pueden afectar las
operaciones y la disponibilidad de la infraestructura.
Estructura de la administracin: cambios en las responsabilidades de la administracin
que puedan afectar los controles que se llevan a cabo en la organizacin.
Personal: calidad del personal contratado y los mtodos de capacitacin y motivacin
que puedan influir en el nivel de control de conciencia dentro de la entidad, y
vencimiento de contratos que puedan afectar la disponibilidad de personal.
Acceso a los activos: naturaleza de las actividades de la entidad y acceso de
empleados a los activos, que puedan contribuir a la malversacin de activos.
Tecnologa: alteraciones en los sistemas de informacin que puedan afectar los
procesos de la entidad.

Los riesgos deben ser claramente identificados y esto se realiza mediante un mapeo de riesgos
que incluye la especificacin de los procesos claves de la organizacin, la identificacin de los
objetivos generales y particulares, y las amenazas y riesgos que pueden impedir que estos se
cumplan. Tambin es necesario llevar a cabo una evaluacin de riesgos a nivel de
transacciones, lo que permite tener un nivel aceptable de riesgo en la entidad.

Despus de identificar riesgos tanto a nivel de la entidad como de transacciones, se lleva a

cabo el anlisis de riesgos. Este proceso debe incluir la evaluacin de la probabilidad de que
ocurra un riesgo, el impacto que causara y la importancia del riesgo. Es importante estimar la
probabilidad de ocurrencia de los riesgos identificados con el fin de calcular posibles prdidas.
Esta estimacin comprende tres variables; probabilidad, impacto y velocidad; con estas
consideraciones se puede construir una matriz de riesgos para determinar los riesgos
prioritarios.

La importancia de cada riesgo en su control interno se basa en la probabilidad de

manifestacin y en el impacto que puede causar en la organizacin. La velocidad del riesgo se
refiere a la rapidez con la que el impacto se evidenciar en la entidad. El impacto se refiere a la
prdida de activos y de tiempo, la disminucin de la eficiencia y eficacia de las actividades, los
efectos negativos en los recursos humanos, y la alteracin de la exactitud de la informacin de
la organizacin, entre otras. El impacto debe estar expresado en una nica unidad que puede
ser monetaria.

El riesgo comprende barreras que se imponen a la organizacin en su crecimiento o inclusive

para su supervivencia. Eliminar completamente el riesgo es una situacin hipottica, porque los
factores a considerar son demasiados en un entorno donde el dinamismo es una constante. Sin
embargo, existen muchas acciones para reducir el riesgo de que la organizacin sea afectada.
Una de estas es la implementacin de un adecuado sistema de control interno.

Debido a que las condiciones econmicas, industriales, legislativas y operativas cambian

constantemente, es necesario disponer de mecanismos para identificar y afrontar los riesgos
asociados. En una organizacin no existe forma de reducir los riesgos a cero. Debido a esto se
pueden distinguir dos tipos de riesgos: riesgos inherentes y el riesgo residual. El riesgo
inherente es el riesgo para el cumplimiento de los objetivos de la entidad en la ausencia de las
acciones de la administracin para modificar su probabilidad o impacto; y el riesgo residual es
el que permanece despus de que la administracin lleva a cabo sus respuestas a los riesgos.

Finalmente, luego de evaluar los riesgos significativos, la administracin debe considerar cmo
van a ser manejados. Esto implica el uso del juicio y un anlisis razonable de costos asociados
con la reduccin de los niveles de riesgo. Las respuestas a los riesgos se organizan en las
siguientes categoras:

Categora Descripcin

Aceptacin Ninguna accin es tomada para modificar la probabilidad o impacto del riesgo

Anulacin Salida de actividades que dan lugar a riesgos

Reduccin Acciones tomadas para reducir la probabilidad o impacto del riesgo

Compartir Reducir la probabilidad o impacto del riesgo, transfirindolo o compartiendo

una parte del riesgo

Importante: El Equipo Auditool ha diseado el Curso Virtual: Marco de Control Interno COSO
III - Versin 2013. El objetivo de ste curso es el de presentar a los participantes la nueva
estructura del Marco Integrado de Control Interno COSO, publicada en mayo de 2013. Mayor
informacin, desde AQUI