Estructura del control interno

Podemos decir que a la par del origen de la contabilidad surgió la necesidad de tener la certeza de que lo registrado se
realizó de manera correcta y, por ende, controlado; sin embargo, no fue sino hasta después de la serie de los
escándalos financieros que se dieron en el año 2000, que los hombres de negocios se preocuparon por formar y
establecer sistemas adecuados para la protección de sus intereses.

De acuerdo con el libro Normas internacionales de Auditoría y control de calidad, el concepto de control de calidad se
define como:

Proceso diseñado, implementado y mantenido por los encargados del gobierno corporativo, la Administración y otro
personal para proporcionar seguridad razonable sobre el logro de los objetivos de la Entidad, respecto a la
confiabilidad de la información financiera, efectividad y eficiencia de las operaciones y el cumplimiento de las leyes y
regulaciones aplicables.

El término de “control” se refiere a cualquier aspecto de uno o más de los componentes de control interno.

Por otra parte, Santillana (2003) en su libro lo define como:

El control interno comprende el plan de Entidad y todos los métodos y procedimientos que en forma coordinada
son adoptados por una Entidad para la salvaguarda de sus activos, verificar la razonabilidad y confiabilidad de su
información financiera y de la complementaria administrativa, operacional, promover eficiencia operativa y
estimular la adhesión a las políticas prescritas por la Administración.

Ahora bien, con base en las dos definiciones anteriores, vemos que el control interno es un elemento
fundamental de la Administración que no se debe dejar de considerar en toda la Entidad, cualquiera
que sea su clasificación, actividad, tamaño o conformación.

El alcance del sistema del control interno estuvo limitado más a las áreas contables y financieras de la
Entidad, ya que se tenía la cultura de que era inherente a dichas áreas y de que el resto de las áreas
operacionales y sus trabajadores no se sentían involucrados, situación equivocada en su totalidad,
toda vez que el control interno le es aplicable a todas las áreas y personas de la Entidad.

Para llevar a cabo una evaluación del control interno es indispensable ver a la Entidad con un enfoque
integral, y considerar los aspectos tanto internos como externos. Cabe recordar que el controlinterno
es muy particular y único como cada Entidad.
La estructura del control interno de una Entidad consiste en las políticas y procedimientos establecidos
para proporcionar una seguridad razonable y lograr los objetivos específicos de la Entidad. Esta estructura
consiste en los siguientes elementos:

1. Ambiente de control.
2. Evaluación de riesgos.
3. Sistema de información y comunicación.
4. Actividades de control.
5. Monitoreo.
Objetivos del control interno
Suficiencia y confiabilidad de la información financiera
La contabilidad capta las operaciones, las procesa y produce información financiera necesaria
para que los usuarios tomen decisiones. Ésta tendrá utilidad si su contenido es confiable y si es
presentada a los usuarios con la debida oportunidad. Será confiable si la Entidad cuenta con un
sistema que permita su estabilidad, objetividad y verificabilidad.

Si se cuenta con un apropiado sistema de información financiera, se ofrecerá mayor protección a

los recursos de la Entidad, a fin de evitar sustracciones y demás peligros que los amenacen.
Algunos ejemplos son:

a) Comparar los registros contables de los activos con los existentes a intervalos razonables.
b) Utilizar máquinas registradoras para ingresos.
c) Asegurar de forma apropiada los activos de la Entidad.
Efectividad y eficiencia de las operaciones
Se debe tener la seguridad de que las actividades se cumplan de manera cabal con un mínimo esfuerzo y
la utilización de recursos, así como un máximo de utilidad de acuerdo con las autorizaciones generales
especificadas por la Administración. Por ejemplo, el establecimiento de un sistema de incentivos a la
producción.

Cumplimiento de las leyes y regulaciones aplicables

Toda acción que se emprenda por parte de la Administración de la Entidad, debe estar enmarcada dentro
de las disposiciones legales del país y debe obedecer al cumplimiento de toda la normatividad que le sea
aplicable al ente. Este objetivo incluye las políticas que emita la alta Administración, las cuales deben ser
conocidas lo suficiente por todos los integrantes de la Entidad para que se adhieran a ellas como propias y
así lograr el éxito de la misión que ésta se propone.
Control administrativo y control financiero
La importancia del control administrativo radica en que el solo hecho de establecer planes y objetivos, o
que los subordinados acepten los objetivos, no es garantía de que las acciones necesarias para lograrlos
se hayan instrumentado o cumplido como se esperaba; por lo tanto, el administrador eficaz necesita hacer
seguimientos para asegurarse de que las acciones que se supone que otros deben hacer, se hagan, ya
que los objetivos deben cumplirse de manera adecuada.

Por otra parte, el control financiero permite comparar lo realizado y programado desde el punto de vista
financiero, con la finalidad de introducir las correcciones pendientes en tiempo oportuno.
Modelo COSO
El Committee of Sponsoring Organizations of the Treadway Commission (COSO) es el resultado de la investigación
del citado grupo que define un nuevo marco conceptual de control interno, capaz de integrar las diversas
definiciones y los conceptos que se utilizan sobre este tema.

Antecedentes
En 1992 se publicó un informe denominado Internal Control–Integrated Framework (IC-IF), conocido también
como COSO I, el cual fue adoptado por el sector público y privado en Estados Unidos por el Banco Mundial y por
el BID, y se extendió muy rápido por toda Latinoamérica.

El estudio ha tenido gran aceptación y difusión en los medios financieros, resaltando la necesidad de que los altos
directores presten atención al control interno, tal como COSO lo define, enfatizando la necesidad de los comités
de Auditoría y de una calificada Auditoría interna y externa, recalcando la necesidad de que el control interno
forme parte de los diferentes procesos y no de mecanismos burocráticos.
con el fin de detectar, en un plazo deseado, cualquier desviación respecto a los objetivos de rentabilidad establecidos
para cada Entidad, además de prevenir cualquier evento que evite el logro de los objetivos y obtenga información
confiable y oportuna para el cumplimiento de las leyes y los reglamentos.

El control interno se define como un proceso efectuado por el consejo de Administración, la

Administración y el resto del personal de una Entidad, diseñado con el objeto de proporcionar un grado de seguridad
razonable en cuanto a la consecución de objetivos dentro de las siguientes categorías:

• Eficacia y eficiencia de las operaciones.

• Confiabilidad de la información financiera.
• Cumplimiento de las leyes y normas aplicables.

La anterior definición refleja ciertos conceptos fundamentales:

• El control interno es un proceso, un medio utilizado para la consecución de un fin, no un fin
en sí mismo.
• El control interno lo llevan a cabo las personas, no se trata solo de manuales de políticas e
impresos, sino de personas en cada nivel de la Entidad.
• El control interno solo aporta un grado de seguridad razonable, no la seguridad total, a la
Administración y al consejo de administración de la Entidad.
• El control interno está pensado para facilitar la consecución de objetivos propios de cada
Entidad.
Enseguida se mencionan las limitaciones del control interno:

• Establecimiento de adecuados objetivos, como la precondición para el control interno.

• Juicio humano en la toma de decisiones que puede ser equivocado o sujeto a parcialidades.
• Errores productos del error humano.
• Posibilidad de anulación de controles por la gerencia.
• Posibilidad de burlar controles por la colusión entre distintos actores.
• Factores externos más allá del control de la Entidad.

El ambiente de control es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a cabo el
control interno por medio de la Entidad. El Director y la alta gerencia establecen el ejemplo en relación con la
importancia del control interno y las normas de conducta esperada.
empleados de la Entidad, la filosofía y estilo de la Administración, la manera en que esta última
asigna la autoridad y las responsabilidades, así como la Entidad y el desarrollo profesional de sus
empleados, y la atención y orientación que proporciona el consejo de Administración.
La evaluación de riesgos es la identificación y análisis de riesgos relevantes para el logro de los objetivos
y la base para determinar la forma en que tales riesgos deben ser mejorados. En toda Entidad
es indispensable el establecimiento de objetivos tanto globales de la Entidad como de actividades
relevantes, obteniendo con ello una base sobre la cual sean identificados y analizados los factores
de riesgo que amenazan su oportuno cumplimiento.
Los sistemas de información y comunicación son y serán sin duda un medio para incrementar la productividad
y competitividad. Tanto la información generada de manera interna como aquella que
se refiere a eventos acontecidos en el exterior son parte esencial de la toma de decisiones, así como
en el seguimiento de las operaciones.
Las actividades de control son aquellas que realiza la gerencia y demás personal de la Entidad
para cumplir todos los días con las actividades asignadas. Éstas están expresadas en las políticas,
sistemas y procedimientos. Las actividades de control son importantes no solo porque en sí
mismas implican la forma correcta de hacer las cosas, sino debido a que son el medio idóneo de
asegurar en mayor grado el logro de objetivos.
Durante el monitoreo, la gerencia debe llevar a cabo la revisión y evaluación sistemática de los componentes
y elementos que forman parte de los sistemas de control. La evaluación debe conducir a
la identificación de los controles débiles, insuficientes o innecesarios para promover, con el apoyo
decidido de la gerencia, su robustecimiento e implantación.

Control interno: Sector público vs. Sector privado

La Administración pública tiene bajo su responsabilidad el cuidado, manejo y utilización de los bienes
públicos, en beneficio y bien común de todas las personas que habitan el territorio nacional,
dentro del marco de la Constitución y las leyes.
La principal tarea de los órganos de fiscalización del sector público en México consiste en revisar
que todo ente gubernamental cumpla con la obligación de entregar cuentas claras y transparentes
sobre el ingreso y destino de los recursos públicos asignados en el presupuesto federal; así como
en la presentación de los logros alcanzados en el ejercicio.
Por su parte, el control interno abarca al conjunto de mecanismos implementados al interior de las
instituciones gubernamentales, con objeto de examinar el gradual avance del cumplimiento de sus
metas y objetivos, y la adecuada Administración de los recursos y de los riesgos inherentes.
El control interno, cuyo principal propósito persigue el logro de los objetivos institucionales, es también
un proceso de autovigilancia que debe proporcionar eficacia y eficiencia de las operaciones,
confiabilidad de la información financiera y operativa, y cumplimiento de las leyes y normatividad
aplicable.
Es importante destacar que en el caso de la Auditoría Superior de la Federación (ASF), ésta ha desarrollado
una metodología automatizada en sus revisiones a estados y municipios, integrada por
entrevistas, cuestionarios y matrices. Normalmente en el sector público, la revisión del control interno
recae sobre los órganos de vigilancia y control, los cuales están conformados por los Órganos
Internos de Control (OIC) y los delegados y comisarios públicos propietarios (DC).
Los OIC se encargan de ejecutar el sistema de control y evaluación gubernamental, es decir, controlar
que los procesos y procedimientos que realizan los servidores públicos en las dependencias
y entidades federales estén apegados a la legalidad y que coadyuven a los objetivos sustantivos de
estas instituciones y, en caso de no ser así, son quienes poseen la autoridad para atender, tramitar
y resolver las quejas o denuncias presentadas por la ciudadanía contra presuntas irregularidades
administrativas cometidas por los servidores públicos.
La estructura básica de los OIC cuenta con un titular para cada una de las siguientes áreas: Órgano
Interno de Control, Responsabilidades, Auditoría y Quejas.
Por su parte, el control interno en el sector privado es establecido por las juntas o consejos directivos
en su calidad de administradores, quienes definen las políticas y diseñan los procedimientos
de control que deben implantarse, así como ordenar y vigilar que éstas se ajusten a las necesidades
de la Entidad, permitiéndole realizar de forma adecuada su objeto social y alcanzar sus
objetivos.
Sin embargo, por vivir en un mundo de globalización económica, algunas Entidades emplean estándares
de control interno que rigen a nivel mundial, entre ellos se encuentran los modelos: COSO,
COBIT y COCO.
En este sector, dependiendo del tamaño de la Entidad, se cuenta con un departamento de Auditoría
interna o también denominado contraloría; no obstante, se tenga o no esta área específica en la
Entidad, sí corresponde a la Administración dictaminar las políticas generales de la Entidad y establecer
los procedimientos sobre los cuales operará la Entidad.
Referencias
Curso sobre COSO impartido en el IMCP.
Instituto Mexicano de Contadores Públicos (2016). Normas de Auditoría para atestiguar, revisión y
otros servicios relacionados. México.
Presentación del Manual de control interno de la Secretaría de la Función Pública. “Fiscalización y
control interno” (abril 2015), recuperado de: [Link]
MSG121010_SFP.pdf
Santillana González, Juan Ramón (2003). Establecimiento de los sistemas de control interno. 2ª ed.
México: Thomson.

Sitios
[Link]
[Link]
[Link]

Videos sugeridos para complementar aprendizaje

1. Control empresarial, recuperado de: [Link]
2. Control interno, recuperado de: [Link]
3. El control interno 2010: [Link]
QDM2SlmzgZmZtyGxEYnb_i&index=3
4. El control interno INTRO: [Link]
5. Etapas del control interno: [Link]
CONTROL INTERNO

COSO
 Definición de control interno

El control interno es el proceso diseñado y ejecutado

por los encargados de la dirección de la entidad, la
gerencia y otro personal para proveer una certeza
razonable sobre el logro de los objetivos de la entidad
con respecto a:

• La confiabilidad de la emisión de informes

financieros.
• La eficacia y eficiencia de las operaciones.
• El cumplimiento de las leyes y regulaciones
aplicables.

Por lo tanto, el control interno se diseña y se implanta

para abordar los riesgos identificados del negocio que
amenacen el logro de cualquiera de estos objetivos.
 7.2 Marco de referencia COSO

En la actualidad, la implementación de los controles requiere de

un sistema integral de control interno que garantice su ejecución
entre las áreas administrativas y operativas con el fin de ser
eficientes, garantizar los activos y el mantenimiento en el
transcurso del tiempo del propio sistema, entre otros.

La mayoría de las entidades ha adoptado COSO (Committee of

Sponsoring Organizations of the Treadway) como sistema integral
y también para evaluar el desempeño del propio sistema. COSO
ofrece un método para alinear los riesgos y objetivos de los
procesos, utilizando los recursos de una manera más eficiente,
reducir los imprevistos y pérdidas operativas y mejorar la
capacidad de respuesta a los riesgos.

Así como la opinión del auditor sobre los estados financieros se

refiere a que, si los mismos son razonables en sus cifras con
respecto a un marco contable, llámese IFRS, NIF o US GAAP, para
opinar sobre la efectividad de un sistema de control interno es
necesario partir de un marco de referencia sobre el mismo.
La SEC y el PCAOB reconocieron como un marco de
referencia adecuado sobre el control interno el emitido
por COSO. Si bien reconocen la posibilidad de aplicar otro
marco de control interno, el marco de COSO ha sido el más
reconocido y aplicado. Bajo las circunstancias del
ambiente de negocios que siguió a los escándalos
financieros de 2000 y 2008, COSO cubrió cabalmente las
necesidades de ese momento.

En el caso de México se ha adoptado como un sistema de

evaluación de control interno por los auditores externos y
es un marco de control y riesgos aceptado por parte de la
Comisión Nacional Bancaria y de Valores (CNBV).

En mayo de 2013 COSO publicó la actualización al marco

integrado de control interno (COSO 2013) que sustituyó al
anterior COSO 1992. El nuevo marco es el resultado de
una vasta aportación de distintos interesados del
ambiente de negocios, firmas de auditoría, participantes
en los mercados financieros y estudiosos del tema. Se
actualiza periódicamente incluyendo aspectos de TI.
El marco de COSO mantiene la definición y los cinco
componentes de control interno, pero al mismo tiempo incluye
mejoras y aclaraciones con el objetivo de facilitar el uso y su
aplicación en las entidades.

COSO propone desarrollar el marco original, empleando

“principios” y “puntos de interés” con el objetivo de ampliar y
actualizar los conceptos de control interno previamente
planteados sin dejar de reconocer los cambios en el entorno
empresarial y operativo.

En esta actualización, COSO propone desarrollar el marco original

mediante la inclusión de diecisiete principios de control que
representan el elemento fundamental asociado a cada
componente del control y que estos deben de estar operando en
forma conjunta. Proporciona “puntos de enfoque” o
características importantes de los principios; al tiempo que
reconoce que el diseño y la implementación de controles
relevantes para cada principio y componente, requiere de juicio y
serán diferentes de acuerdo a la organización.
COSO responsabiliza a la administración quien deberá asegurar que cada uno de los componentes y principios
relevantes del control interno estén presentes y en funcionamiento, con el fin de contar con un sistema eficaz de
control interno para prevenir y detectar errores y fraudes. También concluye que una deficiencia importante en un
componente o principio de control no se puede mitigar con eficacia por la función de otros componentes y principios
de control, considerando:

• Adaptabilidad del marco de COSO.

• Inclusión de buenas prácticas de Gobierno.
• Fortalecimiento de la rendición de cuentas.
• Relevancia del error y fraude.
• Mayor nivel de competencia de los funcionarios.
• Integración de conceptos como riesgo inherente, nivel de tolerancia.
• Consideraciones sobre los servicios de outsourcing y cómo los monitorea la administración.
• Relevancia de los sistemas de información, el tema de TI se relaciona con 14 de los 17 principios.
• Para las entidades registrantes en SEC cuyo marco de control interno sea COSO, la transición fue obligatoria en 2014.
• Si el COSO de 1992 se ha aplicado correctamente, la transición al COSO 2013 no debe originar cambios significativos
en los sistemas de control interno de los registrantes en
SEC, pero hay que hacer la tarea con tiempo suficiente. En forma semejante las
actualizaciones subsecuentes donde se incluyen aspectos de TI.
7.3 Componentes del control interno

El enfoque consiste en diseñar e implementar cinco componentes que, al

aplicarlos de una manera sistemática y disciplinada, permitan lograr los
tres objetivos que persigue el sistema de control interno, tal como se
indica en su definición.

Para el desarrollo de los componentes del modelo COSO, su enfoque

hace énfasis en ligar dichos componentes al proceso de evaluación de
riesgos contables, considerando que la evaluación de riesgos no es
estrictamente un proceso secuencial, donde una fase afecta a la que le
sigue, sino que es multidireccional, mediante un proceso interactivo, en
donde casi todas las fases pudieran influir en las otras, sus componentes
son:

• Ambiente de control.
• Evaluación de riesgos.
• Procedimientos o actividades de control.
• Información y comunicación.
• Supervisión o vigilancia.
El ambiente de control refleja el espíritu ético vigente en una entidad respecto del
comportamiento de los agentes, la responsabilidad con que encaran sus
actividades y la importancia que le asignan al control interno.

Sirve de base de los otros componentes, ya que es dentro del ambiente reinante
que se evalúan los riesgos y se definen las actividades de control tendientes a
neutralizarlos. De manera simultánea se capta la información relevante y se
realizan las comunicaciones pertinentes, dentro de un proceso supervisado y
corregido de acuerdo con las circunstancias.

El modelo refleja el dinamismo propio de los sistemas de control interno. Así, la

evaluación de riesgos no solo influye en las actividades de control, sino que
también pone de relieve la conveniencia de reconsiderar el manejo de la
información y la comunicación.
Ambiente de control

Principio 1: Demostrar compromiso con la integridad y

valores éticos.

Principio 2: El consejo de administración ejerce su

responsabilidad de supervisión del control interno.

Principio 3: Establecimiento de estructuras, asignación de

autoridades y responsabilidades.

Principio 4: Demuestra su compromiso de reclutar,

capacitar y retener personas competentes.

Principio 5: Retiene a personal de confianza ycomprometido

con las responsabilidades de control interno.

El ambiente de control define al conjunto de circunstancias

que enmarcan el accionar de una entidad, desde la
perspectiva del control interno y que, por lo tanto, son
determinantes del grado en que los principios de este
último imperan sobre las conductas y los procedimientos
organizacionales.
Es, fundamentalmente, consecuencia de la actitud asumida por la alta dirección, la gerencia y por el carácter reflejo,
los demás agentes en relación con la importancia del control interno y su incidencia sobre las actividades y
resultados.

Fija el tono de la organización y, sobre todo, provee disciplina por medio de la influencia que ejerce sobre el
comportamiento del personal en su conjunto.

Constituye el andamiaje para el desarrollo de las acciones y de allí deviene su trascendencia, pues como conjunción
de medios, operadores y reglas, previamente definidas, traduce la influencia colectiva de varios factores en el
establecimiento, fortalecimiento o debilitamiento de políticas y procedimientos efectivos en una organización.
Los principales factores del ambiente de control son:

• Filosofía y estilo de la dirección y la gerencia.

• Estructura, el plan organizacional, los reglamentos y los manuales de procedimiento.
• Integridad, los valores éticos, la competencia profesional y el compromiso de todos los componentes de la
organización, así como su adhesión a las políticas y objetivos establecidos.
• Formas de asignación de responsabilidades y de administración y desarrollo del personal.
• Grado de documentación de políticas y decisiones, y de forMulación de programas que contengan metas, objetivos
e indicadores de rendimiento.
En las organizaciones que lo justifiquen, la existencia de consejos de administración
y comités de auditorías con suficiente grado de independencia y calificación
profesional.

El ambiente de control reinante será tan bueno, regular o malo como lo sean los
factores que lo determinan. El mayor o menor grado de desarrollo y excelencia de
estos hará, en ese mismo orden, la fortaleza o debilidad del ambiente que generan
y, en consecuencia, el tono de la organización.

Evaluación del riesgo

Principio 6: Se especifican objetivos claros para identificar y evaluar riesgos para el

logro de los objetivos.

Principio 7: Identificación y análisis de riesgos para determinar cómo se deben

mitigar.

Principio 8: Considerar la posibilidad del fraude en la evaluación de riesgos.

Principio 9: Identificar y evaluar cambios que podrían afectar significativamente el

sistema de control interno.
El control interno ha sido pensado esencialmente para limitar los riesgos de errores
y fraudes que afectan las actividades de las organizaciones.

Por medio de la investigación, el análisis de los riesgos relevantes y el punto al que

el control vigente los neutraliza, se evalúa la vulnerabilidad del sistema. Para ello,
debe adquirirse un conocimiento práctico de la entidad y sus componentes, a
manera de identificar los puntos débiles, enfocando los riesgos tanto al nivel de la
organización (interno y externo) como al de la actividad.

El establecimiento de objetivos es anterior a la evaluación de riesgos. Si bien

aquellos no son un componente del control interno, constituyen un requisito previo
para el funcionamiento del mismo.
Los objetivos, relacionados con las operaciones, con la información financiera y con
el cumplimiento, pueden ser explícitos o implícitos, generales o particulares. Al
establecer los objetivos globales y por actividad, una entidad puede identificar los
factores críticos del éxito y determinar los criterios para medir el rendimiento.

Al respecto, cabe recordar que los objetivos de control deben ser específicos, así
como adecuados, completos, razonables e integrados a los globales de la
institución.
Una vez identificados, el análisis de los riesgos incluirá:

• Estimación de su importancia/trascendencia.
• Evaluación de la probabilidad/frecuencia.
• Definición del modo en que se manejarán.

Debido a que las condiciones en las cuales se desenvuelven las entidades suelen sufrir variaciones, se necesitan
mecanismos para detectar y encarar el tratamiento de los riesgos asociados con el cambio. Aunque el proceso de
evaluación es similar al de los otros riesgos, la gestión de los cambios merece efectuarse, independientemente,
tomando en cuenta su importancia y las posibilidades de que pasen inadvertidos para quienes están inmersos en las
rutinas de los procesos.

Existen circunstancias que pueden merecer una atención especial en función del impacto potencial que plantean:

• Cambios en el entorno.
• Redefinición de la política institucional.
• Reorganizaciones o reestructuraciones internas.
• Ingreso de empleados nuevos o rotación de los existentes.
• Nuevos sistemas, procedimientos y tecnologías.
• Aceleración del crecimiento.
• Nuevos productos, actividades o funciones.
Los mecanismos para prever, identificar y administrar los cambios deben estar orientados
hacia el futuro, para anticipar los más significativos mediante sistemas de alarma
complementados con planes para un abordaje adecuado de las variaciones.

Actividades o procedimientos de control

Principio 10: Selección y desarrollo de actividades de control que contribuyan a mitigar los
riesgos a niveles aceptables.

Principio 11: La organización selecciona y desarrolla actividades de controles generales de

tecnología para apoyar el logro de los objetivos.

Principio 12: La organización implementa las actividades de control a través de políticas y

procedimientos.

Las actividades de control están constituidas por los procedimientos específicos establecidos
como un reaseguro para el cumplimiento de los objetivos, orientados primordialmente hacia
la prevención y neutralización de los riesgos.
Dichas actividades se ejecutan en todos los niveles de la organización y en cada una de las
etapas de la gestión, partiendo de la elaboración de un mapa de riesgos, según lo expresado
en el punto anterior: conociendo los riesgos, se disponen los controles destinados a evitarlos
o minimizarlos, los cuales pueden agruparse en tres categorías, según el objetivo de la
entidad con el que estén relacionados:
• Operaciones.
• Confiabilidad de la información financiera.
• Cumplimiento de leyes y reglamentos.
En muchos casos, las actividades de control pensadas para un objetivo suelen ayudar a otros:
las operacionales pueden contribuir a las relacionadas con la confiabilidad de la información
financiera, estas al cumplimiento normativo y así sucesivamente.
A su vez, en cada categoría existen diversos tipos de control:
• Preventivo/correctivos,
• Manuales/automatizados o informáticos,
• Gerenciales o directivos.
En todos los niveles de la organización existen responsabilidades de control y es preciso que
los agentes conozcan cuáles les competen, por lo que se debe explicitar claramente tales
funciones.
La gama que se expone a continuación muestra la amplitud de las actividades de control,
pero no constituye la totalidad de las mismas:
• Análisis efectuados por la dirección.
• Seguimiento y revisión por parte de los responsables de las diversas funciones o
actividades.
• Comprobación de las transacciones en cuanto a su exactitud, totalidad y autorización
pertinente: aprobaciones, revisiones, cotejos, recálculos, análisis de consistencia.
• Controles físicos patrimoniales: arqueos, conciliaciones, recuentos.
• Dispositivos de seguridad para restringir el acceso a los activos y registros.
• Segregación de funciones.
• Aplicación de indicadores de rendimiento.

Es necesario remarcar la importancia de contar con buenos controles de las tecnologías de

información, pues estas desempeñan un papel fundamental en la gestión, destacándose al
respecto el centro de procesamiento de datos, la adquisición, implantación y mantenimiento
del software, la seguridad en el acceso a los sistemas, los proyectos de desarrollo y
mantenimiento de las aplicaciones.
A su vez, los avances tecnológicos requieren una respuesta profesional calificada y
anticipativa desde el control.
Información y comunicación
Principio 13: Se genera y utiliza información de calidad para apoyar el funcionamiento del
control interno.
Principio 14: Se comunica internamente los objetivos y las responsabilidades de control
interno.
Principio 15: Se comunica externamente los asuntos que afectan el funcionamiento de los
controles internos.
Así como es necesario que todos los agentes conozcan el papel que les corresponde
desempeñar en la organización (funciones y responsabilidades), es imprescindible que
cuenten con la información periódica y oportuna que deben manejar para orientar sus
acciones en consonancia con los demás, hacia el mejor logro de los objetivos.
La información relevante debe ser captada, procesada y transmitida de tal modo que llegue de
manera oportuna a todos los sectores, permitiendo asumir las responsabilidades individuales.
La información operacional, financiera y de cumplimiento, conforma un sistema para
posibilitar la dirección, ejecución y control de las operaciones. Está conformada no solo por
datos generados internamente, sino por aquellos provenientes de actividades y condiciones
externas, necesarios para la toma de decisiones.
Los sistemas de información permiten identificar, recoger, procesar y divulgar datos relativos a los hechos o actividades
internas y externas, y muchas veces funcionan como herramientas de supervisión mediante rutinas previstas para tal
efecto. No obstante, resulta importante mantener un esquema de información acorde con las necesidades institucionales
que, en un contexto de cambios constantes, evolucionan rápidamente. Por lo tanto, deben adaptarse, distinguiendo entre
indicadores de alerta y reportes cotidianos en apoyo de las iniciativas y
actividades estratégicas, mediante la evolución desde sistemas exclusivamente financieros a otros integrados con las
operaciones para un mejor seguimiento y control de las mismas.

Ya que el sistema de información influye sobre la capacidad de la dirección para tomar decisiones de gestión y control, la
calidad de aquel resulta de gran trascendencia y se refiere, entre otros, a los aspectos de contenido, oportunidad,
actualidad, exactitud y accesibilidad.

La comunicación es inherente a los sistemas de información. Las personas deben conocer a tiempo las cuestiones
relativas a sus responsabilidades de gestión y control. Cada función ha de especificarse con claridad, entendiendo en ello
los aspectos relativos a la responsabilidad de los individuos dentro del sistema de control interno.

Asimismo, el personal tiene que saber cómo están relacionadas sus actividades con el trabajo de los demás, cuáles son los
comportamientos esperados, de qué manera deben comunicar la información relevante que generen.

Los informes deben transferirse adecuadamente por medio de una comunicación eficaz. Esto es, en el más amplio
sentido, incluyendo una circulación multidireccional de la información:
ascendente, descendente y transversal.
La existencia de líneas abiertas de comunicación y una clara voluntad de escuchar por parte
de los directivos resultan vitales.
Además de una buena comunicación interna, es importante una eficaz comunicación externa
que favorezca el flujo de toda la información necesaria, y en ambos casos importa contar con
medios eficaces, dentro de los cuales la actitud que asume la dirección en el trato con sus
subordinados es tan importante como los manuales de políticas, memorias, difusión
institucional, canales formales e informales. Una entidad con una historia basada en la
integridad y una sólida cultura de control no tendrá dificultades de comunicación. Una acción
vale más que mil palabras.
Actividades de monitoreo
Principio 16: Se llevan a cabo evaluaciones sobre la marcha y por separado para determinar
si los componentes del control interno están presentes y funcionando.
Principio 17: Se evalúa y comunica oportunamente las deficiencias del control interno a los
responsables de tomar acciones correctivas, incluyendo la alta administración y el consejo de
administración.
Incumbe a la dirección la existencia de una estructura de control interno idónea y eficiente,
así como su revisión y actualización periódica para mantenerla en un nivel adecuado y que
funcione para prevenir y detectar errores y fraudes y, luego, un sistema estable para corregir
controles que no están funcionando adecuadamente.
Procede la evaluación de las actividades de control de los sistemas a través del tiempo, pues
toda organización tiene áreas donde los mismos están en desarrollo, necesitan ser reforzados
o se impone directamente su reemplazo, debido a que perdieron su eficacia o resultaron
inaplicables. Las causas pueden encontrarse en los cambios internos y externos a la gestión
que, al variar las circunstancias, generan nuevos riesgos a afrontar.
Nuevamente se hace énfasis en el objetivo de asegurar que el control interno funciona
En cuanto a las evaluaciones puntuales, corresponden las siguientes consideraciones:
a) Su alcance y frecuencia están determinados por la naturaleza e importancia de los cambios
y riesgos que estos conllevan, la competencia y experiencia de quienes aplican los controles,
y los resultados de la supervisión continuada.
b) Son ejecutados por los propios responsables de las áreas de gestión (autoevaluación), la
auditoría interna (incluida en el planeamiento o solicitada especialmente por la dirección), y
los auditores externos.
c) Constituyen en sí todo un proceso dentro del cual, aunque los enfoques y técnicas varíen,
priman una disciplina apropiada y principios insoslayables.
d) La tarea del evaluador es averiguar el funcionamiento real del sistema: que los controles
existan y estén formalizados, que se apliquen cotidianamente como una rutina incorporada a
los hábitos, y que resulten aptos para los fines perseguidos.
e) Responden a una determinada metodología, con técnicas y herramientas para medir la
eficacia directamente o por medio de la comparación con otros sistemas de control
probadamente buenos.
f) El nivel de documentación de los controles varía según la dimensión y complejidad de la
entidad. Existen controles informales que, aunque no estén documentados, se aplican
correctamente y son eficaces, aun cuando un nivel adecuado de documentación suele
aumentar la eficiencia de la evaluación, y resulta más útil al favorecer la comprensión del
sistema por parte de los empleados. El auditor debe descubrir estos controles, evaluarlos y
probar su utilidad. La naturaleza y el nivel de la documentación requieren mayor rigor
cuando se necesite demostrar la fortaleza del sistema ante terceros.
g) Debe confeccionarse un plan de acción que contemple:
• Alcance de la evaluación.
• Actividades de supervisión continuadas existentes.
• Tarea de los auditores internos y externos.
• Áreas o asuntos de mayor riesgo.
• Programa de evaluaciones.
• Evaluadores, metodología y herramientas de control.
• Presentación de conclusiones y documentación de soporte.
• Seguimiento para que se adopten las correcciones pertinentes.
Las deficiencias o debilidades del sistema de control interno detectadas mediante los
diferentes procedimientos de supervisión, deben ser comunicadas a efectos de que se adopten
las medidas de ajuste correspondientes.
Según el impacto de las deficiencias, los destinatarios de la información pueden ser, tanto las
personas responsables de la función o actividad implicada como las autoridades superiores.
7.4 Relación de los controles internos con el alcance de la
auditoría
Se logran los objetivos de auditoría cuando se obtiene evidencia de auditoría en una de las
siguientes formas de:
• Evaluar el diseño y la implantación de los controles internos, probar su eficacia y efectuar
los procedimientos sustantivos de auditoría.
• Efectuar solo procedimientos sustantivos de auditoría.
El alcance de la evidencia de auditoría que se necesita de los procedimientos sustantivos
depende de los resultados de la evaluación de los controles, por medio de las pruebas de
eficacia operativa.

Se planea confiar en los controles para reducir el alcance de los procedimientos sustantivos
cuando:
• Es más eficiente evaluar el diseño y la implantación y probar la eficacia operativa de los
controles relevantes.
• No es posible ni práctico lograr nuestro objetivo de auditoría con la evidencia de auditoría
obtenida solo de los procedimientos sustantivos de auditoría.
• El entendimiento del sistema de información de la entidad que es relevante a la emisión
de informes financieros nos permite identificar los riesgos de que ocurran errores e
irregularidades importantes que correspondan directamente al registro y la preparación de
estados financieros.
A continuación, se presenta un resumen de las actividades de la evaluación del control interno: