CONTROL INTERNO DE LA INFORMACIÓN FINANCIERA-GUÍA PARA

“PEQUEÑAS” EMPRESAS COTIZADAS (COSO III)

COSO (Committee of Sponsoring Organizations of the Treadway) es una

Comisión voluntaria constituida por representantes de cinco organizaciones del
sector privado en EEUU, para proporcionar liderazgo intelectual frente a tres
temas interrelacionados: la gestión del riesgo empresarial (ERM), el control
interno, y la disuasión del fraude. Las organizaciones son:

 La Asociación Americana de Contabilidad (AAA)

 El Instituto Americano de Contadores Públicos Certificados (AICPA)

 Ejecutivos de Finanzas Internacional (FEI), el Instituto de Auditores

Internos (IIA)

 La Asociación Nacional de Contadores (ahora el Instituto de Contadores

Administrativos [AMI]).

Desde su fundación en 1985 en EEUU, promovida por las malas prácticas

empresariales y los años de crisis anteriores, COSO estudia los factores que
pueden dar lugar a información financiera fraudulenta y elabora textos y
recomendaciones para todo tipo de organizaciones y entidades reguladoras
como el SEC (Agencia Federal de Supervisión de Mercados Financieros) y
otros.

COSO III

En mayo de 2013 se ha publicado la tercera versión COSO III. Las novedades

que introducirá este Marco Integrado de Gestión de Riesgos son:

 Mejora de la agilidad de los sistemas de gestión de riesgos para

adaptarse a los entornos
 Mayor confianza en la eliminación de riesgos y consecución de objetivos

 Mayor claridad en cuanto a la información y comunicación.

Las empresas deben implementar un sistema de control interno eficiente que les
permita enfrentarse a los rápidos cambios del mundo de hoy.  Es
responsabilidad de la administración y directivos desarrollar un sistema que
garantice el cumplimiento de los objetivos de la empresa y se convierta en una
parte esencial de la cultura organizacional. El Marco integrado de control interno
propuesto por COSO provee un enfoque integral y herramientas para la
implementación de un sistema de control interno efectivo y en pro de mejora
continua. Un sistema de control interno efectivo reduce a un nivel aceptable el
riesgo de no alcanzar un objetivo de la entidad.
El modelo de control interno COSO 2013 actualizado está compuesto por los
cinco componentes, establecidos en el Marco anterior y 17 principios que la
administración de toda organización debería implementar.
Entorno de control                                
Principio 1: Demuestra compromiso con la integridad y los valores éticos
Principio 2: Ejerce responsabilidad de supervisión
Principio 3: Establece estructura, autoridad, y responsabilidad
Principio 4: Demuestra compromiso para la competencia
Principio 5: Hace cumplir con la responsabilidad
Evaluación de riesgos
Principio 6: Especifica objetivos relevantes
Principio 7: Identifica y analiza los riesgos
Principio 8: Evalúa el riesgo de fraude
Principio 9: Identifica y analiza cambios importantes
Actividades de control
Principio 10: Selecciona y desarrolla actividades de control
Principio 11: Selecciona y desarrolla controles generales sobre tecnología
Principio 12: Se implementa a través de políticas y procedimientos
Principio 13: Usa información Relevante
Sistemas de información
Principio 14: Comunica internamente
Principio 15: Comunica externamente
Supervisión del sistema de control - Monitoreo
Principio 16: Conduce evaluaciones continuas y/o independientes
Principio 17: Evalúa y comunica deficiencias

Componentes

El control interno consta de cinco componentes interrelacionados, que se

derivan de la forma como la administración maneja el ente, y están integrados a
los procesos administrativos, los cuales se clasifican como:

a) Ambiente de Control.

b) Evaluación de Riesgos.

c) Actividades de Control.

d) Información y Comunicación.

e) Supervisión y Seguimiento.

El control interno, consiste en un proceso multidireccional repetitivo y

permanente, en el cual más de un componente influye en los otros y conforman
un sistema integrado que reaccionan dinámicamente a las condiciones
cambiantes.

Niveles de Efectividad

Los sistemas de control interno operan con distintos niveles de efectividad;

puede ser juzgado efectivo en cada uno de los tres grupos, respectivamente, si
el consejo de administración o junta y la gerencia tienen una razonable
seguridad de que:

• Entienden el grado en que se alcanzan los objetivos de las operaciones de las

entidades.

• Los informes financieros sean preparados en forma confiable.

• Se observen las leyes y los reglamentos aplicables.

a) Ambiente de Control
Cosiste en el establecimiento de un entorno que se estimule e influencie la
actividad del personal con respecto al control de sus actividades.

Es la base de los demás componentes de control a proveer disciplina y

estructura para el control e incidir en la manera como:

• Se estructuran las actividades del negocio.

• Se asigna autoridad y responsabilidad.

• Se organiza y desarrolla la gente.

• Se comparten y comunican los valores y creencias.

• El personal toma conciencia de la importancia del control.

Factores del Ambiente de Control:

• La integridad y los valores éticos.

• El compromiso a ser competente.

• Las actividades de la junta directiva y el comité de auditoría.

• La mentalidad y estilo de operación de la gerencia.

• La estructura de la organización.

• La asignación de autoridad y responsabilidades.

• Las políticas y prácticas de recursos humanos.

El ambiente de control tiene gran influencia en la forma como se desarrollan las

operaciones, se establecen los objetivos y se minimizan los riesgos. Tiene que
ver igualmente en el comportamiento de los sistemas de información y con la
supervisión en general. A su vez es influenciado.

b) Evaluación de Riesgos

Es la identificación y análisis de riesgos relevantes para el logro de los objetivos

y la base para determinar la forma en que tales riesgos deben ser mejorados.
Así mismo, se refiere a los mecanismo necesarios para identificar y manejar
riesgos específicos asociados con los cambios, tanto los que influyen en el
entrono de la organización como en su interior.
En toda entidad, es indispensable el establecimiento de objetivos tanto globales
de la organización como de actividades relevantes, obteniendo con ello una
base sobre la cual sean identificados y analizados los factores de riesgo que
amenazan su oportuno cumplimiento.

La evolución de riesgos debe ser una responsabilidad ineludible para

todos los niveles que están involucrados en el logro de los objetivos. Esta
actividad de autoevaluación debe ser revisada por los auditores interno para
asegurar que tanto el objetivo, enfoque, alcance y procedimiento han sido
apropiadamente llevados a cabo.

Toda entidad enfrenta una variedad de riesgos provenientes de fuentes externas

e internas que deben ser evaluados por la gerencia, quien a su vez, establece
objetivos generales y específicos e identifica y analiza los riesgos de que dichos
objetivos no se logren o afecten su capacidad para salvaguardar sus bienes y
recursos, mantener ventaja ante la competencia. Construir y conservar su
imagen, incrementar y mantener su solidez financiera, crecer, etc.

Objetivos: Su importancia es evidente en cualquier organización, ya que

representa la orientación básica de todos los recursos y esfuerzos y proporciona
una base sólida para un control interno efectivo. La fijación de objetivos es el
camino adecuado para identificar factores críticos de éxito.

Las categorías de los objetivos son las siguientes:

• Objetivos de Cumplimiento. Están dirigidos a la adherencia a leyes y

reglamentos, así como también a las políticas emitidas por la administración.

• Objetivos de Operación. Son aquellos relacionados con la efectividad y eficacia

de las operaciones de la organización.

• Objetivos de la Información Financiera. Se refieren a la obtención de

información financiera confiable.

El logro de los objetivos antes mencionados está sujeto a los siguientes

eventos:

1. Los controles internos efectivos proporcionan una garantía razonable de que

los objetivos de información financiera y de cumplimiento serán logrados, debido
a que están dentro del alcance de la administración.

2. En relación a los objetivos de operación, la situación difiere de la anterior

debido a que existen eventos fuera de control del ente o controles externos. Sin
embargo, el propósito de los controles en esta categoría está dirigido a evaluar
la consistencia e interrelación entre los objetivos y metas en los distintos niveles,
la identificación de factores críticos de éxito y la manera en que se reporta el
avance de los resultados y se implementan las acciones indispensables para
corregir desviaciones.

Los riesgos de actividades también deben ser identificados, ayudando con ello a
administrar los riesgos en las áreas o funciones más importantes; las causas en
este nivel pertenecen a un rango amplio que va desde lo obvio hasta lo complejo
y con distintos grados de significación, deben incluir entre otros aspectos los
siguientes:

• La estimación de la importancia del riesgo y sus efectos.

• La evaluación de la probabilidad de ocurrencia.

• El establecimiento de acciones y controles necesarios.

• La evaluación periódica del proceso anterior.

c) Actividades de Control

Son aquellas que realiza la gerencia y demás personal de la organización para

cumplir diariamente con las actividades asignadas. Estas actividades están
expresadas en las políticas, sistemas y procedimientos.

Las actividades de control tienen distintas características. Pueden ser

manuales o computarizadas, administrativas u operacionales, generales o
específicas, preventivas o detectivas. Sin embargo, lo trascendente es que
sin importar su categoría o tipo, todas ellas están apuntando hacia los riesgos
(reales o potenciales) en beneficio de la organización, su misión y objetivos, así
como la protección de los recursos propios o de terceros en su poder.

Las actividades de control son importantes no solo porque en sí mismas implican

la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de
asegurar en mayor grado el logro de objetivos.

d) Información y Comunicación

Están diseminados en todo el ente y todos ellos atienden a uno o más objetivos
e control. De manera amplia, se considera que existen controles generales y
controles de aplicación sobre los sistemas de información.

1. Controles Generales: Tienen como propósito asegurar una operación y

continuidad adecuada, e incluyen al control sobre el centro  de procesamiento de
datos y su seguridad física, contratación y mantenimiento del hardware y
software, así como la operación propiamente dicha. También se relacionan con
las funciones de desarrollo y mantenimiento de sistemas, soporte técnico y
administración de base de datos.

2. Controles de Aplicación: Están dirigidos hacia el interior de cada sistema y

funcionan para lograr el procesamiento, integridad y confiabilidad, mediante la
autorización y validación correspondiente. Desde luego estos controles cubren
las aplicaciones destinadas a las interfases con otros sistemas de los que se
reciben o entregan información.

Los sistemas de información y tecnología son y serán sin duda un medio para
incrementar la productividad y competitividad. Ciertos hallazgos sugieren que la
integración de la estrategia, la estructura organizacional y la tecnología de
información es un concepto clave para el nuevo siglo.

Con frecuencia se pretende evaluar la situación actual y predecir la situación

futura sólo con base en la información contable. Este enfoque es simplista, por
su parcialidad, sólo puede conducir a juicios equivocados.

Para todos los efectos, es preciso estas conscientes de que la contabilidad nos
dice, en parte, lo que ocurrió pero no lo que va a suceder en el futuro. Los
sistemas producen reportes que contienen información operacional, financiera y
de cumplimiento que hace posible conducir y controlar la organización.

La información generada internamente así como aquella que se refiere a

eventos acontecidos en el exterior, es parte esencial de la toma de decisiones
así como en el seguimiento de las operaciones. La información cumple con
distintos propósitos a diferentes niveles.

e) Supervisión y Seguimiento

En general, los sistemas de control están diseñados para operar en

determinadas circunstancias. Claro está que para ello se tomaron en
consideración los objetivos, riesgos y las limitaciones inherentes al control; sin
embargo, las condiciones evolucionan debido tanto a factores externos como
internos, provocando con ello que los controles pierdan su eficiencia.

Como resultado de todo ello, la gerencia debe llevar a cabo la revisión y

evaluación sistemática de los componentes y elementos que forman parte de los
sistemas de control. Lo anterior no significa que tenga que revisarse todos los
componentes y elementos, como tampoco que deba hacerse al mismo tiempo.
La evaluación debe conducir a la identificación de los controles débiles,
insuficientes o innecesarios, para promover con el apoyo decidido de la
gerencia, su robustecimiento e implantación. Esta evaluación puede llevarse
a cabo de tres formas: durante la realización de las actividades diarias en los
distintos niveles de la organización; de manera separada por personal que no es
el responsable directo de la ejecución de las actividades (incluidas las de
control) y mediante la combinación de las dos formas anteriores. Para un
adecuado seguimiento (monitoreo) se deben tener en cuenta las siguientes
reglas:

• El personal debe obtener evidencia de que el control interno está funcionando.

• Sí las comunicaciones externas corroboran la información generada

internamente.

• Se deben efectuar comparaciones periódicas de las cantidades registradas en

el sistema de información contable con el físico de los activos.

• Revisar si se han implementado controles recomendados por los auditores

internos y externos; o por el contrario no se ha hecho nada o poco.

• Sí son adecuadas, efectivas y confiables las actividades del departamento de

la auditoría interna.

Informe de las deficiencias

El proceso de comunicar las debilidades y oportunidades de mejoramiento

de los sistemas de control, debe estar dirigido hacia quienes son los
propietarios y responsables de operarlos, con el fin de que implementen
las acciones necesarias. Dependiendo de la importancia de las debilidades
identificadas, la magnitud del riesgo existente y la probabilidad de ocurrencia, se
determinará el nivel administrativo al cual deban comunicarse las deficiencias.

Participantes en el control y sus responsabilidades.

Dentro de un ente económico las responsabilidades sobre el control

corresponden a:
 
 CONCLUSIONES

1. las empresas pueden lograr eficiencia adicional en el diseño e

implementación o evaluación del control interno si se centran únicamente
en los objetivos de reporte de la información financiera directamente
aplicables a las actividades y circunstancias de la empresa, adoptando un
enfoque para el control interno basado en riesgo, racionalizando
documentación, viendo el control interno como un proceso integrado y
considerando la totalidad del mismo

2. Las características de las empresas más pequeñas proporcionan desafíos

significativos para mantener un control interno a coste razonable. Este es
el caso particular donde los gerentes ven el control como una carga
administrativa que se suma a los sistemas de negocio existentes, en lugar
de reconocer la necesidad y beneficio de un control interno eficaz
integrado con los procesos clave de negocio.

3. Aunque todas las empresas incurren en gastos incrementales para

diseñar e informar del control interno sobre el reporte de la información
financiera, los costes pueden ser proporcionalmente más altos para las
empresas más pequeñas. Sin embargo, a pesar de las limitaciones de
recursos, las empresas más pequeñas suelen poder cumplir con este
desafío y lograr un control interno eficaz a coste razonable.
 GLOSARIO

Procesos de control - Las políticas, procedimientos (manuales y automáticas)

y actividades, los cuales forman parte de un enfoque de control, diseñados y
operados para asegurar que los riesgos estén contenidos dentro del las
tolerancias establecidas por el proceso de evaluación de riesgos nivel que una
organización está dispuesta a aceptar.

Programa de trabajo - Un documento que consiste en una lista de los

procedimientos a seguir durante un trabajo, diseñado para cumplir con el plan
del trabajo.

Proveedor externo de servicios - Una persona o empresa, ajena a la

organización, que posee conocimientos, técnicas y experiencia especiales
en una disciplina en particular.

Riesgo - La posibilidad de que ocurra un acontecimiento que tenga un

impacto en el alcance de los objetivos. El riesgo se mide en términos de
impacto y probabilidad.

Norma - Un pronunciamiento profesional promulgado por el Consejo de

Normas de Auditoría Interna que describe los requerimientos para
desempeñar un amplio rango de actividades de auditoría interna y para
evaluar el desempeño de la auditoría interna.
 BIBLIOGRAFÍA

1. [Link]
interno-segun-coso-iii

2. [Link]