UNIVERSIDAD LAICA VICENTE ROCAFUERTE DE GUAYAQUIL

FACULTAD DE ADMINISTRACIÓN

CARRERA DE CONTABILIDAD Y AUDITORÍA

ASIGNATURA

AUDITORÍA III

DOCENTE

MBA. PAZMIÑO ENRIQUEZ JOSE ERNESTO

TEMA:

El Sistema COSO y Métodos de Evaluación Control Interno en Auditoría

INTEGRANTES:

 Barros Zavala Allan Jesus

 Carrera Ramos Sebastian Alejandro
 Choez Choez Jorge Ulises
 Galarza Martínez Jocelyn Valentina
 Guaman Paucar Jennifer Maribel
 Loor Cuadrado Dayanna Marisol
 Lopez Arevalo Evelyn Domenica
 Olmedo Vera Oscar Daniel
 Suarez Villacis David Andres
 Vera Borell Adrian Edmundo

CICLO B

SEXTO SEMESTRE - A NOCTURNO

Guayaquil- Ecuador

2021
Para Albert Salvador Lafuente, economista y auditor interno. Especialista en Fraude Interno.

El Informe COSO es un documento que contiene las principales directivas para la implantación,
gestión y control de un sistema de control. Debido a la gran aceptación de la que ha gozado,
desde su publicación en el año 1992, el Informe COSO se ha convertido en el estándar de
referencia.

Existen en la actualidad 2 versiones del Informe COSO. La versión del 1992 y la versión del
2004, que incorpora las exigencias de ley Sarbanes Oxley a su modelo.

Está diseñado para identificar los eventos que potencialmente puedan afectar a la entidad y para
administrar los riesgos, proveer seguridad razonable para la administración y para la junta
directiva de la organización orientada al logro de los objetivos del negocio.

La historia del modelo COSO está enmarcada a dos aspectos fundamentales: Contexto en la que
se origina y el grupo de trabajo que hizo la propuesta. Como forma de solucionar la diversidad
de conceptos, definiciones e interpretaciones existentes en torno al control interno, es publicado
en 1992, el modelo COSO en los Estados Unidos (Normas generales de control Interno, 2007).

Asimismo, Melini (2005) el modelo COSO nace como una respuesta a la preocupación
generalizada respecto de los razonantes casos jurisprudenciales que evidencian situaciones
límites, donde las quiebras están originadas en fallas de los administradores respecto al manejo
de los patrimonios de las empresas.

El informe COSO es una metodología para la implementación y la gestión de un sistema de

control interno. Con base en el COSO, las entidades pueden diseñar sus propios sistemas de
control interno, mediante la identificación de los riesgos que afectan el cumplimiento de los
objetivos del control interno, la implementación de medidas para afrontar esos riesgos y la
evaluación del cumplimiento de esas medidas.

Métodos de Evaluación Control Interno en Auditoría

La evaluación del control interno permite al auditor establecer si se están ejecutando

correctamente y utilizando los métodos, políticas y procedimientos establecidos por la dirección
de la empresa.

Entender y evaluar el proceso de control interno de la entidad es responsabilidad del auditor,

diseñar pruebas que permitan identificar controles, riesgos y probar los procesos establecidos en
la empresa. Una evaluación del control interno implica un examen de la efectividad del sistema
de controles internos de una organización. Al participar en esta evaluación, nuestro auditor
puede determinar el alcance de otras pruebas que deben realizarse para llegar a una opinión
sobre la equidad de los estados financieros de la entidad. Un sistema robusto de controles
internos reduce el riesgo de actividad fraudulenta, lo que modera la necesidad de
procedimientos de auditoría adicionales. El examen se concentra en cuestiones tales como:

 La separación de deberes

 Cheques y saldos

 Protección de registros

 El nivel de formación y competencia de los empleados.

 La efectividad de la función de auditoría interna de la entidad.

El Control Interno En La Auditoría De Los Estados Financieros.

La comisión de Procedimientos de Auditoría del IMCP, al estudiar las normas de auditoría

concluye que el Contador Público debe efectuar un estudio y evaluación adecuados del control
interno existente en la empresa que examina, con el fin básico de determinar la confianza que
puede asignar a cada fase y actividad del negocio, para precisar la naturaleza, alcance y
oportunidad que ha de dar a sus pruebas de auditoría.

El estudio de la evaluación del control interno, tienen como objeto primario la formulación de
un programa de auditoría, que al ejecutarse permite al Contador Público emitir un dictamen
sobre los estados financieros. El fin de la revisión de los procedimientos de contabilidad y de
control interno, es averiguar cuáles son los procedimientos empleados y la eficiencia del sistema
de control interno existente, como base para determinar el alcance del examen. La revisión no
termina con las investigaciones realizadas al principio de la auditoría, sino que continúan en el
transcurso de ella.

Otro objetivo es el de tomar nota sobre cualquier modificación que pueda recomendarse para
reforzar, mejorar o simplificar el sistema existente. Estos aspectos se deben comunicar por
medio de memorándums de sugerencias, conteniendo las deficiencias localizadas en la
organización del negocio.

Según el Boletín 3050 emitido por la Comisión de Normas y Procedimientos de Auditoría,

dentro de sus generalidades nos explica que el estudio y evaluación del control interno se
efectúa con el objeto de cumplir la norma de ejecución del trabajo que requiere que “El control
interno comprende el plan de organización y todos los métodos y procedimientos que en forma
coordinada se adoptan en una entidad para salvaguardar sus activos, verificar la razonabilidad y
confiabilidad de su información financiera y la complementaria administrativa y operacional,
promover eficiencia en la operación y provocar adherencia a las políticas prescritas por la
administración.

Los diferentes tipos de sistemas de COSO que han existido en el tiempo, incluyendo la
estructura de cada uno de ellos

COSO I
En 1992 la comisión publicó el primer informe “Internal Control - Integrated Framework”
denominado COSO I con el objeto de ayudar a las entidades a evaluar y mejorar sus sistemas de
control interno, facilitando un modelo en base al cual pudieran valorar sus sistemas de control
interno y generando una definición común de “control interno”.

Según COSO el Control Interno es un proceso llevado a cabo por la dirección y el resto del
personal de una entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

 Eficacia y eficiencia de las operaciones

 Confiabilidad de la información financiera
 Cumplimiento de las leyes, reglamentos y normas que sean aplicables

La estructura del estándar se dividía en cinco componentes:

1. Ambiente de Control
2. Evaluación de Riesgos
3. Actividades de Control
4. Información y Comunicación
5. Supervisión.
 

COSO II
En 2004, se publicó el estándar “Enterprise Risk Management - Integrated Framework” (COSO
II) Marco integrado de Gestión de Riesgos que amplía el concepto de control interno a la
gestión de riesgos implicando necesariamente a todo el personal, incluidos los directores y
administradores.

COSO II (ERM) amplía la estructura de COSO I a ocho componentes:

1. Ambiente de control: son los valores y filosofía de la organización, influye en la

visión de los trabajadores ante los riesgos y las actividades de control de los
mismos.
2. Establecimiento de objetivos: estratégicos, operativos, de información y de
cumplimientos.
3. Identificación de eventos, que pueden tener impacto en el cumplimiento de
objetivos.
4. Evaluación de Riesgos: identificación y análisis de los riesgos relevantes para la
consecución de los objetivos.
5. Respuesta a los riesgos: determinación de acciones frente a los riesgos.
 6. Actividades de control: Políticas y procedimientos que aseguran que se llevan a
cabo acciones contra los riesgos.
7. Información y comunicación: eficaz en contenido y tiempo, para permitir a los
trabajadores cumplir con sus responsabilidades.
8. Supervisión: para realizar el seguimiento de las actividades.
 

COSO III
En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades que introducirá
este Marco Integrado de Gestión de Riesgos son:

 Mejora de la agilidad de los sistemas de gestión de riesgos para adaptarse a los

entornos
 Mayor confianza en la eliminación de riesgos y consecución de objetivos
 Mayor claridad en cuanto a la información y comunicación.

Conceptos Y Elementos Que Forman Parte De Cada Uno De Los Elementos Del Coso.

COMPONENTES

El  Control Interno consta de cinco componentes interrelacionados, que se derivan de la forma
como la administración maneja el ente, y están integrados a los procesos administrativos, los
cuales se clasifican como:

 Ambiente de control
 Evaluación de riesgos
 Actividades de control
 Información y comunicación
 Monitoreo
1. AMBIENTE DE CONTROL: 
Define parámetros para gestionar el control interno de la compañía que tiene que ver con la
estructura organizacional, las políticas administrativas, ética institucional y las relaciones de
jerarquía, la autoridad y responsabilidad; así como la integridad, los valores de la compañía y la
filosofía administrativa. El ambiente de control es la base sobre la que se posicionan al resto de
elementos e influye fundamentalmente en los objetivos y en la estrategia de la empresa.
Los elementos de un ambiente de control se priorizan así:

 Estructura Organizacional
 Políticas administrativas
 Ética institucional
 Valores de la compañía
 Filosofía administrativa

2. EVALUACIÓN DE RIESGOS
Durante la evaluación, los riesgos se identifican y se analizan, de acuerdo con la probabilidad de
impacto y frecuencia, para conocer sus posibles consecuencias en caso de que se presenten. En
este proceso, se analiza cada riesgo y se clasifica como alto (es muy factible que se presente),
medio (factible) o bajo (muy poco factible).
Se analiza si cada impacto puede ser interno o externo y si es alto, medio o bajo para
priorizarlos en ese orden. Esta evaluación sirve para empezar a trabajar en los riesgos más
urgentes y plantear estrategias para mitigarlos o evitarlos.
Para evaluar los riesgos, se recomienda elaborar un mapa de calor, donde se clasifique el
impacto y la probabilidad. Cada uno se identifica con un color diferente: Riesgo Alto (Rojo)-
Riesgo Medio - Alto (Naranja) - Riesgo Medio (Amarillo) - Riesgo Bajo (Verde).
Los principios que deben seguirse en la evaluación de riesgos son los siguientes:

 La organización especifica objetivos para permitir la identificación y valoración de los

riesgos.
 La organización identifica y analiza los riesgos.
 La organización evalúa el riesgo de fraude al analizar los riesgos.
 La organización identifica y evalúa los cambios en el sistema de control interno.

3. ACTIVIDADES DE CONTROL
Se refiere a las políticas y procedimientos que trazan las acciones adecuadas para gestionar los
riesgos, tomar decisiones que favorezcan la operación y el logro de los objetivos. Todas las
áreas de la compañía, sin excepción, son las responsables de ejecutar las actividades de control,
que lleven a una correcta toma de decisiones y cumplimiento de los objetivos.

Estas actividades de control, según COSO, pueden ser preventivas o de detección y pueden
abarcar una amplia gama de actividades manuales y automatizadas. Estas actividades deben
minimizar los riesgos que dificultan el logro de los objetivos de la organización.

Los principios de este componente son los siguientes:

 La organización diseña e implementa actividades de control para mitigar los riesgos.

 La organización diseña e implementa controles sobre sus sistemas de información
(tecnología).
 La organización implementa políticas y procedimientos para sus actividades de control.

4. INFORMACIÓN Y COMUNICACIÓN
Las empresas deben gestionar la información desde todas sus áreas y unificarla para tener
convergencia y hablar un mismo idioma. La información es uno de los activos más importantes
de la organización, por lo que debe protegerse y debe estar disponible para todas las áreas de la
empresa, así se disminuyen errores a la hora de identificar, clasificar, evaluar y gestionar los
riesgos.
Por ello, los líderes de cada área deben velar por recoger información que permita analizar los
riesgos e intercambiarla para tener una mirada general de la empresa.  En la medida que se
cumpla esto, habrá mejor control interno y se removerán obstáculos que amenacen el
cumplimiento de los objetivos.  
En este sentido la información no se utiliza solo para los estados financieros, sino también en la
toma de decisiones. Por esta razón, los líderes deben ser rigurosos a la hora de recoger la
información, verificarlos y confirmarlos para que sean verídicos y acertados. Entre tanto, la
comunicación es el proceso para proporcionar, compartir y obtener la información necesaria,
relevante y de calidad.
Los principios relacionados con este componente son los siguientes:

 La organización obtiene y genera información relevante para el funcionamiento del

control interno.
 La organización comunica internamente información para el funcionamiento del
control interno.
 La organización se comunica externamente con terceros respecto a situaciones que
afectan el funcionamiento del control interno.

5. MONITOREO
Un continuo monitoreo de la gestión de riesgos de la organización ayuda a que las estrategias
para mitigarlos sean efectivas y se disminuyen errores que puedan afectar las metas. Además,
sirve para comprobar la efectividad del control interno. Una adecuada gestión de riesgos se
logra con supervisión y monitoreo continuo, así como con evaluaciones frecuentes.
El monitoreo es: “Evaluaciones concurrentes o separadas, o una combinación de ambas. Es
utilizado para determinar si cada uno de los componentes del Control Interno, incluidos los
controles para efectivizar los principios dentro de cada componente, está presente y
funcionando. Los hallazgos son evaluados y las deficiencias son comunicadas oportunamente,
las significativas son comunicadas a la alta gerencia y al directorio”
Con el software de Pirani Riskment Suite podrás registrar los controles que consideres
necesarios para prevenir, detectar o corregir riesgos a los que se ven expuestos tu compañía,
podrás calificarlos a través del diseño, ejecución y solidez y, por último, podrás asociar riesgos
y responsables de supervisar estos controles.
Los principios de este componente son los siguientes:

 La organización realiza evaluaciones continuas para comprobar si los componentes del

sistema de control interno están funcionando adecuadamente.
 La organización comunica las deficiencias del control interno.

Temáticas que aborden el sistema COSO

Definiciónde“CI”
Es un proceso efectuado por el consejo de administración, la dirección y el resto del personal de
una entidad, diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto
a la consecución de objetivos dentro de las siguientes categorías:
Eficacia y eficiencia de las operaciones.
Fiabilidad de la información financiera.
Cumplimiento de las leyes y normas que sean aplicables.
No constituye un acontecimiento o tarea aislada.
Se trata de un conjunto de acciones coordinadas para lograr un fin (no es un finen sí mismo).
Esta serie de acciones se extiende por todos los niveles y actividades de una organización.
CI es parte de los procesos básicos de planificación, ejecución y supervisión
No es un elemento añadido a las actividades del ente como algunos autores piensan. No se debe
ver como una carga impuesta e inevitable, sino como un proceso entrelazado con el resto de las
actividades de la entidad.
Los CI son más efectivos cuando se incorporan a la infraestructura de una entidad:
Los CI deen ser incorporados, no añadidos.
La incorporación de controles influye directamente en la capacidad de conseguir los objetivos
que persigue la entidad, además de apoyar las iniciativas de calidad.
Los controles permiten que las empresas sean más agiles y competitivas: repercuten en la
contención de costos y en los tiempos de repuesta.

Lo llevan a cabo personas

La implementación y seguimiento del CI es llevado a cabo por el Consejo de
Administración, la Dirección y demás miembros de la entidad.
No es suficiente poseer manuales de políticas y normas.
La responsabilidad de realizarlo está en todos los niveles de la organización. Las personas son
quiénes establecen los objetivos de la organización e implementan los mecanismos de control.
A su vez, el CI afecta la actuación de las personas.
No todos los integrantes de una entidad tienen los mismos objetivos o funciones o realizan sus
cometidos de manera uniforme.
El CI persigue un vínculo estrecho entre las funciones de cada individuo, la forma de ejecución
y los objetivos de la entidad.
Busca seguridad razonable
El CI, por muy bien diseñado e implementado que esté, solamente puede aportar
un grado de seguridad razonable a la dirección y al consejo de administración acerca de la
consecución de los objetivos de la entidad. Existen limitaciones inherentes a todos los sistemas
de CI.
Problemas en el funcionamiento del sistema como consecuencia de fallos
humanos.
Los controles pueden esquivarse si dos o más personas se lo proponen.
La dirección puede creer oportuno eludir el sistema de CI.
Las opiniones sobres las que se basan las decisiones en materia de CI
pueden ser erróneas.
Los empleados encargados de la implementación del CI tienen que analizar la
relación costo/beneficio.
Para alcanzar los objetivos
Toda organización tiene una misión y visión, éstas determinan los objetivos y las
estrategias necesarias para alcanzarlos. Los objetivos se pueden establecer para el conjunto de la
organización o para determinadas actividades dentro de la misma.
Los objetivos en este informe pueden clasificarse en 3 categorías:
Operacionales: utilización eficaz y eficiente de los recursos de la entidad. Ej:
rendimiento, rentabilidad, salvaguarda de activos, etc.
Información Financiera: preparación y publicación de estados financieros fiables.

Los Diferentes Metodos De Evaluacion Del Control Interno

Una forma quizás más sencilla de obtener información sobre el funcionamiento del sistema de
control interno en una entidad será la indagación, la observación, la revisión de los manuales de
organización y funciones, manuales de contabilidad y auditoría interna, reglamento interno de
trabajo, los procedimientos e instrucciones internas y otras disposiciones adoptadas por la
administración o gerencia; así como conversaciones o entrevistas con ejecutivos sobre la
constitución, organización, capital social de la empresa, los procesos judiciales, cantidad de
trabajadores, etc. Sin embargo los medios o los métodos más utilizados para documentar
adecuadamente la evaluación del sistema de control interno en la empresa y que al mismo
tiempo puedan servir para dejar constancia de haber efectuado la evaluación son los siguientes
métodos: descriptivo, cuestionario, gráficos o flujogramas.

Clasificación De Métodos De Evalucación Del Sistema De Control Interno

Método descriptivo:

Consiste como su nombre lo indica en describir o narrar las diferentes actividades de los
departamentos, funcionarios y empleados, y los registros que intervienen en el sistema. Sin
embargo, no debe incurrirse en el error de describir las actividades de los departamentos o de
los empleados de manera aislada u objetiva. Debe hacerse la descripción siguiendo el curso de
las operaciones a través de su manejo en los departamentos citados.

Por lo general se describe procedimientos, registros, formularios, archivos, departamentos que

intervienen en el sistema de control. Éste método presenta el inconveniente que muchas
personas no tienen habilidad para expresar sus ideas por escrito en forma clara, precisa y
sintética, lo que trae como consecuencia que alguna debilidad de control no quede expresadas
en la descripción.

Método de cuestionario:

Consiste en usar como instrumento para la investigación, cuestionarios previamente formulados

que incluyen preguntas acerca de la forma en que se manejan las transacciones u operaciones de
las personas que intervienen en su manejo, la forma en que fluyen las operaciones a través de
los puestos o lugares donde se define o se determinan los procedimientos de control para la
conducción de las operaciones.

El método de cuestionario es utilizado extensamente por los auditores independientes como los
auditores internos, consiste en una encuesta sistemática presentada bajo la forma de preguntas
referidas a aspectos básicos del sistema, y ante una negativa evidencia una ausencia de control.
Los cuestionarios se pueden organizar clasificando las preguntas de acuerdo con los objetivos
de control y cada pregunta referirse a la presencia de las medidas de control para lograr el
objetivo de que se trate.

El objetivo del cuestionario de control interno es reunir información, para descubrir hechos,
evidencias, opiniones, con el fin de reunir datos o información cuantitativa. La información
obtenida debe ser tabulado, depurado y servir juntos con otros agentes como soporte del informe
de auditoría basado en los papeles de trabajo.

Los cuestionarios abordan cuestiones que los participantes deberán considerar, centrando su
reflexión en los factores internos y externos que han dado, o pueden dar lugar, a eventos
negativos.

Las preguntas pueden ser abiertas o cerradas, según sea el objetivo de la encuesta. Pueden
dirigirse a un individuo o a varios, o bien pueden emplearse en conexión con una encuesta de
base más amplia, ya sea dentro de una Organización o dirigida a clientes, proveedores o
terceros.

Características de redacción de cuestionario:

En la elaboración o la preparación de un cuestionario, el auditor debe tener presente

determinadas características fundamentales, como son:

a. El cuestionario debe redactarse de acuerdo al nivel de formación de las personas a las que se
dirige.

b. Las preguntas deben redactarse con claridad y permitir cierta libertad para que el encuestado
no se sienta inclinado a dar una determinada respuesta ni a contestar si o no.

c. Deben evitarse los términos subjetivos y si es posible las preguntas deben ser concisas y
precisas con el fin de lograr mayor concentración y evitar la fatiga al entrevistado.

d. Las preguntas han de estar encaminadas (dirigidas) para cumplir el objetivo de la evaluación
del control interno y no deben eliminar la entrevista sino complementarla.

Ejemplo de cuestionarios de Control Interno:

Método de flujogramas (Diagrama de Flujo):

Consiste en que se expone por medio de cuadros o gráficos. Si el auditor diseña un flujograma
de control interno, será preciso que visualice el flujo de la información y los documentos que se
procesan. El flujograma debe elaborarse, usando símbolos estándar, de manera que quienes
conozcan los símbolos puedan extraer información útil relativa al sistema. Si el auditor usa un
flujograma elaborado por la entidad, debe ser capaz de leerlo, interpretar sus símbolos y sacar
conclusiones útiles respecto al sistema representado por el flujograma. En algunos casos tal vez
sea aplicado el método de gráficos, en otros puede ser conveniente usar el método de
cuestionarios, y en otros puede ser más fácil o puede ser de mejor interpretación el método
descriptivo narrativo.

Este método simplifica la tarea de descripción de los procedimientos y técnicas mediante el uso
de gráficos de movimiento de transacciones, también llamadas diagramas de flujo o flow charts.
Este diagrama proporciona al lector una imagen clara del sistema, mostrando la naturaleza y
secuencia de los procedimientos, división de responsabilidades, fuentes, distribución de
documentos y situación de los registros de contabilidad.

Técnicas de Diagramación:

Diagramas de flujo de procesos:

El análisis del flujo de procesos es la representación esquemática de un proceso, con el objetivo

de comprender las interrelaciones entre las entradas, tareas, salidas y responsabilidades de sus
componentes.

Los acontecimientos pueden ser identificados y considerados frente a los objetivos del proceso.

Puede utilizarse en una visión de la organización a nivel global o a un nivel de detalle.

Diagramas de causa y efecto:

Se conocen como diagramas de Ishikawa o de espina de pescado, y son útiles para identificar las
causas de los riesgos.

Diagrama de Ciclo de Ventas:

Luego de haber realizado la evaluación del sistema de control interno en una organización se
realiza la tabulación y análisis de la información obtenida, posteriormente se emite una carta de
control interno adjuntando las observaciones y recomendaciones con la finalidad que la alta
dirección o gerencia efectúe los correctivos pertinentes y oportunos en cautela de los intereses
empresariales.

Bibliografias
https://locusder.blogspot.com/2017/03/concepo-de-derecho.html
http://bibliotecadigital.uda.edu.ar/objetos_digitales/208/conceptos-basicos-del-derecho.pdf
https://bdigital.uncu.edu.ar/objetos_digitales/6694/bertanipolesellosancheztroila-tesisfce.pdf
https://dspace.ucuenca.edu.ec/bitstream/123456789/1440/1/tcon468.pdf
https://www2.deloitte.com/content/dam/Deloitte/mx/Documents/risk/COSO-Sesion1.pdf
https://bdigital.uncu.edu.ar/objetos_digitales/6694/bertanipolesellosancheztroila-tesisfce.pdf
http://www.pearsonenespanol.com/docs/librariesprovider5/files_recursosmcc/santillana_sistema
s_de_c_i_3e_cap16.pdf