Semana 1

CONTROL Y SUPERVISIÓN
DE TECNOLOGÍAS DE LA
INFORMACIÓN

Lectura
Control Interno “COSO”
(Comitte Of Sponsoring
Organizations of the
Tredd Way Comission).
Cruz Sánchez, J. A., Grajeda Díaz, Y. K., Gutierrez Bonilla, M.,
Pacheco Domínguez, S., & Martínez Monteverde, N. (2017).
Control Interno “COSO” (Comitte Of Sponsoring Organizations of
the Tredd Way Comission). Informe Final para Obtener Título de
Contador Público. Ciudad de México: Instituto Politécnico Nacional.

Material compilado con fines académicos, se prohíbe su

reproducción total o parcial sin la autorización de cada autor.
 INSTITUTO POLITÉCNICO NACIONAL

ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN

UNIDAD TEPEPAN

SEMINARIO:

LAS NORMAS DE AUDITORIA, SU APLICACIÓN EN LOS DICTAMENES

FINANCIEROS CON REPERCUSIÓN FISCAL.

TEMA:
CONTROL INTERNO “COSO” (COMITTE OF SPONSORING
ORGANIZATIONS OF THE TREDD WAY COMMISSION).

INFORME FINAL QUE PARA OBTENER EL TÍTULO DE:

CONTADOR PÚBLICO

PRESENTAN:
JESSICA ANAHI CRÚZ SÁNCHEZ
YEMELIN KARINA GRAJEDA DÍAZ
MARLEN GUTIERREZ BONILLA
SAGRARIO PACHECO DOMÍNGUEZ
NAYELI MARTINEZ MONTERDE

CONDUCTORES DE SEMINARIO
TITULAR: C.P.C CARLOS ALARCÓN FLORES
SUPLENTE: DR. ALBERTO RIVERA JIMÉNEZ

CIUDAD DE MÉXICO ENERO 2017

 AGRADECIMIENTOS

Instituto Politécnico Nacional.

Agradecemos al Instituto Politécnico Nacional por habernos aceptado ser parte de ella y
abierto las puertas de sus aulas para poder estudiar la carrera de Contador Público, así
como también a los diferentes docentes que brindaron sus conocimientos y apoyo para
seguir adelante día a día.

Escuela Superior de Comercio y Administración Unidad Tepepan.

Gracias ESCA TEPEPAN por habernos formado como Profesionistas así como hombres
y mujeres de bien.

Profesores.

Agradecemos a nuestros profesores, personas de gran sabiduría quienes se han

esforzado por ayudarnos a llegar al punto en el que nos encontramos.

Sencillo no ha sido el proceso, pero gracias a las ganas que nos transmitieron sus
conocimientos y dedicación que los ha regido hemos logrado importantes objetivos como
culminar el desarrollo de nuestra tesis con éxito y obtener una afectuosa titulación
profesional.
Familia.

A nuestras familias por ser el pilar fundamental en todo lo que somos, en toda nuestra
educación, tanto académica, como de la vida, por su incondicional apoyo perfectamente
mantenido a través del tiempo. Todo este trabajo ha sido posible gracias a ellos, por su
apoyo en cada decisión y proyecto.

No ha sido sencillo el camino hasta ahora, pero gracias a sus aportes, a su amor, a su
inmensa bondad y apoyo, lo complicado de lograr esta meta se ha notado menos. Les
agradecemos, y hacemos presente nuestro gran afecto hacia ustedes, nuestra hermosa
familia.
 DEDICATORIAS

En este trabajo agradezco a Dios por permitirme llegar hasta este momento y brindarme
una vida llena de aprendizajes a mis padres Isabel y Alberto por darme la oportunidad de
existir y llenar mi vida de amor y alegría, por heredarme el tesoro más valioso que es: ser
persona de provecho, fruto de su inmenso sacrificio, a ustedes que debo todo lo que soy
y seré. A mis hermanos Omar, Alberto y Oscar que son mi motor y mi fuerza, quienes
me han ayudado a me han enseñado que la vida se disfruta por solo se vive una vez, a
Marisol y Xóchitl por acompañarme y darme las alegrías y bendiciones más grandes y a
Iván por estar ahí, por tu apoyo y paciencia pero sobre todo por tu amor incondicional.
Para todos ustedes muchas gracias.

SAGRARIO PACHECO DOMINGUEZ

Dedico este trabajo a mis padres por haberme forjado como la persona que soy en la
actualidad; muchos de mis logros se los debo a ustedes entre los que se incluye este. Me
formaron con reglas y con algunas libertades, pero al final de cuentas, me motivaron
constante para alcanzar mis anhelos. A mis hermanos, aunque a veces parece que
estuviéramos en una batalla, hay momentos en los que la guerra cesa y nos unimos para
lograr nuestros objetivos. Gracias por estar siempre a mi lado brindándome su apoyo.
Tu ayuda ha sido fundamental, has estado conmigo incluso en los momentos más
turbulentos. Este proyecto no fue fácil, pero estuviste motivándome y ayudándome hasta
donde tus alcances lo permitían. Te lo agradezco muchísimo, Amor.

YEMELIN KARINA GRAJEDA DÍAZ

El presente trabajo primeramente me gustaría agradecerle a Dios por bendecirme para
llegar hasta donde estoy, porque hizo realidad este sueño anhelado, también a mi madre
doy gracias por su apoyo incondicional y desinteresado por sus sacrificios y esfuerzos
constantes, por compartir conmigo alegrías, éxitos y fracasos por creer en mí, porque a
través de sus consejos logre forjar un camino para alcanzar el éxito en mi superación
como profesional, a mis hermanos quienes ha creído en mí siempre y fueron un gran
apoyo durante todo este tiempo, así como a mis profesores y las personas que me
ayudaron en mi desarrollo profesional, fomentando en mí el deseo de superación y triunfo,
porque todos han aportado con un granito de arena a mi formación. Para ellos es esta
dedicatoria con mucho amor y respeto.
MARLEN GUTIERREZ BONILLA

Con mucho respeto agradezco a Dios por haberme dado la vida y permitirme el haber
llegado hasta este momento tan importante de mi formación profesional. El terminar mi
carrera profesional, ha sido uno de mis sueños echo realidad, pero sé que sin tu ayuda
Dios padre mío no lo hubiera podido lograr, gracias señor por haber estado a mi lado.
También quiero agradecer a mis padres, ya que su amor fue fundamental e incondicional.
Por el cariño y apoyo moral que siempre recibí de ustedes, y el cual es muy valioso para
mí porque me ayudo a lograr una de las metas más importantes en mi vida

A mi hija en agradecimiento por todo su apoyo y comprensión que me brindo, estimulando

esta fase de mi vida de estudiante, y alentando con su conducta el logro de mis
aspiraciones. Por el tiempo que a mi hija le pertenecía y que sin ningún inconveniente me
lo dio con amor, para poder terminar mi carrera. A mi hermano que desde el cielo me
ayudo a lograrlo, él fue mi principal inspiración para llegar hasta aquí, su amor fue
incondicional, y quiero dedicarte a ti principalmente este logro profesional. A ti amor mío
porque me has apoyado en todo momento y sin ti tampoco lo hubiera podido lograr,
gracias por estar en este momento tan importante en mi vida. Les doy eternamente las
gracias por confiar en mí.

JESSICA ANAHI CRÚZ SÁNCHEZ

“Dios te ha dado un regalo de 86.400 segundos hoy. ¿Has utilizado uno para decir
gracias?"
Hoy doy gracias a mi esposo, hija, padres, seres queridos, institución, profesores y
amigas por contar con cada uno de ustedes, ya que sin su apoyo no hubiese sido fácil la
oportunidad de culminar esta etapa, para el inicio de nuevos proyectos en mi vida
profesional en los que siempre estarán presentes.

“Mientras el río corra, los montes hagan sombra y en el cielo haya estrellas, debe durar
la memoria del beneficio recibido en la mente del hombre agradecido.”
En el presente trabajo les convierto su apoyo en mi dedicación y esfuerzo, por lo que me
es un orgullo dedicárselos a cada uno de ustedes ya que fueron participe con su
paciencia, atención y experiencia.

NAYELI MARTINEZ MONTERDE

 ÍNDICE

Lista de Imágenes i
Introducción 1

CAPÍTULO I
OBLIGACIÓN DE LLEVAR CONTABILIDAD EN MEDIOS
ELECTRÓNICOS Y SU ELEMENTO DE CONTROL INTERNO

1.1 Obligación de llevar contabilidad en medios electrónicos

y su elemento de control interno 4
1.2 Control Interno, Marco integrado COSO 2013, definición, objetivos
componentes principios, puntos de enfoque y atributos, resumen ejecutivo 6
1.3 Formulario de evolución general del sistema del control interno
de una entidad lucrativa 22

CAPÍTULO II
CONTROL INTERNO MARCO NORMATIVO INTEGRADO COSO 2013
APLICADO AL REPORTE FINANCIERO DE ENTIDADES LUCRATIVAS
PYME

2.1 Objetivo del control interno COSO 2013 25

2.2 Objetivos del informe REPORTING 32
2.3 Componente principios, enfoque y ejemplos 32
2.4 Formulario de evaluación del componente, actividades
de control y sus principios aplicados al reporte financiero de
entidades lucrativas PYME 40
 CAPÍTULO III
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE CONTROL
INTERNO EN MATERIA DE INFORMACIÓN FINANCIERA REPORTIN
DE PYME

3.1 Matriz de evaluación de riesgo 42

3.2 Políticas de Control 47
3.3 Procedimientos de Control 48

CAPÍTULO IV
GLOSA DE LA NIA 315 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO
DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA
ENTIDAD Y SU ENTORNO

4.1 Procedimientos de valoración de riesgo y

actividades relacionadas 52
4.1.1 Indagaciones 53
4.1.2 Procedimientos analíticos 53
4.1.3 Observación e inspección 54
4.2 Conocimiento requerido de la entidad y su entorno
incluido su control interno 56
4.2.1 La entidad y su entorno. 56
4.2.2 Control interno 62
4.3 Identificación y valoración de los riesgos de incorrección material 64
4.3.1Valoración de riesgos de incorrección material
en los estados financieros 66
4.3.2 Valoración de riesgos de incorrección material
en las afirmaciones 67
4.4 Documentación 74
 CAPÍTULO V
PROGRAMA DE AUDITORÍA EN LA EVALUACIÓN DEL CONTROL
INTERNO POR CICLOS DE NEGOCIOS

5.1. Proceso de negocios relacionados 77

5.1.1 Ciclo de Tesorería. 79
5.1.2 Ciclo de Compras – Egresos 82
5.1.3 Ciclo de Nomina 85
5.1.4 Ciclo de Ingresos. 86
5.1.5 Ciclo Informe Financiero 90
5.2 Auditoria por ciclos de negocios 95
5.3 Programas de auditoria 96
5.3.1 Metodología de la auditoria por ciclo de negocios 98

CASO PRÁCTICO
CONTROL INTERNO “COSO” (COMITTE OF SPONSORING
ORGANIZATIONS OF THE TREDD WAY COMMISSION)

Introducción y desarrollo de caso práctico 102

CONCLUSIÓN 121
ANEXOS 123
REFERENCIA BIBLIOGRÁFICA 153
 ÍNDICE DE IMÁGENES

Imagen 1 Valoración del Riesgo Inherente 46

Imagen 2 cinco fuerzas de Michael Porter 57
Imagen 3 Postulados Básicos 59
Imagen 4 Ciclo de Tesorería 81
Imagen 5 Ciclo- Venta de Crédito 89
Imagen 6 Relación de entre los Ciclos 94
Imagen 7 Auditoría por ciclos de negocio 95
Imagen 8 Programa de Auditoría 98
Imagen 9 Metodología para diseñar pruebas de controles y
pruebas sustantivas de operaciones 101
Imagen 10 Diagrama de flujo del sub-proceso parte 1 de cuentas por cobrar 143
Imagen 11 Matriz de evaluación del riesgo sub-proceso cuentas por cobrar 145
Imagen 12 Diagrama de cuentas por cobrar parte 1 148
Imagen 13 Diagrama de cuentas por cobrar parte 1 149
Imagen 14 Diagrama de cuentas por cobrar parte 1 150
 INTRODUCCIÓN

Actualmente, el concepto de control interno se ha transformado en un concepto amplio

que abarca toda la organización y no solamente las áreas financieras. El control interno,
en los últimos años ha adquirido gran importancia en el nivel financiero, administrativo,
productivo, económico y legal; pues permite a la alta dirección de una o Compañía dar
una seguridad razonable, en relación con el logro de los objetivos empresariales, por
medio del establecimiento de aspectos básicos de eficiencia y efectividad en las
operaciones, así como confiabilidad de los reportes financieros y cumplimiento de leyes,
normas y regulaciones, estas enmarcan la actuación administrativa.

Asimismo se apoya en la gestión de procesos, ya que permite comprender la realidad de

la empresa a través de actividades de planificación, medición, gestión y mejora, ello con
el fin de obtener el cumplimiento de los objetivos de una organización, estas tienen como
base el marco normativo nacional e internacional.

Si bien es cierto, el control interno colabora a que la empresa logre sus metas de
desempeño y rentabilidad, es importante también tener claro que el control interno
también tiene sus limitantes, y es que no puede cambiar una administración inherente
pobre a una buena, tampoco puede cambiar políticas gubernamentales, las condiciones
económicas, no asegura el éxito ni la supervivencia y, por último, no proporciona una
seguridad absoluta de que los objetivos de negocio se logren.

Es por ello que el compromiso posible de obtener por parte de los colaboradores de la
empresa, la aplicación de mejores prácticas empresariales y el uso de herramientas que
colaboren a la efectividad y eficacia de las tareas, contribuirán a que la empresa tenga
un proceso integrado de control que dé valor al cumplimiento de los objetivos
organizacionales.

1
La denominación COSO es un acrónimo del “Committee of Sponsoring Organizations of
the Treadway Commission”, una iniciativa del sector privado patrocinada por las cinco
mayores asociaciones profesionales financieras de los Estados Unidos de América
(EUA): Instituto Americano de Contadores Públicos, Instituto de Auditores Internos,
Asociación Americana de Contabilidad, Instituto de Contadores Gerenciales e Instituto de
Ejecutivos Financieros.

Debido al cambio observado en las organizaciones y su entorno operativo y de negocios,

desde la emisión del marco original a la actualidad, COSO publicó en mayo de 2013 la
versión actualizada del Marco Integrado de Control Interno - COSO, toda vez que
considera que “este marco permitirá a las organizaciones desarrollar y mantener, de una
manera eficiente y efectiva, sistemas de control interno que puedan aumentar la
probabilidad de cumplimiento de los objetivos de la entidad y adaptarse a los cambios de
su entorno operativo y de negocio”. 1

Este trabajo presenta los siguientes capítulos:

En el Capítulo I se presenta en las nuevas disposiciones que las Compañías han aplicado
para poder obtener mejores prácticas empresariales, tomando como base al Marco
Integrado de Control Interno (COSO), también se aborda los componentes y objetivos
interrelacionado como una guía para la Compañía en la gestión del negocio e integración
del proceso de administración

En el Capítulo II se aborda la importancia de implementar un control interno en las

PYMES, esto referente a que varias de ellas enfrentan el problema de no implementarlo
adecuadamente, y es por ello que hay ausencia de controles importantes, por ende no
hay seguridad absoluta de que los objetivos de la Compañía se cumplan.

1
Dayla Rivera Fernández, (2015). Importancia del control interno en los negocios. Recuperado de Revista
Vinculando: [Link]

2
En el Capítulo III se aborda el desarrollo y los aspectos del manual de políticas y
procedimientos de control interno el cual debe aplicarse a la información financiera de las
Compañías. Creado con la finalidad de obtener información sistemática ordenada y
detallada sobre las funciones y actividades que se deben realizar dentro de las
Compañías.2

En el Capítulo IV se aborda los aspectos de las Normas Internacionales de Auditoría

(NIA 315) la cual está orientada hacia la responsabilidad del auditor para identificar y
valorar los riesgos de incorrección material contenida en los estados financieros,
mediante el entendimiento de la entidad y su entorno, incluyendo el control interno de la
Compañía.

En Capítulo V se aborda el planteamiento el programa de auditoria, el cual tiene la

importancia dentro de la Compañía la evaluación del control interno por ciclos de
negocios. En especial se plantea conocer el diseño de la organización; los circuitos de
información; procedimientos administrativos; aspectos informáticos para la evaluación
del sistema de control interno.

2
(COSO 2013). Control Interno - Marco Integrado.

3
 CAPÍTULO I
OBLIGACIÓN DE LLEVAR CONTABILIDAD EN MEDIOS
ELECTRÓNICOS Y SU ELEMENTO DE CONTROL INTERNO

1.1 Obligación de llevar contabilidad en medios electrónicos y su

elemento de control interno
La contabilidad electrónica es el registro de las operaciones en medios electrónicos que
efectúan los contribuyentes y el envío de archivo XLM a través del Buzón Tributario del
Servicio de Administración Tributaria (SAT). Los contribuyentes que están obligados a
llevar la contabilidad electrónica son las personas morales incluyendo las personas
morales con fines no lucrativos. También están obligadas las personas físicas con
actividad empresarial, actividades profesionales donde sus ingresos sean mayores a dos
millones de pesos y arrendamiento, esto se realizará siempre y cuando no registren sus
operaciones en “Mis cuentas”.

Cabe mencionar que los archivos que integran la contabilidad electrónica son:

 Catálogo de cuentas. Este se envía una sola vez y cada vez que sea modificado
 Balanza de comprobación. Se envía mensualmente, en el segundo mes siguiente
al que corresponde la información.
 Información de pólizas y auxiliares. Solo se entregarán si el SAT necesita verificar
información contable o cuando el contribuyente realice devoluciones o
compensaciones.

Articulo 29 Código Fiscal de la Federación (CFF).

Menciona que las personas que de acuerdo con las disposiciones fiscales estén
obligadas a llevar contabilidad, estarán a lo siguiente: Se hace mención que
anteriormente la autoridad tardaba mucho en determinar cuándo un contribuyente estaba
evadiendo impuestos y hoy, en la actualidad la autoridad en menos de 15 segundos

4
puede determinar quién está evadiendo contribuciones fiscales, por ello nos pide que
cumplamos con los requisitos para cumplir con la contabilidad electrónica.

i. La contabilidad, para efectos fiscales, se integra por los libros, sistemas y registros
contables, papeles de trabajo, estados de cuenta, cuentas especiales, libros y
registros sociales, control de inventarios y método de valuación, discos y cintas o
cualquier otro medio procesable de almacenamiento de datos, los equipos o
sistemas electrónicos de registro fiscal y sus respectivos registros, además de la
documentación comprobatoria de los asientos respectivos, así como toda la
documentación e información relacionada con el cumplimiento de las disposiciones
fiscales, la que acredite sus ingresos y deducciones, y la que obliguen otras leyes;
en el reglamento de este código se establecerá la documentación e información con
la que se deberá dar cumplimiento a esta fracción, y los elementos adicionales que
integran la contabilidad.
ii. Tratándose de personas que enajenen gasolina, diésel, gas natural para
combustión automotriz o gas licuado de petróleo para combustión automotriz, en
establecimientos abiertos al público en general, deberán contar con los equipos y
programas informáticos para llevar los controles volumétricos. Se entiende por
controles volumétricos, los registros de volumen que se utilizan para determinar la
existencia, adquisición y venta de combustible, mismos que formarán parte de la
contabilidad del contribuyente. Los equipos y programas informáticos para llevar los
controles volumétricos serán aquellos que autorice para tal efecto el SAT, los cuales
deberán mantenerse en operación en todo momento.
iii. Los registros o asientos contables a que se refiere la fracción anterior deberán
cumplir con los requisitos que establezca el reglamento de este código y las
disposiciones de carácter general que emita el SAT.
iv. Los registros o asientos que integran la contabilidad se llevarán en medios
electrónicos conforme lo establezcan el reglamento de este código y las
disposiciones de carácter general que emita el SAT. La documentación
comprobatoria de dichos registros o asientos deberá estar disponible en el domicilio
fiscal del contribuyente.

5
 v. Ingresarán de forma mensual su información contable a través de la página de
Internet del SAT, de conformidad con reglas de carácter general que se emitan para
tal efecto.3

1.2 Control interno, marco integrado coso 2013, definición, objetivos,

componentes principios, puntos de enfoque y atributos, resumen
ejecutivo
Definición.

El control interno es un proceso que es aplicado por el gobierno de la Compañía, el cual

se integra por el Consejo de Administración, la dirección y el resto del personal, este se
realiza para brindar un grado de seguridad razonable en cuanto a la presentación de
resultados de los objetivos relacionados con las operaciones, la información y el
cumplimiento. Además este proceso amplia y aclara conceptos con el objetivo de
englobar las actuales condiciones del mercado y la economía a nivel mundial.

El sistema de control interno dirige todas las herramientas indispensables para que el
equipo de trabajo de lo mejor de él, con el fin de alcanzar los resultados deseados, para
su buen funcionamiento. Por ello el gobierno de las Compañías adquiere una gran
responsabilidad, teniendo en cuenta que el principal propósito del sistema control interno
es manifestar oportunamente cualquier desviación significativa en el logro de las metas
y objetivos establecidos.4

La implementación de un sistema de control interno eficiente para facilitar:

 El logro de los objetivos de rentabilidad y rendimiento para evitar la pérdida de

recursos.

3
(Código Fiscal De La Federación Artículo 29)
4
Modelo Coso III Marco Integrado de Control Interno. Auditool. 2013

6
  Progreso de tareas a actividades continuas, propuestas como un medio para llegar
a un fin.
 Operaciones eficaces y eficientes.
 Control interno llevado a cabo por las personas de la entidad y las acciones que
estas se aplican en cada nivel de la Compañía.
 Elaboración de informes financieros confiables para la toma de decisiones.
 El Consejo de Administración y la alta dirección de la Compañía cuenta con
seguridad razonable, no absoluta.
 Que se cumplan las leyes y regulaciones pertinentes.
 Que todo se adapte a la estructura de la Compañía.
 Vigilar que todos los procesos de la Compañía tengan seguridad, calidad y mejora
continua.
 Proceso de integración de mercados y operaciones.
 Cambio constante en mayor dificultad en los negocios.
 Alta demanda y dificultad en leyes, reglas, regulaciones y estándares.
 Se tiene una mejor perspectiva de competencias y responsabilidades.
 Hay un mejor uso y mayor.

Objetivos.

Los objetivos y las estrategias estarán diseñados en base a la misión y las metas de cada
una de las Compañías. Estos objetivos se determinan dependiendo de las Fortalezas y
Debilidades Oportunidades y Amenazas (FODA) lo que dará como resultado una
estrategia que ayudará a la Compañía a esforzarse para alcanzarlos.

El Consejo de Administración y la dirección se harán responsables de determinar los

objetivos de la Compañía, siendo importante establecer los objetivos en base a la
estructura y aplicación del sistema de control interno, con el propósito de controlar y evitar
los riesgos que puedan afectar el cumplimiento de los objetivos. Los objetivos deben estar

7
enfocados en base a la situación actual de la Compañía, siendo cada uno de ellos
planeado en consideración a las capacidades de todas las áreas y funciones. Para un
control interno eficaz se deberán establecer en primera instancia los objetivos, ya que
estos dirigirán el rumbo de las metas de la entidad para desarrollar sus actividades.

La Administración es la responsable de determinar los objetivos estratégicos, así como

elegir la estrategia indicada dentro del contexto de la Compañía previamente establecida
en su misión y visión. Así como proporcionar los objetivos y emplear medidas a posibles
riesgos que puedan afectar ciertas circunstancias. Además la Administración tiene que
ordenar los objetivos considerando la estrategia y el riesgo. También deben implementar
los objetivos generales y específicos para la Compañía según sea el caso.

El Marco Coso establece tres categorías de objetivos que permiten a las Compañías
centrarse en diferentes aspectos del control interno:

i. Objetivos operativos: estos objetivos se relacionan con el cumplimiento de la

misión y visión de la Compañía. Hacen referencia a la efectividad y eficiencia de
las operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y
la protección de sus activos frente a posibles pérdidas. Por lo tanto, estos objetivos
constituyen la base para la evaluación del riesgo en relación con la protección de
los activos de la Compañía, y la selección y desarrollo de los controles necesarios
para mitigar dichos riesgos. Los objetivos operativos deben reflejar el entorno
empresarial, industrial y económico en que se desenvuelven; y están relacionados
con el mejoramiento del desempeño financiero, la productividad, la calidad, las
prácticas ambientales, y la innovación y satisfacción de empleados y clientes.

ii. Objetivos de información/Reporting: estos objetivos se refieren a la preparación de

reportes para uso de la organización y los accionistas, teniendo en cuenta la
veracidad, oportunidad y transparencia. Estos reportes relacionan la información
financiera y no financiera interna y externa y abarcan aspectos de confiabilidad,

8
oportunidad, transparencia y demás conceptos establecidos por los reguladores,
organismos reconocidos o políticas de la Compañía.

La presentación de informes a nivel externo da respuesta a las regulaciones y

normativas establecidas y a las solicitudes de los grupos de interés, y los informes
a nivel interno atienden a las necesidades internas de la organización tales como
la estrategia de la entidad, plan operativo y métricas de desempeño.

Estos objetivos se clasifican como sigue:

a. Reporting financiero externo: estos objetivos se relacionan con el

cumplimiento de las obligaciones con los accionistas. Los estados
financieros son solicitados por diferentes partes externas tales como
inversores, organismos públicos, proveedores, entre otros, y deben ser
preparados de acuerdo con los principios de contabilidad pertinentes y
cumpliendo con los siguientes criterios:
 Relevancia
 Representación exacta
 Comparabilidad
 Verificabilidad
 Oportunidad
 Comprensibilidad

b. Reporting no financiero externo: la dirección debe cumplir con las

regulaciones y estándares aplicables en la realización y publicación de
informes no financieros externos. Además:
 Clasifica y resume la información razonablemente en el nivel
apropiado de detalle,
 Refleja las actividades subyacentes de la Compañía,

9
  Presenta transacciones y eventos dentro de los niveles requeridos
de precisión y exactitud pertinente a las necesidades de los usuarios,
 Usa el criterio de terceras partes, estándares y marcos, según sea
apropiado.

c. Reporting financiero y no financiero interno: los informes internos para la

alta dirección deben incluir la información necesaria para la toma de
decisiones. Estos informes soportan la toma decisiones y la supervisión de
la administración de las actividades y desempeño de la Compañía. El
reporte financiero interno:
 Usa el criterio establecido por terceras partes, estándares y marcos,
según sea apropiado.
 Clasifica y resume la información razonablemente en el nivel
apropiado de detalle.
 Reflejo de las actividades subyacentes de la Compañía.
 Presentación de transacciones y eventos dentro de los niveles
requeridos de precisión y exactitud pertinente a las necesidades de
los usuarios.

iii. Objetivos de cumplimiento: están relacionados con el cumplimiento de las leyes y

regulaciones a las que está sujeta la Compañía. Debe desarrollar sus actividades
en función de las leyes y normas específicas.

Componentes del Sistema de Control Interno .

El sistema de control interno está divido en cinco componentes integrados que se

relacionan con los objetivos de la Compañía: entorno de control, evaluación de los
riesgos, actividades de control, sistemas de información, comunicación, actividades de
monitoreo y supervisión. Un adecuado entorno de control, una metodología de evaluación
de riesgos, un sistema de elaboración y difusión de información oportuna, fiable por la

10
organización y un proceso de monitoreo eficiente, apoyados en actividades de control
efectivas, se constituyen en poderosas herramientas gerenciales.

El Marco COSO está conformado por los cinco componentes, 17 principios y puntos de
enfoque, que en su conjunto muestran las características fundamentales de cada
componente. Es importante ya que se caracteriza por tener en cuenta los siguientes
aspectos y crear diferentes beneficios tales como:

 Al gobierno corporativo le brinda mayores expectativas.

 Mundialización de mercados y operaciones.
 Cambio constante en mayor dificultad en los negocios.
 Alta demanda y dificultad en leyes, reglas, regulaciones y estándares.
 Expectativas de responsabilidades y competencias
 Utilización y un alto nivel de confianza en tecnologías que evolucionan
aceleradamente.
 Expectativas vinculadas con evitar, desalentar y localizar el fraude.

Entorno de control.

Es el conjunto de normas, procesos y estructuras que constituyen la base para desarrollar

el control interno. El Consejo de Administración y la alta dirección son quienes marcan el
“Tone at the tope” (límites permitidos) con respecto a la importancia de control interno y
los estándares de conducta esperados dentro de la Compañía. La dirección refuerza las
expectativas sobre el control interno en los distintos niveles de la Compañía; los
parámetros que permiten al consejo llevar a cabo su responsabilidad de supervisión de
gobierno corporativo son: la estructura organizacional, la asignación de autoridad y
responsabilidad; el proceso de atraer, desarrollar y retener a profesionales competentes;
y el rigor aplicado a las medidas de evaluación del desempeño, los esquemas de
compensación para incentivar la responsabilidad por los resultados del desempeño.

11
El entorno de control de una organización tiene una influencia muy relevante en el resto
de componentes del sistema de control interno.

Evaluación de riesgos.

Cada Compañía se enfrenta a una gama diferente de riesgos procedentes de fuentes

internas y externas. El riesgo se define como la posibilidad de que un acontecimiento
ocurra y afecte negativamente a la consecución de los objetivos. La evaluación de riesgos
implica un proceso dinámico e interactivo para identificar y evaluar los riesgos de cara a
la consecución de los objetivos. Dichos riesgos deben evaluarse en relación a unos
niveles preestablecidos de tolerancia. De este modo la evaluación de riesgos constituye
la base para determinar cómo se gestionaran.

Una condición previa a la evaluación de riesgos es el establecimiento de objetivos

asociados a los diferentes niveles de la Compañía. La Administración debe definir los
objetivos operativos, la información y que dé cumplimiento con suficiente claridad y
detalle que permita la identificación y evaluación de los riesgos con impacto potencial en
dichos objetivos. Asimismo, la dirección debe considerar la adecuación de los objetivos
para la Compañía. La evaluación de riesgos también requiere que la Administración
considere el impacto que puedan tener posibles cambios en el entorno externo y dentro
de su propio modelo de negocio, y que puedan provocar que el control interno no resulte
efectivo.

Actividades de control.

Las actividades de control son las acciones establecidas a través de políticas y

procedimientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la
dirección para mitigar los riesgos con impacto potencial en los objetivos. Las actividades
de control se ejecutan en todos los niveles de la entidad, en las distintas etapas de los
procesos de negocio y en el entorno tecnológico.

12
Según su naturaleza, puedes ser preventivas o de detección y pueden abarcar una amplia
gama de actividades manuales y automatizadas, tales como autorizaciones,
verificaciones, conciliaciones y revisión del desempeño empresarial. La segregación de
funciones normalmente está integrada en la definición y funcionamiento de las
actividades de control. En aquellas áreas en la que no es posible una adecuada
segregación de funciones, la dirección debe desarrollar actividades de control alternativas
y compensatorias.

Información y comunicación.

La información es necesaria para que la entidad pueda llevar a cabo sus

responsabilidades de control interno y soportar el logro de sus objetivos. La dirección
necesita información relevante y de calidad, tanto de fuentes internas y externas, para
apoyar el funcionamiento de los otros componentes del control interno. La comunicación
es el proceso continuo e interactivo de proporcionar, compartir y obtener la información
necesaria. La comunicación interna es el medio por el cual la información se divide a
través de toda la organización, que fluye en sentido ascendente, descendente y a todos
los niveles de la entidad. Esto hace posible que el personal pueda recibir de la alta
dirección un mensaje claro de que las responsabilidades de control deben de ser tomadas
seriamente. La comunicación externa persigue dos finalidades: comunicar, de fuera hacia
el interior de la organización, información externa relevante y proporcionar información
interna relevante de dentro hacia fuera, en respuesta a las necesidades y expectativas
de grupos de interés externo.

Actividades de supervisión.

Las evaluaciones continuas, las evaluaciones independientes o una combinación de

ambas se utilizan para determinar si cada uno de los 5 componentes del control interno,
incluidos los controles para cumplir los principios de cada componente, está presentes y
funcionan adecuadamente. Las evaluaciones continuas, que están integradas en los

13
procesos de negocio en los diferentes niveles de la entidad, suministran información
oportuna. Las evaluaciones independientes, que se ejecutan periódicamente pueden
variar en alcance y frecuencia dependiendo de la evaluación de riesgos, la efectividad de
las evaluaciones continuas y otras consideraciones de la dirección. Los resultados se
evalúan comparando con los criterios establecidos por los reguladores, otros organismos
reconocidos o la dirección y el consejo de administración, y las deficiencias se comunican
a la dirección y al consejo, según correspondan.

Principios y puntos de enfoque.

Entorno de control.

Principios.

1. La organización manifiesta compromiso con la integridad y los valores éticos:

a. La gerencia y el personal supervisor están comprometidos con los valores
éticos y lo demuestran en sus actividades.
b. Establece las conductas que la entidad debe llevar a cabo con el fin de
cumplir con los valores éticos y la integridad de la organización.
c. Verificar que los procesos dentro de la entidad se cumplan adecuadamente
en base a los estándares de conducta que establece la organización.
d. Las desviaciones de los estándares de conducta son identificados y
corregidos oportuna y adecuadamente.

2. El consejo de administración es totalmente independiente de la junta directiva y

por ende lleva a cabo la verificación del desempeño del sistema de control interno.

a. La junta directiva identifica y acepta su responsabilidad de supervisión para

cumplir con el sistema de control interno.

14
 b. La Junta directiva constantemente evalúa las habilidades y experiencia de
cada uno de sus miembros, para que puedan realizar preguntas de sondeo
de la Alta Dirección y así puedan tomas las medidas pertinentes.
c. Mantiene o delega responsabilidades de supervisión
d. Los miembros de la Junta directiva son independientes de la
Administración, ya que tiene suficientes miembros objetivos en
evaluaciones y en la toma de decisiones.
e. La junta directiva mantiene la responsabilidad de supervisión en cuanto a la
implementación y buen manejo del control interno:
 Entorno de control: implementa integridad y valores éticos,
estructuras de supervisión, autoridad y responsabilidad, expectativas
de competencia, y rendición de cuentas a la Junta.
 Evaluación de riesgos: vigila las evaluaciones de riesgos de la
administración para el logro de los objetivos, abarcando el impacto
potencial de los cambios significativos, fraude, y la evasión del
control interno que se lleva a cabo en la Administración.
 Actividades de control: Supervisa a la Alta dirección para verificar el
desarrollo y cumplimiento de las actividades de control.
 Información y comunicación: estudia y debate la información, esto
con el propósito de cerciorase el logro de los objetivos de la entidad.
 Actividades de Supervisión: analiza y vigila la naturaleza y alcance
de las actividades de monitoreo y la evaluación y mejoramiento de la
administración de las deficiencias.

3. La dirección crea junto con la supervisión del consejo, las estructuras, líneas de
reporte y los niveles de autoridad y responsabilidad adecuados para el logro de los
objetivos.

a. La Administración y la Junta Directiva consideran todas las estructuras

múltiples de la entidad (abarcando unidades operativas, entidades legales,

15
 distribución geográfica, y proveedores de servicios externos) para apoyar
el seguimiento de los objetivos.
b. La administración elabora y estudia las líneas de reporte para cada una de
las áreas de la entidad, para aprobar la ejecución de autoridades y
responsabilidades y el flujo de información para dirigir las actividades de la
entidad.
c. La Administración y la Junta directiva también son encargadas para
encomendar autoridad así como determinar las responsabilidades, y utilizan
procesos y tecnologías convenientes para estipular responsabilidad,
segregar funciones en cada una de las áreas o niveles de la entidad:
 Junta directiva: mantener autoridad sobre las decisiones
significativas e inspeccionar las evaluaciones de la administración y
las limitaciones de autoridad y responsabilidades.
 Alta Dirección: decreta instrucciones, guías y control preparando a la
administración y a todo el personal para que lleven a cabo sus
responsabilidades de control interno.
 Administración: orienta y facilita la realización de las instrucciones de
la Alta Dirección dentro de la entidad y sus sub-unidades.
 Personal: Comprende los estándares de conducta de la entidad, los
riesgos que se necesitan para el cumplimiento de los objetivos, y las
actividades de control que corresponden a cada uno de los niveles
de la entidad, también la información esperada y los flujos de
comunicación, y las actividades de monitoreo importantes para el
logro de los objetivos.
 Proveedores de servicios externos: cumple con la definición de la
administración de la importancia de la autoridad y la responsabilidad
para todos aquellos empleados que no sean comprometidos.

16
4. La organización señala su responsabilidad para atraer, desarrollar y retener a
profesionales competentes, en conformidad con los objetivos de la organización.

a. Determina políticas y prácticas que destacan las expectativas de

competencia indispensables para el logro de los objetivos.
b. La junta directiva y la administración examinan la capacidad a través de la
organización y en los proveedores de servicios externos de acuerdo con las
políticas y prácticas determinadas, y procede cuando es necesario
direccionado las deficiencias.
c. La organización orienta y capacita con la finalidad de atraer, desarrollar y
retener personal suficiente y competente y proveedores de servicios
externos para cumplir con el logro de los objetivos.
d. La Alta Dirección y la Junta Directiva realizan un plan de emergencia para
la asignación de la responsabilidad importante para el control interno.

5. La organización determina las responsabilidades de las personas a nivel de control

interno para el logro de los objetivos.

a. La Administración y la junta Directiva determinan los procesos para

comunicar y mantener a los profesionales responsables para la ejecución
de las responsabilidades del control interno a través de la organización,
además se encargan de realizar las acciones correctivas necesarias para
el buen funcionamiento.
b. La Administración y la junta Directiva decretan medidas de desempeño,
incentivos y otros premios convenientes para las responsabilidades en
todos los departamentos de la entidad, manifestando dimensiones de
desempeño adecuadas y estándares de conducta esperados, y tomando
en cuenta el logro de objetivos a corto y largo plazo.

17
 c. La Administración y la junta Directiva evalúan los incentivos y los premios
con el cumplimiento de las responsabilidades del control interno para el
seguimiento de los objetivos.
d. La Administración y la junta Directiva evalúan y determinan las presiones
asociadas con el cumplimiento de los objetivos, es por ello que establecen
responsabilidades, desarrollan y evalúan el buen desempeño
e. La Administración y la junta Directiva evalúan el desempeño de las
responsabilidades del control interno, para así proporcionarles premios o
acciones disciplinarias cuando es apropiado

Evaluación De Riesgos.

6. La organización evalúa los objetivos con bastante claridad para aprobar la

identificación y evaluación de los riesgos vinculados.

a. Objetivos operativos:
 Demuestra las elecciones de la administración
 Toma en cuenta la tolerancia al riesgo.
 Considera las metas de desempeño operativo y financiero.
 Elabora una base para administrar los recursos.
b. Objetivos de reporte financiero externo:
 Cumple con los estándares contables aplicables.
 Incluye la materialidad.
 Plasma las actividades de la entidad.
c. Objetivos de reporte no financiero externo:
 Cumple con los estándares y marcos externos.
 Valora los niveles de precisión requeridos.
 Demuestra las actividades de la entidad.

18
 d. Objetivos de reporte interno:
 Da a conocer las elecciones de la administración.
 Examina el nivel requerido de precisión.
 Demuestra las actividades de la entidad
e. Objetivos de cumplimiento:
 Revela las leyes y regulaciones externas.
 Toma en cuenta la tolerancia al riesgo.

7. La organización establece los riesgos para el logro de sus objetivos en la entidad

y los estudia como base sobre la cual determina como se deben ejecutar.

a. La organización identifica y examina los riesgos a nivel de la entidad,

sucursales, divisiones, unidad operativa y niveles funcionales que son
importantes para el logro de los objetivos.
b. Examina a los factores externos e internos para poder identificar los
riesgos que puedan afectar al logro de los objetivos.
c. La dirección determinan si se encuentran mecanismos apropiados para la
identificación y análisis de riesgos.
d. Estudia la importancia potencial de los riesgos identificados y comprende
la tolerancia al riesgo de la organización.
e. La determinación de riesgos abarca la consideración de cómo el riesgo
debería ser manejado y analizado para evitar, reducir o compartir el riesgo.

8. La organización medita la probabilidad de fraude al determinar los riesgos para el

éxito de los objetivos.

a. Se evalúa el fraude considerando el Reporting fraudulento, que puede

ocasionar pérdidas de activos y corrupción.

19
 b. También la evaluación de riesgo de fraude determina incentivos y
presiones.
c. La evaluación de riesgo de fraude considera el fraude por compras no
autorizadas, uso o enajenación de activos, modificaciones inapropiadas
de los registros de información, u otros actos inadecuados.
d. La evaluación de riesgo de fraude toma en cuenta como la dirección u
otras áreas participan en, o justifican, acciones inadecuadas.

9. La organización reconoce y evalúa los cambios que podrían perjudicar al sistema

de control interno.

a. En la identificación de riesgos se consideran los cambios en los

ambientes regulatorio, económico y físico en los que la entidad está
operando.
b. La organización toma en cuenta impactos potenciales de las nuevas
líneas de negocios, así como los cambios drásticos que puedan existir en
estas, también las operaciones de negocios adquiridas o de liquidación
en el sistema de control interno, el veloz crecimiento, el cambio de
dependencia geográficas extranjeras y nuevas tecnologías.
c. La organización observa los cambios que puedan existir en la
administración y respectivas actitudes y filosofías en el sistema de control
interno.

Actividades de control.

10. La organización determina y desarrolla actividades de control que auxilian a la

mitigación de los riesgos hasta niveles aceptables para el alcance de los objetivos.

20
 a. Las actividades de control auxilian a asegurar que las respuestas a los
riesgos que direccionan y mitigan los riesgos son utilizados
adecuadamente.
b. La administración toma en cuenta como factores cómo el ambiente,
complejidad, naturaleza y alcance de sus operaciones, así como las
características específicas de la organización pueden perjudicar la
selección y desarrollo de las actividades de control.

11. La organización determina y desarrolla actividades de control a nivel de entidad

referente a la tecnología para apoyar el alcance de los objetivos.

a. La dirección comprende y determina la relación estrecha que hay

entre los procesos de negocios, las actividades de control
automatizadas y los Controles Generales de tecnología.
b. La Dirección elige y fomenta actividades de control diseñadas e
implementadas para ayudar a asegurar la completitud, precisión y
disponibilidad de la tecnología para la infraestructura relevante.
c. La dirección implementa y desarrolla diferentes actividades de control
especialmente para restringir los derechos de acceso, con el
propósito de resguardar los activos de la organización de amenazas
externas.
d. Para el control sobre la adquisición , desarrollo y mantenimiento de la
tecnología y su infraestructura, la dirección determina diferentes
actividades de control relevantes para estos procesos.

12. La organización efectúa las actividades de control con ayuda de las políticas que
determinan las líneas generales del control interno y procedimientos que llevan
dichas políticas.

21
Información y comunicación.

13. La organización logra o crea y utiliza información relevante y de calidad para llevar
a cabo el funcionamiento del control interno.
14. La organización notifica la información internamente, así como los objetivos y
responsabilidades que son indispensables para apoyar el funcionamiento del
sistema de control interno.
15. La organización informa a los grupos de interés externo sobre los aspectos
importantes que afectan la marcha del control interno.

Actividades de supervisión y monitoreo.

16. La organización elige, desarrolla y ejecuta evaluaciones y/o independientes para

definir si los componentes del sistema de control interno están presentes y en
funcionamiento.
17. La organización determina y comunica las deficiencias de control interno de forma
precisa a las partes responsables de aplicar medidas correctivas, incluyendo la
alta dirección y el consejo, según sea el caso.

1.3 Formulario de evaluación general del sistema del control interno de

una entidad lucrativa
El Marco Coso presenta un apartado titulado Herramientas ilustrativas para evaluar la
eficacia del Sistema de Control Interno, el cual es una ayuda muy útil para evaluar la
efectividad del Sistema de control Interno de una Compañía sobre la base de los
requisitos establecidos en el Marco Coso. Para esto, presenta una serie de plantillas o
formularios que dan una guía para la realización del trabajo a través de ejemplos de cómo
desarrollar las evaluaciones:

 Apoyar la determinación de si los componentes y principios están presentes y

funcionando correctamente.

22
  Apoyar la evaluación de si los cinco componentes del Sistema de Control Interno
están operando al mismo tiempo de una manera integrada.
 Apoyar la evaluación de la eficacia del Sistema de Control Interno en relación con
una o más categorías de objetivos.
 Documentar la evaluación general de la administración en relación con la
efectividad del Sistema de Control Interno, considerando los componentes y
principios.
 Documentar las deficiencias encontradas durante el proceso de evaluación.

Estos formularios pueden ser personalizados acorde con las necesidades y

características de la organización y demás aspectos que la administración considere
necesarios para la evaluación del Sistema de Control Interno. Además, permiten
presentar un resumen de los resultados de la evaluación por principios, componentes y
sistemas de control interno en general. La administración puede utilizar estos formularios
con diferentes finalidades.

Para la compresión del Control Interno debemos cubrir tres fases. La primera procura
obtener un entendimiento y compresión suficiente el diseño del control interno durante la
planificación de la auditoria.

En la segunda fase, se aprueba la operatividad o funcionamiento de los controles

diseñados o existentes como parte de la ejecución y la tercera está orientada a la
calificación del funcionamiento de los controles permitiendo informar los resultados sobre
el nivel de eficiencia del proceso de control interno así como las deficiencias y fortalezas
detectadas durante la evaluación.

El primer paso para el auditor es evaluar el diseño del control para identificar los riesgos
que se busca mitigar con el control; posteriormente, habrá que identificar qué controles
existen para mitigar esos riesgos. También, a su vez, deberá determinar si se han

23
implementado mediante entrevistas con personal de la empresa y la realización de
procedimientos adicionales. Cabe recordar que la eficacia del control interno constituye
una opinión emitida en función de la evaluación del proceso de control interno en un
momento dado e implica la existencia de una seguridad razonable sobre el logro de los
objetivos de la entidad evaluada, relacionados con las siguientes categorías de objetivos
del control interno:

 Eficacia y eficiencia de las operaciones.

 Confiabilidad de la información financiera
 Cumplimiento de las leyes y Normas y regulaciones aplicables

La Evaluación del Proceso de Control Interno (EPCI) por su propósito forma parte de una
auditoria operacional en la EPCI, el diseño de los controles se realiza en la etapa de
planificación y la comprobación del funcionamiento de los controles existentes forma
parte de la ejecución. La evaluación una vez planificada y ejecutada se complementara
con la etapa de comunicación de resultados donde se elaboran los informes
correspondientes.

Formulario de evaluación general.

Resume la decisión de la administración sobre si los cinco componentes están presentes,

funcionando y operando de una manera integrada, incluyendo la gravedad de las
deficiencias del Control Interno o una combinación de deficiencias cuando se consideran
colectivamente a lo largo de los componentes.5

5
COSO Control Interno Marco Integrado Resumen Ejecutivo. PWC. Ed. Instituto de Auditores Internos de
España. Año 2013

24
 CAPÍTULO II
CONTROL INTERNO MARCO NORMATIVO INTEGRADO COSO 2013
APLICADO AL REPORTE FINANCIERO DE ENTIDADES LUCRATIVAS
PYME

2.1 Objetivo del Control Interno COSO 2013

Anteriormente tenía la idea de que el Control Interno era una teoría, que no en todas las
compañías se implementa; sin embargo está siempre presente, tal vez no se tenga
identificado dentro de la organización, pero es fundamental para la supervisión de las
actividades realizadas por las personas y en los procesos de todas las organizaciones.

En algunas organizaciones pequeñas o poco complejas no saben lo que es el Control

Interno, sin embargo realizan actividades de control, el Control Interno se realiza en
actividades tan sencillas como la autorización de una conciliación bancaria, o en el
registro de las visitas en la recepción de la organización, y no necesariamente se
compone de procedimientos complejos y no es exclusivo de grandes organizaciones.

En las pequeñas entidades, hay a menudo pocos empleados, lo que puede limitar la
extensión en que:

 Sea factible la segregación de deberes; y

 Esté disponible un rastro de documentación en papel.

En las pequeñas Compañía el control interno a menudo se deriva del entorno del control
(compromiso de la Dirección hacia valores éticos, competencia, actitud hacia el control,
y sus acciones día a día) en oposición a controles específicos sobre las transacciones.

25
Valorar el entorno del control es bastante diferente de las actividades tradicionales de
control, ya que implica una valoración del comportamiento, actitudes, competencia y
acciones de la Dirección. Esta valoración se suele documentar en un memo o con un
cuestionario.

La presencia de un gerente-dueño muy involucrado es una fuerza de control interno y

una debilidad de control. La fuerza de control es que la persona (suponiendo su
competencia) será conocedora de todos los aspectos de las operaciones, y es altamente
improbable que se pasen por alto representaciones de riesgo de incorrección material.
La debilidad del control es la oportunidad a disposición de esa persona de pasar por
encima del control interno para su propio beneficio.

De acuerdo al marco COSO:

Podemos definir como Control Interno a todo proceso llevado a cabo por el Consejo de
Administración, la Gerencia y otro personal de la organización, diseñado para
proporcionar una seguridad razonable sobre el logro de los objetivos de la organización
clasificados en:

 Efectividad y eficiencia de las operaciones.

 Confiabilidad de la información financiera.
 El cumplimiento de las leyes, reglamentos, normas y políticas establecidas en las
organizaciones.

El control Interno no es un proceso en serie, sino un proceso integrado y dinámico. El

Marco es aplicable a todas las entidades; grandes, medianas y pequeñas, con ánimo de
lucro y sin él, así como organismo públicos.

26
Sin embargo, cada organización puede optar por implementar el control interno de
manera distinta. Por ejemplo, el sistema de control interno de una entidad de pequeña
dimensión podría ser menos formal y estructurado pero aun así ser un sistema de control
interno efectivo.

Sin bien, podemos de decir que no todas las Compañía tienen implementado un sistema
de control interno, por razones de política de la dirección o por razones de tamaño, porque
en las pequeñas Compañías la estructura operativa no permite la implementación de un
proceso de control integrado; la implementación de un sistema de control interno va a
permitir desarrollar procedimientos de comprobación de información más eficientes en
Compañía que no tiene implementado un sistema de control interno.

El control interno, ha sido creado para que sirva de referencia a todos los problemas
conceptuales de control tanto a nivel práctico de las Compañía, como a nivel de auditoría
interna y externa. Con esta implementación se pretende que el control interno sea un
proceso integrado que forme parte de los procesos del negocio y a la vez esté diseñado
para proporcionar a la dirección un grado de seguridad razonable en cuanto a la
desconfianza de los estados financieros de uso.

Como se menciona al inicio del escrito, el control interno lo lleva a cabo la Administración,
la Gerencia y los demás miembros de la organización; quienes a su vez establecen los
objetivos de la entidad e implementan los mecanismos de control. Por lo tanto debe haber
un vínculo estrecho entre las funciones de cada individuo, con la forma de ejecución, y
con los objetivos de la organización. El control interno por muy bien diseñado que esté,
solamente puede aportar un grado razonable de seguridad a la empresa. Marco COSO
busca establecer una definición común de control interno, que sirva para todos tipos de
Compañía (grandes y chicas) y entes (públicos y privados), para que puedan evaluar el
control interno y mejorarlo.

27
Las diferencias principales entre las compañías pequeñas con las grandes están dadas
por:

 La estructura operativa y organizacional.

 Los volúmenes y complejidad de las operaciones. y
 La concentración de las funciones, tanto en los niveles gerenciales como en todo
el personal de la compañía.

Características de las Compañía más pequeñas:

 Menos líneas de negocio y menos productos dentro de cada línea

 Concentración del enfoque de marketing, por canal o geografía.
 Liderazgo de la dirección con intereses o derechos de propiedad significativos
 Menos niveles de dirección, con ámbitos de control más amplios.
 Sistemas de procesamiento de transacciones y protocolos menos complejos
 Menos personal, con un espectro más amplio de tareas
 Capacidad limitada para mantener recursos de línea abundantes así como puestos
de apoyo como legal, RRHH, contabilidad y auditoría interna.

Estas características dan ventajas y desventajas y depende de la estructuración de los

controles para que aporten al cumplimiento requerido. Marco COSO reconoce que la
implementación de la Estructura puede y debe ser diferente para las compañías
pequeñas y ha identificado varios temas que requieren atención de parte de ese tipo de
organizaciones.

El ambiente de control es muy importante y fija el tono del control interno en una
compañía; en negocios pequeños, las acciones de la gerencia y su compromiso
demostrado hacia un control efectivo son generalmente más transparentes. En la

28
determinación de qué controles son necesarios, una compañía debe considerar los
riesgos existentes y luego identificar los controles requeridos para mitigar tales riesgos,
en lugar de focalizarse solamente en los controles específicos. El foco debe estar puesto
sobre los controles que mitigan los riesgos relacionados con los estados financieros.

Las actividades de control requieren un mínimo nivel de formalización; ello es necesario

a fin de que todos comprendan sus responsabilidades, cómo los controles operan y la
importancia del proceso de control.

Los empleados pueden y deben comprender los objetivos relacionados con la

información financiera, los riesgos y su responsabilidad personal por el control. Aún las
compañías pequeñas pueden implementar procedimientos efectivos de manera que
cuando los empleados noten (COMI, 19898MEXICO) problemas de control o desvíos
respecto de las prácticas aceptables, puedan informar esos hallazgos a la persona
adecuada antes que el hecho se convierta en un problema significativo para la compañía.

Generalmente es difícil medir los riesgos asociados con una incorrecta información
financiera, las reacciones del mercado ante ese problema indican claramente que el
mismo no tolera una información incorrecta, sin importar el tamaño de la compañía. Las
Compañía pueden lograr eficiencia adicional en el diseño e implementación o evaluación
del control interno si se centran únicamente en los objetivos de reporte de la información
financiera directamente aplicables a las actividades y circunstancias de la empresa,
adoptando un enfoque para el control interno basado en riesgo, racionalizando
documentación, viendo el control interno como un proceso integrado y considerando la
totalidad del mismo.

Es necesario fijar los objetivos con carácter previo al diseño e implementación del sistema
de control interno, con el fin de controlar y mitigar de manera adecuada los riesgos que
afectan a dichos objetivos. Los objetivos deben complementarse, estar relacionados
entre sí y ser coherentes con las capacidades y expectativas de la entidad y las unidades

29
empresariales y sus funciones. Establecer objetivos es un requisito previo para un control
interno eficaz. Los objetivos proporcionan las metas medibles hacia las que la entidad se
mueve al desarrollar sus actividades. Sin embargo la dirección considera riesgos en
varios sentidos, que se centran en aquellos que le puedan impedir lograr sus objetivos
principales, incluyendo los riesgos de reporte de la información financiera confiable.

El enfocarse en riesgo significa centrarse en factores cuantitativos y cualitativos que

pueden afectar a la desconfianza del reporte de la información financiera, e identificar en
que parte del procesamiento de transacciones o de otras actividades relacionadas con la
preparación de estados financieros puede fallar algo.

La finalidad del Marco COSO es establecer una definición común del control interno que
responda a las necesidades de todas las Compañía y otras entidades y definir un modelo
o marco de referencia sobre la base del cual las Compañía y otras entidades, sin importar
su tamaño y naturaleza, puedan evaluar su sistema de control interno.

Como objetivo prioritario es ayudar a las organizaciones a mejorar el control de sus

actividades. Otro de los objetivo del Informe es integrar estos diversos conceptos de
control interno en un marco que permita establecer una común definición e identificar sus
componentes. La idea era ayudar a la dirección a mejorar los sistemas de control interno
de sus organizaciones y ofrecer a las partes interesadas una interpretación estándar de
control interno.

El control interno es la respuesta de la dirección para mitigar un factor identificado de

riesgo para alcanzar un objetivo de control. Hay una relación directa entre los objetivos
de una entidad y el control interno que implementa para asegurar su consecución. Una
vez fijados los objetivos, posible identificar y valorar los hechos potenciales (riesgos) que
impedirán alcanzar los objetivos. En base a esta información, la dirección puede generar
respuestas adecuadas, que incluirán el diseño del control interno.

30
Su objetivo principal es ayudar a las entidades a lograr importantes objetivos y a mantener
su mejor rendimiento. El Marco COSO permite a las organizaciones desarrollar de
manera eficiente y efectiva, sistemas de control interno que se adapten a los cambios del
entorno operativo y de negocio, mitigando riesgos hasta niveles aceptables y apoyando
en la toma de decisiones y el gobierno corporativo de la organización.

El Marco Coso apoya a la dirección, al Consejo, a los grupos de interés externo y demás
partes que interactúan con la entidad a través sus respectivas funciones relacionadas
con el control interno, sin llegar a ser excesivamente estricto. Para ello, el Marco ofrece
un entendimiento de lo que constituye un sistema de control interno y aporta información
de valor para poder determinar se está aplicando de manera afectiva.

Para la dirección y el consejo, este Marco Coso proporciona:

 Un medio para aplicar el control interno a cualquier tipo de entidad,

independientemente del sector o estructura jurídica, a nivel de entidad, división,
unidad operativa o función.
 Un enfoque basado en principios que proporcionan flexibilidad y permite el uso del
criterio profesional a la hora de diseñar, implementar y desarrollar el control
interno. Se trata de principios que se pueden aplicar a nivel de entidad, a nivel
operativo, y a nivel funcional.
 Requisitos para un sistema de control interno efectivo, considerando los
componentes y principios existentes, cómo funciona y cómo interactúan dichos
componentes durante su funcionamiento.
 Un método para identificar y analizar los riesgos, desarrollar y gestionar
respuestas adecuadas a dichos riesgos dentro de unos niveles aceptables y con
un mayor enfoque sobre las medidas anti-fraude.

31
  Una oportunidad para ampliar el alcance del control interno más allá de la
información financiera, a otras formas de presentación, operaciones y objetivos de
cumplimiento.
 Una oportunidad para eliminar controles ineficientes, redundantes o inefectivos
que proporcionen un valor mínimo en la reducción de riesgos para la consecución
de los objetivos de la entidad.

2.2 Objetivos del informe REPORTING

El objetivo del reporte de la información financiera es preparar Estados financieros
fiables, lo que supone lograr una seguridad razonable de que los Estados financieros
están libres de errores materiales.

A partir de este objetivo a alto nivel, la dirección establece objetivos secundarios

relacionados con las actividades y circunstancias empresariales y su correcto reflejo en
los Estados financieros y sus detalles. Estos objetivos pueden estar condicionados por
requisitos regulatorios o por otros factores que la dirección puede decidir incluir al
momento de fijar sus objetivos.

2.3 Componentes, principios y enfoque relacionados a las pequeñas y

medianas compañías en México
Enfoque para las Pymes.

Las pequeñas y medianas Compañía denominadas (Pymes) son entidades

independientes, con una alta predominancia en el mercado de comercio. Las Pymes
familiares se han convertido en un motor primordial en la economía, también apoya a la
generación de empleos, de manera muy general tienen casi siempre las mismas
características, sin embargo están sumergidas a una competitividad de alto rendimiento,
por las grandes Compañía.

32
Las Pymes son entidades que no tienen obligaciones públicas de rendir cuentas como
son sus estados financieros con propósito de información general que se divulgan al
público en general a usuarios externos como lo hacen las entidades reguladas.6

Tienen grandes desafíos para tener un control interno viable, algunos de estos retos son
poder obtener suficientes recursos para lograr una segregación adecuada de funciones,
habilidad de la administración para dominar actividades y procedimientos con
oportunidades significativas para la pérdida de control, reteniendo personal con habilidad
en los registros contables, reporte de la información y experiencia de los procesos de las
compañías, así como contratar a individuos versados, y poder mantener un control
apropiado sobre los sistemas de información con recursos técnicos limitados, así como
tener procesos establecidos que buscan mejorar ventajas competitivas, cambiantes e
innovadoras.

A pesar de ser muy importantes para la economía, las pymes y no contar con los recursos
necesarios para desarrollarse plenamente, también enfrentan un problema de
globalización, que es el proceso a gran escala de la información, las tecnologías,
disminución de costos y transporte.

Sin embargo, a pesar de todas sus limitaciones de recursos, las compañías más
pequeñas suelen poder cumplir con este desafío, obteniendo un control interno eficaz
relacionado con el reporte de los estados financieros y que sean realizados acorde a las
normas financieras de contabilidad además de ofrecer una seguridad razonable en todos
los aspectos importantes de la evaluación, así poder prevenir o detectar errores o
irregularidades en el curso normal de las operaciones. Esto se pude obtener de varias
maneras ya que todas las Compañía pueden lograr un buen desempeño a lo largo del
tiempo, todo depende de la forma de pensar de quien las dirige.

6
Control Interno del Reporte de la Información. (s.f.). Auditool. Obtenido de Red Global Conocimientos en
auditoria y control interno.

32
Conocimiento y comunicación con la Administración y Directores.

Las Pymes tienen operaciones con estructuras menos complejas, lo que ayuda a que los
directores y la Administración tengan un conocimiento más profundo de los procesos y
actividades empresariales ya que siempre están involucrados durante el desarrollo de la
compañía, por lo que pueden tener un juicio y perspectiva histórica. Contar con un manual
de funciones establecido, de sus puestos de los empleados y que a su vez estos puedan
comunicarse con otra área y saber a quién dirigirse, que estén al tanto de todas sus
actividades y responsabilidades a desarrollar, para tener una buena comunicación dentro
de la compañía. Derivado de esto normalmente hay contacto y comunicación frecuente
con la Administración, que asiste a la junta y su comité de auditoría en el ejercicio de
supervisión sobre el reporte de la información financiera de forma eficaz.

Control amplio de la compañía desde el nivel más alto.

Compañías guiadas por un líder que proporciona dirección personal a otros empleados,
además de ser clave para permitirle a la compañía desarrollarse y cumplir con otros
objetivos y pueda contribuir de forma significativa en el control interno. Las Compañía
PYMES no establecen rutas de trabajo que permitan desarrollar competencias e
indicadores de gestión que den mediciones eficientes para determinar si los procesos
están siendo cumplidos de acuerdo al cuadro de mando, lo más importante es lograr los
resultados deseados, pero son guiado por el líder o los niveles más altos les será más
sencillo poder tener una amplia visión a donde dirigirse y poder desarrollar competencias.

De igual manera el contar con un mal líder no tiende a dirigir a un grupo de personas a
que puedan realizar un trabajo determinado, dando como resultado que dicha empresa
llegue a fracasar fácilmente, para que no se dé esto deben cumplir y conocer todas las
descripciones de trabajo creadas. El conocimiento del líder respecto a las diferentes
facetas del negocio, sus operaciones, procesos, variedad de compromisos contractuales

33
y riesgos, permite saber que esperar en los informes generados en los sistemas del
reporte de información financiera, y hacer un seguimiento si es necesario cuando surgen
variación encontradas.

Compensar una segregación de cargos limitados de los colaboradores de las compañías

Pymes.

La restricción de recursos puede delimitar el número de empleados, lo que a veces lleva

a comprometer la segregación de funciones. Sin embargo, existen acciones que puede
tomar la dirección para compensar posibles deficiencias, tales como que los gerentes
revisen informes de transacciones detalladas y generados por el sistema, clasificando
transacciones para revisión de documentación soporte, supervisen inventario físico,
equipamiento u otros bienes y comparen con los registros de contabilidad, y revisen de
manera independiente las reconciliaciones de cuentas, que ayudan al reporting fiable,
atribuyendo mérito por su contribución hacia un control interno eficaz. En relación a la
estructura organizacional las Compañía no tienen formalizada su estructura por lo tanto
este es un gran problema para las Pymes por que no existen tareas asignadas a cada
uno de los trabajadores porque no cuentan con una buena planificación y un manual de
funciones donde tengan establecidas cada una de las diferentes actividades.

Limitaciones del sistema de la información y tecnología.

La tecnología es considerada como una herramienta que ayuda a generar grandes

oportunidades de crecimiento según sea su actividad a la que se dedique el acceso a la
tecnología es una fuente muy importante para el desarrollo de las Pymes. Por ejemplo
tener un software le aporta grandes ventajas para controlar que personal pude acceder o
modificar ciertos datos, verificar la integridad de los procedimientos de los datos así como
tener la documentación relacionada, permite una mejor administración de sus recursos
tanto humanos, materiales y financieros dentro de la misma.

34
En algunas compañías y principalmente las Pymes tienen recursos limitados de
tecnología, esto se pude resolver mediante software desarrollados con mantenimiento de
terceros, aunque requieren una implementación y operación controlada, pero esto ayuda
a evitar riegos en el desarrollo interno de la información. Esto ayuda a facilitar el reporting
para su revisión por la dirección, y ayudar con la correcta segregación de funciones.

La totalidad de las Compañía no cuentan con unas normas de control interno

establecidas, aunque no es exigible, que todas las organizaciones tengan diseñado dicho
sistema, pero el mismo que le proporciona diversos beneficios, que les ayuda ahorrar sus
recursos, ayuda a proteger todos sus bienes y a salvaguardar sus activos permitiéndoles
obtener una seguridad razonable en cuanto a la información financiera requerida en
dichos procesos.

Actividades de supervisión de los colaboradores para llevar acabo correctamente los

procesos y actividades.

Las actividades de supervisión es una parte importante del Control, con amplias
actividades que llevan a cabo los gerentes o encargados para dirigir el negocio puede
proporcionar información sobre el funcionamiento de otros componentes del sistema de
control interno. Los sistemas de control interno requieren supervisión, es decir, un
proceso que comprueba que se mantiene el adecuado funcionamiento del sistema a lo
largo del tiempo. La administración de muchas Compañía pequeñas lleva a cabo estos
procedimientos de forma regular pero no siempre se reconoce el esfuerzo de su
contribución hacia la eficacia del control interno.

Estas actividades, que habitualmente se efectúan manualmente y en otras ocasiones con

ayuda de software informático, se deberían considerar plenamente al diseñar y evaluar
el control interno. Desde un punto de vista diferente, hay otra manera en la que las
actividades de supervisión pueden promover la eficacia. Después del primer año de

35
evaluar e informar sobre el control interno, muchas Compañía repitieron el proceso de
evaluación el segundo año con casi ningún o ningún ahorro en costes. Sin embargo, se
puede adoptar un enfoque diferente para promover la eficacia.

Al centrarse en las actividades de supervisión ya implementadas o las que se puedan

añadir con un mínimo esfuerzo adicional, la dirección puede identificar cambios
significativos en el sistema de reporte de la información financiera desde el año anterior,
por lo tanto le permite comprender mejor donde debe efectuar pruebas más detalladas.

Mientras que para un control interno eficaz los cinco componentes deben estar
implantados, funcionar de forma eficaz y se requiere algunas pruebas para cada
componente, las actividades de supervisión altamente eficaces pueden contrarrestar
ciertas deficiencias en otros componentes y mejorar el enfoque del trabajo de evaluación
obteniendo así eficiencia generalizada.

Lograr más eficiencia en la evaluación del control.

Además de tener en cuenta lo arriba mencionado, las Compañía pueden lograr eficiencia
adicional en el diseño e implementación o evaluación del control interno si se centran
únicamente en los objetivos de reporte de la información financiera directamente
aplicables a las actividades y circunstancias de la empresa, adoptando un enfoque para
el control interno basado en riesgo, racionalizando documentación, viendo el control
interno como un proceso integrado y considerando la totalidad del mismo.

El Marco COSO reconoce que una entidad primero debe haber implementado una serie
apropiada de objetivos de reporte de la información financiera. A un alto nivel, el objetivo
del reporte de la información financiera es preparar Estados financieros fiables, lo que
supone lograr una seguridad razonable de que los Estados financieros están libres de
errores materiales. A partir de este objetivo a alto nivel, la dirección establece objetivos

36
secundarios relacionados con las actividades y circunstancias empresariales y su
correcto reflejo en los Estados financieros y sus detalles. Estos objetivos pueden estar
condicionados por requisitos regulatorios o por otros factores que la dirección puede
decidir incluir al momento de fijar sus objetivos.

Las eficiencias se logran centrándose únicamente en los objetivos directamente

aplicables a la empresa y relacionados con sus actividades y circunstancias con impacto
material sobre los Estados financieros. La experiencia demuestra que la manera de
lograrlas de forma eficaz es comenzando con los Estados financieros de una empresa e
identificando objetivos que respaldan las actividades, procesos y eventos de la empresa
que puedan afectar materialmente los Estados financieros. De esta manera se forma una
base para centrarse únicamente en lo que sea realmente relevante para la fiabilidad del
reporte de la información financiera de la empresa.

Aunque la dirección considera riesgos en varios sentidos, se centra en aquellos que le

puedan impedir lograr sus objetivos principales, incluyendo los riesgos de reporte de la
información financiera fiable.

Basado en riesgo significa centrarse en factores cuantitativos y cualitativos que pueden

afectar a la fiabilidad del reporte de la información financiera, e identificar en que parte
del procesamiento de transacciones o de otras actividades relacionadas con la
preparación de Estados financieros puede fallar algo. Al centrarse en los objetivos clave,
la dirección puede adaptar el enfoque y alcance de las evaluaciones de riesgo necesarias.
A menudo se considera el riesgo en el momento inicial de diseñar e implementar control
interno, en el que los riesgos para lograr los objetivos se identifican y analizan como base
para determinar cómo se deben gestionar. Otro enfoque consiste en evaluar si el control
interno es eficaz en mitigar los riesgos para lograr los objetivos.

37
En el contexto de evaluar la eficacia del control interno, a veces hay una tendencia de
considerar el control interno utilizando listas de controles genéricos que son apropiadas
para una empresa típica. Aunque estas herramientas en formato de cuestionario u otro
formato pueden ser útiles, un resultado no buscado es que a veces la dirección se centra
en controles estándar o típicos que simplemente no son relevantes para los objetivos de
reporte de la información financiera de la empresa o para los riesgos asociados con estos
objetivos. Un problema relacionado con el que uno se puede encontrar es el de comenzar
las evaluaciones con los detalles de los sistemas de contabilidad y documentarlos con
extremo detalle sin reconocer si todos los procesos son realmente relevantes para lograr
un reporte de la información financiera fiable.

Esto no significa que dichos enfoques no sean útiles, ya que lo pueden ser. Sin embargo,
sea el enfoque que sea, se logra eficiencia cuando se dirige la atención hacia los objetivos
que la dirección haya establecido, específicos para las actividades y circunstancias de la
empresa.

Racionalizar la documentación Las Compañía elabora y mantienen documentación de

sus procesos, procedimientos y otros elementos de sistemas de control interno por varias
razones. Una de ellas es para promover consistencia en el seguimiento de las prácticas
deseadas para el funcionamiento de la empresa. Una documentación eficaz ayuda a
comunicar lo que se debe hacer, cómo se debe hacer, y también crea expectativas de
desempeño. Otra función de la documentación es ayudar a formar a nuevo personal y
como recordatorio material de referencia para otros trabajadores. La documentación
también proporciona evidencia para respaldar el reporting de la eficacia del control
interno.

38
Componentes para las PYMES.

Se tienen cinco componentes del control interno como un proceso integrado, teniendo
interrelación de los componentes, en donde la dirección tiene flexibilidad de elegir
controles para lograr sus objetivos, y que al transcurso del tiempo pueda mejorar y ajustar
su control interno.

El control interno comienza con la dirección que determina objetivos de reporte de

información financiera relevantes a los procesos y actividades de la empresa. Una vez
determinados éstos se evalúan e identifican variedades de riesgos y fija cuales pueden
resultar en un error material el reporte de información financiera, estableciendo como se
deberían gestionar estos riesgos a través de las actividades de control interno,
implementando procesos para procesar, capturar y comunicar información indispensable
al reporte de información financiera.

Estos componentes se revisan para asegurar que los controles estén operando de
manera satisfactoria dichos componentes están integrados a los procesos administrativos
y lograr el objetivo de la información financiera confiable.

Los componentes son los siguientes:

 Ambiente de control
 Evaluación de Riesgos
 Actividades de control
 Información y comunicación
 Supervisión

39
2.4 Formulario de evaluación del componente, actividades de control y
sus principios aplicados al reporte financiero de entidades
financieros de entidades lucrativas PYME
Existen plantillas o formularios que dan una guía para la realización del trabajo y pueden
ser personalizados acorde con las necesidades y características de la Pymes y demás
aspectos que la dirección considere necesarios para la evaluación del Control Interno.

Además estos formularios permiten presentar un resumen de los resultados de la

evaluación por principios, componentes y del control interno en general. La dirección
puede utilizar estos formularios con diferentes finalidades.

 Ayuda la determinación de si los componentes y principios están presentes y

funcionando correctamente para el buen funcionamiento del control interno.
 Ayuda a la evaluación de si los cinco componentes del Control Interno están
operando al mismo tiempo de una manera integrada.
 Ayuda a la evaluación de la eficacia del Control Interno en relación con una o más
categorías de objetivos.
 Documentar la evaluación general de la dirección en relación con la efectividad del
Control Interno, considerando los componentes y principios.
 Documentar las deficiencias encontradas durante el proceso de evaluación del
control interno.

Estos formularios dan el resumen sobre si cada componente como sus principios estén
presentes y funcionando correctamente, tomando en cuenta las decisiones de la
dirección. Los formularios que se muestran en el Anexo 1 están relacionados con los
componentes y principios de coso, para poder verificar si las compañías cumple con un
buen diseño de control interno apropiado, que ayude al funcionamiento de las actividades
y procesos de la compañía, que estos a su vez sean supervisados y aplicados por los
colaboradores, esto por ende permite tener un amplio criterio en la toma de decisiones
que afecten los informes financieros.

40
Formulario de resumen de deficiencias.

Aporta los registros de todas las deficiencias encontradas en el funcionamiento del control
interno, y que se pueden aprovechar en la evaluación de los componentes y principios.7

7
Control Interno del Reporte de la Información. (s.f.). Auditool. Obtenido de Red Global Conocimientos en auditoria
y control interno.

41
 CAPÍTULO III
MANUAL DE POLÍTICAS Y PROCEDIMIENTOS DE CONTROL
INTERNO EN MATERIA DE INFORMACIÓN FINANCIERA REPORTIN
DE PYME

Como parte de las actividades de control y para el funcionamiento del control Interno la
compañía debe tener un Manual de Políticas y procedimientos que se define como “Un
documento que tiene como propósito fundamental integrar en forma ordenada las normas
y actividades que se deben realizar para que se opere de acuerdo a las necesidades de
la empresa, además de proporcionar elementos de apoyo en la toma de decisiones y
servir de guía en la inducción de nuevos empleados”8

Por su parte el REPORTING se define como dentro de las entidades como el proceso
mediante el cual se proporciona la información interna relevante tanto financiera como
económica, su finalidad es proporcionar una base para la toma de decisiones que te
permita crear estrategias, planes de desarrollo e identificar riesgos.

Como parte del control Interno el Manual de procedimientos y políticas es un componente

del control interno, creado con la finalidad de obtener información sistemática, ordenada
y detallada sobre las políticas, funciones procedimientos, sistemas, operaciones y
actividades que se realizan en una entidad.

3.1 Matriz de evaluación de riesgo

Como hemos venido comentando la revisión y evaluación del control Interno está basado
en Riesgos, para comprender esto es necesario entender que un Riesgo es la interacción
del peligro con la persona, producto, proceso, operación, etc., que puede generar la
ocurrencia de un nuevo evento que tiene el potencial de causar daños a la seguridad o a
la salud.

[Link]
8

PRAISA es una empresa que se rige bajo los lineamientos de: Comisión Nacional Bancaria y de Valores, Asociación Mexicana de Valuadores de
Compañía A.C., Sociedad de Arquitectos Valuadores, American Society of Appraisers y las Normas Internacionales de Contabilidad

42
El riesgo en el control interno podemos definirlo como: El riesgo de que el auditor dé una
opinión de auditoría inapropiada cuando los estados financieros están elaborados en
forma errónea de una manera importante. Este riesgo se clasifica en tres formas.

 Riesgo Inherente: Es la susceptibilidad del saldo de una cuenta o clase de

transacciones a una representación errónea que pudiera ser de importância
relativa, individualmente o cuando se agrega con representaciones erróneas en
otras cuentas o clases.
 Riesgo de Control: Es el riesgo de que una representación errónea que pudiera
ocurrir en el saldo de cuenta o clase de transacciones y que pudiera ser de
importancia relativa individualmente o cuando se agrega con representaciones
erróneas en otros saldos o clases, no sea prevenido o detectado y corregido con
oportunidad por los sistemas de contabilidad y de control interno. 9
 Riesgo de Detección: Es el riesgo de que los procedimientos sustantivos de un
auditor no detecten una representación errónea que existe en un saldo de una
cuenta o clase de transacciones que podría ser de importancia relativa. 10

Matriz de Riesgos.

Una matriz de riesgo constituye una herramienta de control y de gestión normalmente

utilizada para identificar las actividades (procesos y productos) más importantes de una
empresa, el tipo y nivel de riesgos inherentes a estas actividades y los factores internos
y externos relacionados con estos riesgos (factores de riesgo). Igualmente, una matriz de
riesgo permite evaluar la efectividad de una adecuada gestión y administración de los
riesgos financieros que pudieran impactar los resultados y por ende al logro de los
objetivos de una organización.

99
Normas Internacionales de Auditoría (NIA) 400 Evaluación de Riesgos y Control Interno (Parte 1)
10
Normas Internacionales de Auditoría (NIA) 400 Evaluación de Riesgos y Control Interno (Parte 1)

43
La matriz debe ser una herramienta flexible que documente los procesos y evalúe de
manera integral el riesgo de una institución, a partir de los cuales se realiza un diagnóstico
objetivo de la situación global de riesgo de una entidad. Exige la participación activa de
las unidades de negocios, operativas y funcionales en la definición de la estrategia
institucional de riesgo de la empresa. Una efectiva matriz de riesgo permite hacer
comparaciones objetivas entre proyectos, áreas, productos, procesos o actividades. Todo
ello constituye un soporte conceptual y funcional de un efectivo Sistema Integral de
Gestión de Riesgo. 11

¿Qué elementos deben considerarse en el diseño de una matriz de riesgo?

A partir de los objetivos estratégicos y plan de negocios, la administración de riesgos

debe desarrollar un proceso para la “identificación” de las actividades principales y los
riesgos a los cuales están expuestas; entendiéndose como riesgo la eventualidad de que
una determinada entidad no pueda cumplir con uno o más de los objetivos.

Consecuentemente, una vez establecidas todas las actividades, se deben identificar las
fuentes o factores que intervienen en su manifestación y severidad, es decir los llamados
“factores de riesgo o riesgos inherentes”. El riesgo inherente es intrínseco a toda
actividad, surge de la exposición y la incertidumbre de probables eventos o cambios en
las condiciones del negocio o de la economía que puedan impactar una actividad. Los
factores o riesgos Inherentes pueden no tener el mismo impacto sobre el riesgo
agregado, siendo algunos más relevantes que otros, por lo que surge la necesidad de
ponderar y priorizar los riesgos primarios. Los riesgos inherentes al negocio de las
entidades financieras pueden ser clasificados en riesgos crediticios, de mercado y
liquidez, operacionales, legales y normativos estratégicos.

[Link] Sigweb es una empresa multiprofesional orientada a apoyar y potenciar la gestión de la Prevención
11

de Riesgos, Medio Ambiente y Sistemas de Gestión de las Compañía.

44
El siguiente paso consiste en determinar la “probabilidad” de que el riesgo ocurra y un
cálculo de los efectos potenciales sobre el capital o las utilidades de la entidad. La
valorización del riesgo implica un análisis conjunto de la probabilidad de ocurrencia y el
efecto en los resultados; puede efectuarse en términos cualitativos o cuantitativos,
dependiendo de la importancia o disponibilidad de información; en términos de costo y
complejidad la evaluación cualitativa es la más sencilla y económica.12

La valorización cualitativa no involucra la cuantificación de parámetros, utiliza escalas

descriptivas para evaluar la probabilidad de ocurrencia de cada evento. En general este
tipo de evaluación se utiliza cuando el riesgo percibido no justifica el tiempo y esfuerzo
que requiera un análisis más profundo o cuando no existe información suficiente para la
cuantificación de los parámetros. En el caso de riesgos que podrían afectar
significativamente los resultados, la valorización cualitativa se utiliza como una
evaluación inicial para identificar situaciones que ameriten un estudio más profundo.

La evaluación cuantitativa utiliza valores numéricos o datos estadísticos, en vez de

escalas cualitativas, para estimar la probabilidad de ocurrencia de cada evento,
procedimiento que definitivamente podría brindar una base más sólida para la toma de
decisiones, esto dependiendo de la calidad de información que se utilice.

Ambas estimaciones, cualitativa y cuantitativa, pueden complementarse en el proceso

del trabajo de estimar la probabilidad de riesgo. Al respecto, debe notarse que si bien la
valoración de riesgo contenida en una matriz de riesgo es mayormente de tipo cualitativo,
también se utiliza un soporte cuantitativo basado en una estimación de eventos ocurridos
en el pasado, con lo cual se obtiene una mejor aproximación a la probabilidad de
ocurrencia del evento.13

12
[Link] Sigweb es una empresa multiprofesional orientada a apoyar y potenciar la gestión de la Prevención
de Riesgos, Medio Ambiente y Sistemas de Gestión de las Compañía.
13
[Link] Sigweb es una empresa multiprofesional orientada a apoyar y potenciar la gestión de la
Prevención de Riesgos, Medio Ambiente y Sistemas de Gestión de las Compañía.

45
La valorización consiste en asignar a los riesgos calificaciones dentro de un rango, que
podría ser por ejemplo de 1 a 5 (insignificante (1), baja (2), media (3), moderada (4) o alta
(5))3, dependiendo de la combinación entre impacto y probabilidad. En la siguiente
gráfica se puede observar un ejemplo de esquema de valorización de riesgo en función
de la probabilidad e impacto de tipo numérico con escala:14

Imagen 1
Valoración de riesgo inherente

I
M Alto 4 5 5 Alta
P
A Medio 3 3 5 Moderada
C
T Bajo 1 2 4 Media
O
Bajo Medio Alto Bajo
PROBABILIDAD

Elaboración propia

De esta manera la matriz de riesgo permite establecer de un modo uniforme y consistente

el perfil de riesgo de cada una de las entidades y permite profundizar en el proceso de
establecimiento de planes de supervisión a fin de que se ajusten a las características
específicas de cada entidad. En el Anexo II se presenta un ejemplo de la valoración de
una Matriz de riesgo.

Una vez evaluado los riesgos, se pueden identificar las oportunidades de mejora de
acuerdo con el procedimiento seguido identificando en el Manual de políticas y
procedimientos la secuencia que deben llevar los procesos que tenemos identificados
con un riesgo alto y detectando que actividades no se están siguiendo de acuerdo con
este o en su caso implementar un manual de políticas y procedimientos que nos permita
identificar como debe funcionar un proceso para mitigar el riesgo. Las políticas y
procedimientos de un manual se clasifican de la siguiente manera.

14
En otros modelos puede clasificarse de acuerdo a una escala de colores

46
3.2 Políticas de Control
Se puede definir política como la declaración general que guía el pensamiento durante la
toma de decisiones. La política es una línea de conducta predeterminada que se aplica
en una entidad para llevar a cabo todas las actividades, incluyendo aquellas no previstas.
La política puede clasificarse en:

 Política general: Se establece para todas las entidades y para un caso específico.
Generalmente se origina fuera de la entidad, como las leyes y los reglamentos
directivas de sistemas administrativos.
 Política específica: Es establecida por las altas direcciones de cada entidad y
afectan a ésta en su totalidad
 Política para unidades: Son aquellas establecidas en operatividad. Los niveles
más bajos y su aplicación están limitada a las unidades operativas dentro de una
misma entidad.

Los siguientes criterios son aplicables a la política de cada entidad:

Establecer la política por escrito y organizarla en forma sistemática en guías o

manuales, según los casos, para permitir efectuar las actividades autorizadas en
forma efectiva, eficiente y económica, así como proporcionar seguridad razonable
de que los recursos se encuentran debidamente protegidos.

 Comunicar la política a todos los funcionarios y empleados de la entidad cuyas

obligaciones contribuyan al logro de sus objetivos.
 Elabora la política en concordancia con la normatividad correspondiente y ser
coherente con la política general dictada.
 Revisar la política en forma periódica debido al cambio de circunstancias,
cuando se considere necesario.

47
3.3 Procedimientos de Control
El procedimiento del control interno en la NIA 400, en el numeral 8 letras b), define como
procedimiento de control «a aquellas políticas y procedimientos adicionales al ambiente
de control que la gerencia ha establecido para lograr los objetivos específicos de la
entidad. 15

Los procedimientos específicos de control incluyen:

a) Reporte, revisión y aprobación de conciliaciones.

b) Revisión de la exactitud aritmética de los registros.
c) Control de las aplicaciones y el ambiente del sistema de información
computarizado, por ejemplo, para establecer controles sobre:
d) Cambio a los programas de cómputo.
 Acceso a los archivos de dato.
 Mantener y revisar las cuentas de control y balance de comprobación.
e) Aprobación y control de documentos.
f) Comparación de datos internos con información de fuentes externas.
g) Comparación de los recursos de los resultados de los arqueos de efectivo y valores
y la toma de inventario con los registros contables
h) Limitar el acceso físico directivo de los activos y registros.
i) Comparación y análisis de los estados financieros con los montos presupuestados.

Los procedimientos para mantener un buen control interno son:

 Delimitación de responsabilidades.
 Delimitación de autorizaciones generales y específicas.
 Segregación de funciones de carácter incompatible.

15
Normas Internacionales de Auditoría (NIA) 400 Evaluación de Riesgos y Control Interno

48
  Prácticas sanas en el desarrollo del ejercicio.
 División del procesamiento de cada transacción.
 Selección de funcionarios idóneos, hábiles, capaces y de moralidad.
 Rotación de deberes.
 Pólizas.
 Instrucciones por escrito.
 Cuentas de control.
 Evaluación de sistemas computarizados.
 Documentos pre numerados.
 Evitar uso de efectivo.
 Uso mínimo de cuentas bancarias.
 Depósito inmediato e intacto de fondos.
 Orden y aseo.
 Identificación de puntos clave de control en cada actividad, proceso o ciclo.
 Gráficas de control.
 Inspecciones e inventarios físicos frecuentes.
 Actualización de medidas de seguridad.
 Registro adecuado de toda la información.
 Conservación de documentos.
 Uso de indicadores
 Prácticas de autocontrol.
 Definición de metas y objetivos claros.
 Hacer que el personal sepa por qué hace las cosas.

Algunos procedimientos de control interno en una empresa son:

 Arqueos periódicos de caja para verificar que las transacciones hechas sean las
correctas.

49
  Control de asistencia de los trabajadores.
 Al adquirir responsabilidad con terceros, éstas se hagan solamente por personas
autorizadas, teniendo también un fundamento lógico.
 Delimitar funciones y responsabilidades en todos los estamentos de la entidad.
 Hacer un conteo físico de los activos que en realidad existen en la empresa y
cotejarlos con los que están registrados en los libros de contabilidad.
 Analizar si las personas que realizan trabajos dentro y fuera de la compañía los
realizan adecuadamente y de una manera eficaz.
 Tener una numeración de los comprobantes de contabilidad en forma consecutiva
y de fácil manejo para las personas encargadas de obtener información de estos.
 Controlar el acceso de personas no autorizadas a los diferentes departamentos de
la empresa.
 Verificar que se están cumpliendo con todas las normas tributarias, fiscales y
civiles.
 Analizar si los rendimientos financieros e inversiones hechas están dando los
resultados esperados.

Procedimientos operativos.

Son los métodos utilizados para efectuar las actividades de acuerdo con las políticas
establecidas. También son series cronológicas de acciones requeridas, guías para la
acción que detallan la forma exacta en que deben realizarse ciertas actividades. Existe
relación directa entre los procedimientos y las políticas.

Una política aplicada por toda entidad es conceder a su personal vacaciones, los
procedimientos establecidos por el Área de Personal para poner en práctica esa política
deben permitir programar las vacaciones para evitar interrupciones en el ritmo de trabajo
y llevar registros apropiados para asegurar que cada empleado disfrute de sus
vacaciones.

50
Los mismos criterios a considerar para el establecimiento de la política de la entidad son
aplicables a los procedimientos: Para promover la eficiencia y economía en las
operaciones, los procedimientos aprobados deben ser simples y del menor costo posible.
Para las operaciones que no son mecánicas en su ejecución, los procedimientos deben
permitir el uso del criterio en situaciones fuera de lo común. Para reducir la posibilidad de
errores e irregularidades, los procedimientos deben estar coordinados de manera que el
trabajo realizado por un empleado sea revisado por otro, en forma independiente de sus
propias obligaciones funcionales. Debe existir un programa adecuado de revisión
periódica y mejora continua de los procedimientos aprobados.

En un Manual de políticas y procedimientos es necesario comprender que existe relación

directa entre los procedimientos y las políticas. Una política aplicada por toda entidad es
conceder a su personal vacaciones, los procedimientos establecidos por el área de
personal para poner en práctica esa política deben permitir programar las vacaciones
para evitar interrupciones en el ritmo de trabajo, para promover la eficiencia y economía
en las operaciones, los procedimientos aprobados deben ser simples y del menor costo
posible, para las operaciones que no son mecánicas en su ejecución, los procedimientos
deben permitir el uso del criterio en situaciones fuera de lo común, para reducir la
posibilidad de errores e irregularidades, los procedimientos deben estar coordinados de
manera que el trabajo realizado por un empleado sea revisado por otro, en forma
independiente de sus propias obligaciones funcionales y debe existir un programa
adecuado de revisión periódica y mejora continua delos procedimientos aprobados.

Basado en este conocimiento en el Anexo III se presenta un manual de políticas y

procedimientos del sub -proceso de cuentas por cobrar de la compañía Comercializadora
S. A., de C. V.

51
 CAPÍTULO IV
GLOSA DE LA NIA 315 IDENTIFICACIÓN Y VALORACIÓN DEL RIESGO
DE INCORRECCIÓN MATERIAL MEDIANTE EL CONOCIMIENTO DE LA
ENTIDAD Y SU ENTORNO

La importancia de la aplicación de esta NIA trata de la responsabilidad del auditor para

identificar y valorar los riesgos de incorrección material contenida en los estados
financieros, mediante el entendimiento de la entidad y su entorno, incluyendo el control
interno de la entidad16.

Teniendo como objetivo que el auditor identifique y valore los riesgos de incorrección
material, debida a fraude o error, en los niveles de estado financiero y de aseveración,
mediante el conocimiento de la entidad y su entorno, incluyendo el control interno de la
entidad, proporcionando por lo tanto una base para diseñar e implementar respuestas a
los riesgos valorados de incorrección material.

Para cumplir con el objetivo de esta NIA, el auditor deberá seguir los siguientes
requerimientos:

Procedimientos de valoración del riesgo y actividades relacionadas.

Conocimiento requerido de la entidad y su entorno incluido su control interno.
Identificación y valoración de los riesgos de incorrección material.
Documentación.

4.1 Procedimientos de valoración del riesgo y actividades relacionadas

El auditor aplicara procedimientos que le permitan valorar los riesgos, creando una base
para identificar y valorar los riesgos de incorrección material en los estados financieros y
en las afirmaciones. Dicha base crea un marco de referencia donde el auditor podrá
planificar la auditoria, el cual será un proceso continuo y dinámico de recopilación,
actualización y análisis de la información, donde el auditor aplicara su juicio profesional.

16
NIA 315

52
4.1.1 Indagaciones
Esta técnica consiste en obtener información verbal a través de averiguaciones y
conversaciones. Las respuestas a muchas preguntas que se relacionan entre sí pueden
suministrar elementos de juicio muy satisfactorio si todo fuese razonable y muy
consistente.

Estas indagaciones deben ser aplicadas a:

 Directivos: para tener el conocimiento del entorno en que se preparan los estados
financieros
 Auditor interno: para conocer los procedimientos de auditoria interna aplicados
durante el ejercicio, relativos al diseño y eficacia del control interno y a su vez la
comunicación que existe con la dirección por deficiencias y la manera en que son
resueltas.
 Empleados: quienes son involucrados en el procesamiento de las operaciones
complejas o inusuales, donde se dan a conocer los procedimientos y políticas
aplicadas u omitidas.
 Asesores jurídicos. pueden proporcionar información si se da cumplimiento de las
disposiciones legales y reglamentarias o nuevas disposiciones y sus
prevenciones.

4.1.2 Procedimientos analíticos

A efectos de las NIA 520, el término “procedimientos analíticos” significa evaluaciones de
información financiera realizadas mediante el análisis de las relaciones plausibles entre
datos financieros y no financieros. Los procedimientos analíticos también incluyen, en la
medida necesaria, la investigación de las variaciones o de las relaciones identificadas
que sean incongruentes con otra información relevante o que difieran de los valores
esperados en un importe significativo17.

17
NIA 520 Procedimientos analíticos.

53
Estos procedimientos son útiles para apoyar al auditor a planear la naturaleza,
oportunidad y alcance de otros procedimientos de auditoría otras de sus ventajas de los
procedimientos analíticos:

 Comprensión de la actividad y giro del cliente

 Evaluación de la capacidad para continuar como empresa en marcha
 Indicación de la presencia de errores posibles en los estados financieros
 Reducción de pruebas detalladas de auditoría18

Con este procedimiento permite conocer las operaciones de la entidad. Los resultados
solo proporcionan una indicación general inicial sobre posible existencia de una
incorrección material y permiten evaluar el riesgo, dentro de transacciones o hechos
inusuales, cantidades, ratios y tendencias que pueden poner de manifiesto cuestiones
que tengan implicaciones en la auditoria. Incluyen la consideración de comparaciones de
la información financiera de la entidad, por ejemplo:

 Comparar al cliente con los datos de la industria

 Comparar los datos del cliente con datos similares del período anterior
 Comparar datos del cliente con resultados esperados que determina el cliente
 Comparar datos del cliente con resultados esperados que determina el auditor
 Comparar datos del cliente con resultados esperados, utilizando datos no
financieros

Observación e inspección.

Observación: Anida en asegurar en forma ocular de ciertos hechos o circunstancias, de

dar la razón la manera en que los servidores de una empresa aplican los procedimientos
establecidos.

18
[Link]

54
Inspección: Es la confirmación física de las cosas materiales en las que se tradujeron las
operaciones, se aplica a las cuentas cuyos saldos tienen una representación material.

Con este proceso el auditor puede obtener un soporte a las indagaciones ante la dirección
y toda la comunidad de la entidad, así mismo obteniendo más conocimiento de la entidad
y su entorno del cual se debe observar e inspeccionar:

 Las operaciones. Dentro de las operaciones se pueden encontrar errores de

registro, omisión o manipulación de la información
 Documentos: principalmente manuales, políticas y planes estrategias de negocio.
 Informes preparados por la dirección: informes de gestión y estados financiero
parciales durante el ejercicio y actas de asamblea
 Los locales e instalaciones industriales de la entidad.

Una vez que el auditor allá aplicado cada procedimiento de valoración, el auditor
reflexionara si la información obtenida durante el proceso de aceptación y continuidad del
cliente es apreciable para identificar riesgos de incorrección material. Puede suceder que
el socio del encargo haya realizado otros encargos para la entidad, por lo que podrá
evaluar si la información obtenida es distinguida para cumplir con el objetivo del trabajo.

Debido a que el auditor haya tenido experiencias pasadas con el cliente, podrá utilizar la
información obtenida de su evaluación anterior con la entidad y de procedimientos de
auditoria aplicados en auditorias anteriores, en base a ello le podrá ayudar a evaluar si
las incorrecciones pasadas fueron corregidas oportunamente y determinar si se han
derivado cambios que puedan afectar operaciones a su relevancia para la auditoria
actual.

El socio del encargo y otros miembros clave del equipo discutirán la probabilidad de que
en los estados financieros de la entidad existan incorrecciones materiales y la aplicación
del marco de información financiera aplicable a los hechos y circunstancias de la entidad.

55
El socio del encargo determinara las cuestiones que deben ser comunicadas a los
miembros del equipo que no participaran en la discusión.

4.2 Entendimiento requerido de la entidad y su entorno, incluyendo el

control interno de la entidad

4.2.1 La entidad y su entorno

Esta actividad se considera prioritaria, pues sirve de insumo para el resto del proceso del
trabajo y pide al auditor que logre un adecuado entendimiento de, entre otros, los
siguientes asuntos19:

 Factores sectoriales, normativos y externos

 Naturaleza de la entidad
 La selección y aplicación de políticas contables por la entidad
 Objetivos y estrategias, así como riesgos de negocio relacionados
 Medición y revisión del resultado financieros de la entidad

Factores sectoriales, normativos y externos.

Factores sectoriales.

Le permiten conocer al auditor el negocio de la entidad; la relación con sus clientes y

proveedores, los productos que ofrecen, si la actividad es cíclica o estacional. 20 De
acuerdo a la NIA se puede relacionar con el modelo de las cinco fuerzas de Michael
Porter, ya que en cada una de estas fuerzas existen riesgos, por lo que llevara al auditor
comprender cada ciclo de la compañía.

19
[Link]
material
20
NIA 315 A-24

56
 IMAGEN 2
CINCO FUERZAS DE MICHAEL PORTER

(F1) Poder de negociación de los Compradores o Clientes.

 Número de clientes
 Acuerdo de precios
 La cantidad de proveedores con similitud de productos
(F2) Poder de negociación de los Proveedores o Vendedores.
 Cantidad de proveedores en la industria.
 Poder de decisión en el precio por parte del proveedor.
 Nivel de organización de los proveedores
(F3) Amenaza de nuevos competidores entrantes.
 Barreras de entrada de nuevos productos/competidores
(F4) Amenaza de productos sustitutos.
 Propensión del comprador a sustituir.
 Precios relativos de los productos sustitutos.
1. Costo o facilidad del comprador.
2. Nivel percibido de diferenciación de producto o servicio.
3. Disponibilidad de sustitutos cercanos.
4. Suficientes proveedores.

57
(F5) Rivalidad entre los competidores21El sector en el que la entidad desarrolla su
actividad puede dar lugar a riesgos específicos de incorrección material debidos a la
naturaleza de los negocios o al grado de regulación.

Factores normativos.

La NIA 250: El efecto de las disposiciones legales y reglamentarias sobre los estados
financieros varía considerablemente. Las disposiciones legales y reglamentarias a las
que una entidad está sujeta constituyen el marco normativo. Algunas disposiciones tienen
un efecto directo sobre los estados financieros ya que determinan las cantidades y la
información a revelar en los estados financieros de una entidad. Otras disposiciones
legales y reglamentarias deben cumplirse por la dirección o establecen los preceptos
conforme a los cuales se autoriza a la entidad a llevar a cabo su actividad, pero no tienen
un efecto directo sobre los estados financieros de la entidad.

Algunas entidades operan en sectores muy regulados (tales como los bancos o las
Compañía químicas). Otras están sujetas sólo a las múltiples disposiciones legales y
reglamentarias relacionadas, de manera general, con los aspectos operativos del negocio
(tales como las relacionadas con la prevención de riesgos laborales y con la igualdad de
oportunidades en el empleo). El incumplimiento de las disposiciones legales y
reglamentarias puede dar lugar a multas, litigios o tener otras consecuencias para la
entidad que pueden tener un efecto material sobre los estados financieros.22

El entorno normativo comprende, entre otros, el marco de información financiera aplicable

y el entorno legal y político. Los siguientes son ejemplos de cuestiones que el auditor
puede tener en cuenta:

21
[Link]
22
NIA 250 Consideración de las disposiciones legales y reglamentarias en la auditoria de estados financieros

58
Postulados básicos y prácticas sectoriales específicas.

IMAGEN 3
POSTULADOS BASICOS
POSTULADO ALCANCE
Sustancia económica Captan la esencia económica en la
delimitación y operación del sistema de
información contable
Entidad económica Identifica y delimita al ente
Negocio en marcha Asume su continuidad
Devengación contable Establecen las bases para el
Asociación de costos y gastos con reconocimiento contable de las
ingresos transacciones, transformaciones
Valuación internas y otros eventos que afectan
económicamente a una entidad.
Dualidad económica
Consistencia

Imagen 3 postulados básicos NIF A-2

Marco normativo en el caso de un sector regulado.

Sectores regulados. Son aquellas áreas de actividad económica en los que convive el
ejercicio de la actividad en libre mercado o libre competencia con el cumplimiento de
exigencias o requisitos legales que no se exigen en los mercados completamente
liberalizados. Ejemplos:

 Sector Farmacéutico
 Energía (especialmente renovables)
 Telecomunicaciones
 Servicios Postales (correos)
 Hidrocarburos (gas, petróleo)
 Transportes ferroviarios y aeroportuarios23

23
[Link]

59
La legislación y regulación que afecten significativamente a las operaciones de la entidad,
incluidas las actividades de supervisión directa. Como ejemplo al caso práctico “La
comercializadora SA de CV” las leyes cuales es regulada:

 Código de comercio
 Ley de comercio exterior
 Ley aduanera
 Ley del Impuesto sobre la renta
 Código fiscal de la federación
 Ley del Impuesto al valor agregado
 Ley de seguridad social
 Ley de vivienda
 Ley de ingresos

Régimen fiscal.

Del latín régimen, es el sistema político y social que rige una cierta región y el conjunto
de normas que regula una cosa o una actividad. El concepto también refiere a la
formación histórica de una época (régimen político).

Fiscal. Por su parte, es lo perteneciente o relativo al fisco. Este último término está
vinculado al tesoro público o a los organismos públicos que se dedican a la recaudación
de tributos e impuestos.

El régimen fiscal es un conjunto de derechos y obligaciones a los que se hace acreedor

un ciudadano a partir de desempeñar una actividad económica específica. Según tus
actividades y los ingresos que percibas en determinado tiempo.24

[Link]
24

60
Políticas gubernamentales que afecten en la actualidad al desarrollo de la actividad de la
entidad, tales como política monetaria, incluidos los controles de cambio, política fiscal,
incentivos financieros (por ejemplo, programas de ayuda públicos), y políticas
arancelarias o de restricción al comercio.

Requerimientos medioambientales que afecten al sector y a la actividad de la entidad.

 Otros factores externos

 Tasa de intereses
 Disponibilidad de la financiación
 Diferencia cambiaria en monedas extranjeras

La naturaleza de la entidad.

Permite comprender al auditor que es lo que hace a la entidad, sus operaciones,

estructura de gobierno y propiedad, los tipos de inversiones que la entidad realiza o tiene
previsto realizar, incluidas las inversiones en entidades con cometido especial y el modo
en que la entidad se financia. Esto se puede referir a los ciclos de negocios de la
compañía. (Ciclos de negocios se explica en tema 5)

Las políticas contables seleccionadas y aplicadas.

En donde el auditor evaluará si las políticas contables observadas son adecuadas para
el tipo de negocio al que se aplican y si son consistentes con el marco conceptual de las
NIIF aplicable y con las políticas contables relevantes utilizadas en la industria a la que
pertenece la entidad. Según a los postulados básicos.

61
Objetivos y estrategias, así como riesgos de negocio relacionados.

Como se ha mencionado dentro de este capítulo del conocimiento de la compañía,

menciona los tipos de factores los cuales se enfrenta cada entidad, según a la actividad
que se desarrolle y en base a ello se construyen objetivos para aumentar sus fuerzas o
disminuir sus riesgos y sobrellevar las debilidades, en base a ello se plantean las
estrategias y cumplir con los objetivos, estos objetivos y estrategias se ven afectadas de
acuerdo a como van dando efectividad o en su caso no resulten las correctas para cumplir
objetivos o aumentar estos mismos, dicho lo anterior el más planteamiento de las
estrategias puede llevar a un riesgo de negocio por no comprender la complejidad o
necesidades de cambio.

Un riesgo de negocio puede tener una consecuencia inmediata sobre el riesgo de

incorrección material para tipos de transacciones, saldos contables e información a
revelar en las afirmaciones o en los estados financieros.25

Medición y revisión del resultado financieros de la entidad.

Los principales propósitos de la medición y revisión son: la evolución financiera tiene

como finalidad comprobar si estos cumplen los objetivos fijados por la dirección o por
terceros; el seguimiento de los controles se ocupa específicamente de la eficacia del
funcionamiento del control interno 26

4.2.2 Control Interno

El detalle del control interno se hace mención en el capito 2. Definición según NIA 315.

Control interno: el proceso diseñado, implementado y mantenido por los responsables

del gobierno de la entidad, la dirección y otro personal, con la finalidad de proporcionar

25
NIA 315 Apartado 40
26
NIA 315 Apartado 44

62
una seguridad razonable sobre la consecución de los objetivos de la entidad relativos a
la fiabilidad de la información financiera, la eficacia y eficiencia de las operaciones, así
como sobre el cumplimiento de las disposiciones legales y reglamentarias aplicables. El
término "controles" se refiere a cualquier aspecto relativo a uno o más componentes del
control interno.27

El auditor evaluara los controles existentes y determinara si han sido aplicados en la

compañía tanto para la información financiera como no financiera, para identificar tipos
de incorreciones potenciales y factores que afectan a los riesgos de incorrección material,
así como el diseño de la naturaleza momento de realización y extensión de los
procedimientos de auditoria posteriores.

Entendimiento. El auditor entenderá los aspectos de la estructura de control interno en

vigor en la entidad que sean relevantes para la auditoría. Al respecto, debe considerar
que, aunque la mayoría de los controles son relevantes para una auditoría, es probable
que estén relacionados con la información financiera, no todos los controles que se
relacionan con dicha información son relevantes para una auditoría. Considerar si un
control, de manera individual o en combinación con otros es relevante para la auditoría,
es una cuestión de juicio profesional del auditor.

La guía de aplicación siguiente relativa al control interno se divide en cuatro secciones:

 Naturaleza general y características del control interno.

 Controles relevantes para la auditoria
 Naturaleza y exención del conocimiento de los controles relevantes
 Componentes del control interno

27
NIA 315 Párrafo 4 inciso C

63
4.3 Identificación y valoración de los riesgos de incorrección material
El auditor tiene que identificar y valorar los riesgos de incorrección material a:

 Nivel del estado financiero; y

 Nivel de aseveración para las clases de transacciones, saldos de cuenta, y
revelaciones a fin de proporcionar una base para diseñar y aplicar los
procedimientos adicionales de auditoría. 28

Para este propósito, el auditor tiene que:

 Identificar los riesgos mediante el proceso de conocimiento y entendimiento de la

entidad y su entorno, incluyendo los controles relevantes que se relacionen con
los riesgos, y considerar las clases de las operaciones, saldos contables, y
revelaciones de los contenidos en los estados financieros.
 Valorar y evaluar los riesgos identificados si se relacionan de modo generalizado
con los estados financieros y si pueden afectar a muchas afirmaciones

En base a lo anterior se relacionará los riesgos con posibles incorreciones en las

afirmaciones, sin tomando en cuenta los controles relevantes que el auditor tiene
intención de probar.

Proceso de identificación de los riesgos de incorrección material.

La información obtenida mediante la aplicación de los procedimientos de valoración del

riesgo, incluida la evidencia de auditoría obtenida durante la evaluación del diseño de los
controles y la determinación si se han implementado, se utiliza como evidencia de
auditoría en apoyo de la valoración del riesgo. La valoración del riesgo determina la

28
NIA 3015 Párrafo 25

64
naturaleza, momento de realización y extensión de los procedimientos de auditoría
posteriores que deben aplicarse.

Relación entre los controles y las afirmaciones.

Al realizar las valoraciones del riesgo, el auditor puede identificar los controles que
pueden prevenir, o detectar y corregir, una incorrección material contenida en
afirmaciones específicas. Por lo general es útil obtener conocimiento de los controles y
relacionarlos con afirmaciones en el contexto de los procesos y sistemas en los que
existen, ya que las actividades de control, por sí mismas, específicas a menudo no sirven
para responder a un riesgo. Con frecuencia, sólo múltiples actividades de control, junto
con otros componentes de control interno, serán suficientes para responder a un riesgo.

En cambio, algunas actividades de control pueden tener un efecto específico sobre una
afirmación determinada incorporada en determinados tipos de transacciones o saldos
contables. Por ejemplo, las actividades de control que una entidad ha establecido para
asegurar que su personal cuenta y registra correctamente el recuento físico anual de
existencias se relacionan directamente con las afirmaciones de realidad e integridad
relativas al saldo contable de las existencias.

Los controles pueden estar relacionados directa o indirectamente con una afirmación.
Cuanto más indirecta sea la relación, menos eficaz será el control para prevenir, o
detectar y corregir, incorrecciones en dicha afirmación. Por ejemplo, la revisión por el
director de ventas de un resumen de las ventas de determinadas tiendas por región,
normalmente sólo está indirectamente relacionada con la afirmación de integridad de los
ingresos ordinarios por ventas. En consecuencia, puede ser menos eficaz para reducir
los riesgos de dicha afirmación que los controles más directamente relacionados con ella,
como la conciliación de documentos de envío con documentos de facturación. Considerar
la probabilidad de incorrección, incluyendo la posibilidad de múltiples incorrecciones, y si
la potencial incorrección es de una magnitud que podría resultar en una incorrección
material.
65
4.3.1 Valoración de los riesgos de incorrección material e n los estados
financieros
Los riesgos de incorrección material en los estados financieros se refieren a los que se
relacionan de manera generalizada con los estados financieros en su conjunto y,
potencialmente, afectan a varias afirmaciones. Los riesgos de esta clase no son
necesariamente riesgos que se puedan identificar con afirmaciones específicas sobre los
tipos de transacciones, saldos contables o información a revelar. Representan, más bien,
circunstancias que pueden incrementar los riesgos de incorrección material en las
afirmaciones, por ejemplo, a través de la elusión del control interno por la dirección. Los
riesgos relativos a los estados financieros pueden ser especialmente relevantes para la
consideración por el auditor de los riesgos de incorrección material debida a fraude.

Los riesgos en los estados financieros pueden ser originados en especial por un entorno
de control deficiente (aunque dichos riesgos también pueden estar relacionados con otros
factores, como condiciones económicas en declive). Por ejemplo, deficiencias tales como
la incompetencia de la dirección pueden tener un efecto más generalizado sobre los
estados financieros y pueden requerir una respuesta global por parte del auditor.

El conocimiento del control interno por parte del auditor puede generar dudas sobre la
posibilidad de auditar los estados financieros de una entidad. Por ejemplo: Las reservas
acerca de la integridad de la dirección de la entidad pueden ser tan graves que lleven al
auditor a la conclusión de que el riesgo de que la dirección presente unos estados
financieros incorrectos es tal que no se puede realizar una auditoría. Las reservas acerca
del estado y la fiabilidad de los registros de una entidad pueden llevar al auditor a la
conclusión de que es poco probable que se disponga de evidencia de auditoría suficiente
y adecuada que sirva de base para una opinión de auditoría no modificada sobre los
estados financieros.

66
4.3.2 Valoración de los riesgos de incorrección material en las
afirmaciones
Los riesgos de incorrección material en las afirmaciones sobre los tipos de transacciones,
saldos contables e información a revelar deben tenerse en cuenta, ya que ello facilita de
manera directa la determinación de la naturaleza, momento de realización y extensión de
los procedimientos de auditoría posteriores relacionados con las afirmaciones que son
necesarios para obtener evidencia de auditoría suficiente y adecuada. Al identificar y
valorar los riesgos de incorrección material en las afirmaciones, el auditor puede llegar a
la conclusión de que los riesgos identificados se relacionan de manera más generalizada
con los estados financieros en su conjunto y que afectan potencialmente a muchas
afirmaciones.

La utilización de afirmaciones.

Al manifestar que los estados financieros son conformes con el marco de información
financiera aplicable, la dirección, implícita o explícitamente, realiza afirmaciones en
relación con el reconocimiento, medición, presentación y revelación de los distintos
elementos de los estados financieros y de la correspondiente información a revelar.

Las afirmaciones utilizadas por el auditor para considerar los distintos tipos de potenciales
incorrecciones que pueden ocurrir se pueden clasificar en las tres categorías siguientes
y pueden adoptar las siguientes formas: Afirmaciones sobre tipos de transacciones y
hechos durante el periodo objeto de auditoría.

 Ocurrencia: las transacciones y hechos registrados han ocurrido y corresponden

a la entidad.
 Integridad: se han registrado todos los hechos y transacciones que tenían que
registrarse.
 Exactitud: las cantidades y otros datos relativos a las transacciones y hechos se
han registrado adecuadamente.

67
  Corte de operaciones: las transacciones y los hechos se han registrado en el
periodo correcto.
 Clasificación: las transacciones y los hechos se han registrado en las cuentas
apropiadas.
 Afirmaciones sobre saldos contables al cierre del periodo:
 Existencia: los activos, pasivos y el patrimonio neto existen.
 Derechos y obligaciones: la entidad posee o controla los derechos de los activos,
y los pasivos son obligaciones de la entidad.
 Integridad: se han registrado todos los activos, pasivos e instrumentos de
patrimonio neto que tenían que registrarse.
 Valoración e imputación: los activos, pasivos y el patrimonio neto figuran en los
estados financieros por importes apropiados y cualquier ajuste de valoración o
imputación resultante ha sido adecuadamente registrado.
Afirmaciones sobre la presentación e información a revelar:

 Ocurrencia y derechos y obligaciones: los hechos, transacciones y otras

cuestiones revelados han ocurrido y corresponden a la entidad.
 Integridad: se ha incluido en los estados financieros toda la información a revelar
que tenía que incluirse.
 Clasificación y comprensibilidad: la información financiera se presenta y describe
adecuadamente, y la información a revelar se expresa con claridad.
 Exactitud y valoración: la información financiera y la otra información se muestran
fielmente y por las cantidades adecuadas.
 Riesgos que requieren consideración especial de auditoría

Como parte de la valoración del riesgo, el auditor tiene que determinar si cualquiera de
los riesgos identificados es, a juicio del auditor, un riesgo importante. Al ejercer este juicio,
el auditor tiene que excluir los efectos de los controles identificados relacionados con el
riesgo. Al ejercer el juicio respecto de cuáles riesgos son importantes, el auditor tiene que
considerar al menos lo siguiente:

68
  Si el riesgo es un riesgo de fraude;
 Si el riesgo está relacionado con desarrollos recientes importantes de carácter
económico, contable, o de otro tipo y que, por consiguiente, requiere atención
específica;
 La complejidad de las transacciones;
 Si el riesgo involucra transacciones importantes con partes relacionadas;

El grado de subjetividad en la medición de la información financiera relacionada con el

riesgo, especialmente las mediciones que involucran un rango amplio de incertidumbre
de la medición; y (f) Si el riesgo involucra transacciones importantes que estén fuera del
curso normal de los negocios de la entidad, o que de otra manera parezcan inusuales.29

Identificación de riesgos significativos.

Los riesgos significativos a menudo están relacionados con transacciones significativas

no rutinarias o con otras cuestiones que requieren la aplicación de juicio. Las
transacciones no rutinarias son transacciones inusuales, debido a su dimensión o
naturaleza y que, por lo tanto, no ocurren con frecuencia. Las cuestiones que requieren
la aplicación de juicio pueden incluir la realización de estimaciones contables sobre las
que existe una incertidumbre significativa en la medición. Es menos probable que las
transacciones rutinarias, no complejas, que están sujetas a un procesamiento
sistemático, originen riesgos significativos.

Los riesgos de incorrección material pueden ser mayores en el caso de transacciones

significativas no rutinarias que surjan de cuestiones como las siguientes:

 Mayor intervención de la dirección para especificar el tratamiento contable.

 Cálculos o principios contables complejos.

29
NIA 315 A-111

69
  La naturaleza de las transacciones no rutinarias, que pudieran dificultar a la
entidad la implementación de controles sobre sus riesgos.
 Los riesgos de incorrección material pueden ser mayores en el caso de cuestiones
de juicio significativas que requieran la realización de estimaciones contables que
surjan de cuestiones como las siguientes:
 Los principios contables relativos a las estimaciones contables o al reconocimiento
de ingresos pueden estar sujetos a diferentes interpretaciones.
 El juicio requerido puede ser subjetivo o complejo, o requerir hipótesis sobre los
efectos de hechos futuros; por ejemplo, el juicio sobre el valor razonable.

La NIA 240 proporciona requerimientos y orientaciones adicionales cuando se identifica

un error de incorrección material debida a fraude: Para la identificación y valoración de
los riesgos de incorrección material debida a fraude, el auditor, basándose en la
presunción de que existen riesgos de fraude en el reconocimiento de ingresos, evaluará
qué tipos de ingresos, de transacciones generadoras de ingresos o de afirmaciones dan
lugar a tales riesgos.

Las incorrecciones materiales debidas a información financiera fraudulenta relacionada

con el reconocimiento de ingresos suelen tener su origen en una sobrevaloración de los
ingresos mediante, su reconocimiento anticipado o el registro de ingresos ficticios.
También pueden tener su origen en una infravaloración de los ingresos, mediante, por
ejemplo, el traspaso indebido de ingresos a un periodo posterior. 30

Los riesgos de fraude en el reconocimiento de ingresos pueden ser mayores en unas

entidades que en otras. Por ejemplo, pueden existir elementos de presión o incentivos
para que la dirección proporcione información financiera fraudulenta mediante el
reconocimiento indebido de ingresos en el caso de entidades cotizadas cuando, por
ejemplo, el resultado se mide en términos de crecimiento interanual de los ingresos o de
los beneficios. De igual modo, por ejemplo, puede haber mayor riesgo de fraude en el

30
NIA 240 Responsabilidad del auditor en la auditoria de estados financieros con aspecto al fraude

70
reconocimiento de ingresos en entidades que generan una parte sustancial de sus
ingresos ordinarios a través de ventas en efectivo.

La presunción de que existen riesgos de fraude en el reconocimiento de ingresos puede

refutarse. Por ejemplo, el auditor puede concluir que no hay riesgo de incorrección
material debida a fraude relacionado con el reconocimiento de ingresos en el caso de que
haya un solo tipo simple de transacción generadora de ingresos.

El auditor tratará los riesgos valorados de incorrección material debida a fraude como
riesgos significativos y, en consecuencia, Por ello es importante que el auditor obtenga
conocimiento de los controles que la dirección ha diseñado, implementado y mantenido
para prevenir y detectar el fraude. Al hacerlo, el auditor puede llegar a saber, por ejemplo,
que la dirección ha decidido conscientemente aceptar los riesgos asociados a una falta
de segregación de funciones. La información obtenida de dicho conocimiento también
puede ser útil a la hora de identificar los factores de riesgo de fraude que pueden afectar
a la valoración por el auditor del riesgo de que los estados financieros contengan
incorrecciones materiales debidas a fraude.

Respuestas a los riesgos valorados de incorrección material debida a fraude Respuestas

globales. De conformidad con la NIA 330, el auditor determinará las respuestas globales
necesarias frente a los riesgos valorados de incorrección material debida a fraude en los
estados financieros.

En la determinación de respuestas globales frente a los riesgos valorados de incorrección

material debida a fraude en los estados financieros, el auditor:

 Asignará y supervisará al personal teniendo en cuenta los conocimientos, la

cualificación y la capacidad de las personas a las que se les atribuyan
responsabilidades significativas en el encargo, y su propia valoración de los
riesgos de incorrección material debida a fraude;

71
  Evaluará si la selección y la aplicación de las políticas contables por parte de la
entidad, y en especial las políticas relacionadas con mediciones subjetivas y con
transacciones complejas, pueden ser indicativas de información financiera
fraudulenta originada por intentos de manipulación de los resultados por parte de
la dirección;
 Introducirá un elemento de imprevisibilidad en la selección de la naturaleza, el
momento de realización y la extensión de los procedimientos de auditoría.

Procedimientos de auditoría en respuesta a riesgos valorados de incorrección material

debida a fraude en las afirmaciones. De conformidad con la NIA 330, el auditor diseñará
y aplicará procedimientos de auditoría posteriores cuya naturaleza, momento de
realización y extensión respondan a los riesgos valorados de incorrección material debida
a fraude en las afirmaciones

La dirección se encuentra en una posición privilegiada para cometer fraude debido a su

capacidad de manipular los registros contables y preparar estados financieros
fraudulentos mediante la elusión de controles que, por lo demás, operan eficazmente.
Aunque el nivel de riesgo de que la dirección eluda los controles variará de una entidad
a otra, la existencia del riesgo en sí está presente en todas las entidades. Dado el carácter
imprevisible del modo en que dicha elusión podría producirse, es un riesgo de
incorrección material debida a fraude, y por consiguiente, un riesgo significativo.

Si bien a menudo es menos probable que los riesgos relacionados con cuestiones
significativas no rutinarias o que requieren la aplicación de juicio estén sujetos a controles
rutinarios, la dirección puede tener otras respuestas cuya finalidad es tratar dichos
riesgos. En consecuencia, el conocimiento por el auditor de si la entidad ha diseñado e
implementado controles para los riesgos significativos que surjan de cuestiones no
rutinarias o que requieren la aplicación de juicio incluye conocer si la dirección responde
a dichos riesgos y el modo en que lo hace. Dichas respuestas pueden incluir lo siguiente:

72
  Actividades de control tales como la revisión de hipótesis por la alta dirección o
por expertos.
 Procesos documentados para las estimaciones.
 Aprobación por los responsables del gobierno de la entidad.

En algunos casos, la dirección puede no haber respondido adecuadamente a riesgos

significativos de incorrección material mediante la implementación de controles para
dichos riesgos. El hecho de que la dirección no haya implementado dichos controles
indica una deficiencia significativa en el control interno.

Riesgos para los que los procedimientos sustantivos por sí solos no proporcionan
evidencia de auditoría suficiente y adecuada.

Los riesgos de incorrección material pueden estar directamente relacionados con el

registro de tipos de transacciones o saldos contables rutinarios, y con la preparación de
estados financieros fiables. Dichos riesgos pueden incluir los riesgos de un
procesamiento inexacto o incompleto de tipos de transacciones rutinarias y significativas,
tales como ingresos ordinarios, compras y cobros, o pagos de la entidad.

Cuando dichas transacciones rutinarias estén sujetas a un procesamiento muy

automatizado con escasa o nula intervención manual, puede que no resulte posible
aplicar únicamente procedimientos sustantivos en relación con el riesgo. Por ejemplo, el
auditor puede considerar que éste es el caso de aquellas circunstancias en las que una
parte significativa de la información de la entidad se inicia, registra, procesa o notifica sólo
de manera electrónica, como en un sistema integrado. En estos casos:

Es posible que la evidencia de auditoría únicamente esté disponible en formato

electrónico, y que su suficiencia y adecuación normalmente dependan de la eficacia de
los controles sobre su exactitud e integridad. La posibilidad de que la información se inicie

73
o altere de manera incorrecta y de que este hecho no se detecte puede ser mayor si los
correspondientes controles no están funcionando de manera eficaz.

Durante la realización de la auditoría puede llegar a conocimiento del auditor información

que difiera significativamente de la información sobre la que se basó la valoración del
riesgo. Por ejemplo, la valoración del riesgo puede basarse en la suposición de que
ciertos controles están funcionando de manera eficaz. Al realizar las pruebas sobre
dichos controles, el auditor puede obtener evidencia de auditoría de que no funcionaron
de manera eficaz en momentos importantes durante la realización de la auditoría. Del
mismo modo, al aplicar procedimientos sustantivos, el auditor puede detectar
incorrecciones por cantidades superiores o con mayor frecuencia de lo que corresponde
a las valoraciones del riesgo realizadas por el auditor.

En tales circunstancias, puede ocurrir que la valoración del riesgo no refleje

adecuadamente las verdaderas circunstancias de la entidad y los procedimientos de
auditoría posteriores planificados pueden no ser eficaces para detectar incorrecciones
materiales. 31

4.4 Documentación
El auditor incluirá en la documentación de auditoría:

Los resultados de la discusión entre el equipo del encargo, cuando lo requiera el así como
las decisiones significativas que se tomaron; los elementos clave del conocimiento
obtenido en relación con cada uno de los aspectos de la entidad y de su entorno, así
como de cada uno de los componentes del control interno; las fuentes de información de
las que proviene dicho conocimiento; y los procedimientos de valoración del riesgo
aplicados; los riesgos de incorrección material en los estados financieros y en las
afirmaciones, identificados y valorados; y. los riesgos identificados, así como los controles
relacionados con ellos, respecto de los que el auditor ha obtenido conocimiento.

31
NIA 330 Respuestas del auditor a los riesgos valorados

74
El modo en que se deben documentar debe determinarlo el auditor de acuerdo con su
juicio profesional. La forma y extensión de la documentación depende de la naturaleza,
dimensión y complejidad de la entidad, así como de su control interno, de la disponibilidad
de información por parte de la entidad y de la metodología y tecnología de auditoría
utilizadas en el transcurso de la auditoría.

En el caso de entidades cuya actividad y cuyos procesos no son complicados a efectos

de la información financiera, la documentación puede adoptar una forma sencilla y ser
relativamente breve. No es necesario documentar la totalidad del conocimiento del
auditor sobre la entidad y las cuestiones relacionadas con dicho conocimiento. Los
elementos clave del conocimiento documentados por el auditor incluyen aquellos que
sirven de base al auditor para valorar los riesgos de incorrección material.

La extensión de la documentación puede también reflejar la experiencia y las

capacidades de los miembros del equipo del encargo de la auditoría. Siempre que se
cumplan los requerimientos de la NIA 230, una auditoría realizada por un equipo del
encargo compuesto por personas con menos experiencia puede necesitar una
documentación más detallada, con la finalidad de facilitarles la obtención del adecuado
conocimiento de la entidad, que una auditoría realizada por un equipo formado por
personas con experiencia.

En el caso de auditorías recurrentes, puede utilizarse cierta documentación de periodos

anteriores, actualizada según resulte necesario para reflejar los cambios en los negocios
o procesos de la entidad.32

32
NIA 315 A-131 - A 134

75
 CAPÍTULO V
PROGRAMA DE AUDITORÍA EN LA EVALUACIÓN DEL CONTROL
INTERNO POR CICLOS DE NEGOCIOS

La auditoría por ciclo de negocios se basa en verificar y analizar los diferentes procesos
que se dan al hacer los registros contables de cada evento económico, evalúa el control
interno inherente en las diferentes cuentas que conforman los estados financieros y los
resultados esperados; producto de hacer un cargo y un abono siguiendo la lógica
contable.

Mediante la revisión analítica de la información contenida en los estados financieros se

puede identificar por simple comparación la existencia de errores o confirmar la validez
de las manifestaciones contables. La revisión analítica es una herramienta que permite
conocer la realidad económica de un negocio, se aplica haciendo comparaciones de la
información contable de una fecha actual con una fecha anterior, comparando
información contable contra el presupuesto o haciendo un análisis porcentual de los
resultados a una fecha determinada, entre otras formas de aplicación. La comparación
debe incluir la asociación lógica de la relación de cuentas por ciclo de negocios.

La revisión a los estados financieros por ciclo de negocios requiere que las cuentas
contables se agrupen de forma ordenada y siguiendo la lógica contable de la partida
doble, se deben asociar las cuentas según su naturaleza para que los resultados puedan
confirmar nuestras apreciaciones o bien investigar el porqué de los resultados.

Al efectuar la auditoría de cada uno de los ciclos de negocios contables, hay que incluir
la revisión de los cumplimientos fiscales, laborales y financieros para tener una
comprensión completa de las operaciones contables y poder evaluar el riesgo de la
existencia de un error que afecte desfavorablemente los resultados.

76
Durante la revisión de cada uno de los ciclos de negocios se debe revisar la aplicación
de las políticas de control interno definidas por la administración, discutir los resultados,
confirmar las evaluaciones, validar la documentación soporte, etc. La revisión de auditoría
por ciclos de negocios, le permite al revisor conocer en forma rápida la evolución de los
negocios de una compañía, identificar áreas de riesgo, confirmar los resultados
planificados y atender las debilidades de control que puedan existir.

5.1 Proceso de negocios relacionados

“Es un flujo continuo de hechos y transacciones. Los ciclos se definen para agrupar el
flujo de hechos económicos, similares o que se enlazan entre sí”. De acuerdo a la NIA
315 (Revisada), los procesos de negocios de una entidad son las actividades diseñadas
para:

 El desarrollo de la adquisición, la producción, la venta y la distribución de los

productos y servicios de una entidad.
 Asegurar el cumplimiento de las disposiciones legales y reglamentarias y
 Registrar información, incluida la información contable y financiera.

Los procesos de negocios tienen como resultado transacciones registradas, procesadas

y notificadas mediante el sistema de información. La obtención de conocimiento de los
procesos de negocios de la compañía, incluyen el modo en que se originan las
transacciones, facilita al auditor la obtención de conocimiento del sistema de información
relevante para la preparación de información financiera de un modo adecuado a las
circunstancias de la compañía.

Existen consideraciones específicas para compañías de pequeña dimensión, en este

caso podemos decir que el sistema de información y procesos de negocio relacionados
para la información financiera sean menos sofisticados que en las compañías de mayor
dimensión, pero su papel es igualmente significativo. El conocimiento de los sistemas y

77
procesos de la entidad puede ser más fácil en la auditoria de una compañía pequeña ya
que puede que no necesite descripciones detalladas de procedimientos contables,
registros contables sofisticados o políticas estrictas y puedan basarse más en la
indagación que en la revisión de documentación. Sin embargo, la necesidad de obtener
conocimiento sigue siendo importante. (NIA 315)33

Los ciclos de negocios, hoy en día comprenden una o más funciones, que son tareas o
actividades de procesamiento relacionadas de una manera lógica. Es difícil expresar lo
que es una función, por aquello de que cada departamento o sección, entidad o empresa,
es de características particulares. Un departamento de contabilidad puede incluir
funciones significantes como tareas de facturación, nómina, contabilidad ordinaria y de
costos, cuentas por pagar. Otras funciones que también participan en el procesamiento
de transacciones, encierran aspectos de personal, compras, embarques, etc.

Las funciones participan en el procesamiento de transacciones, como también en la

preparación de los estados financieros y se identifican con los ciclos de las actividades
empresariales. En cambio la función de planeamiento financiero y control, es el medio
por el cual la dirección o administración ejerce supervisión, control y revisión de los ciclos
de las actividades empresariales. La función de planeamiento financiero y control más
los ciclos de las actividades empresariales, vienen a constituir los elementos básicos en
que debe apoyarse el auditor para estudiar y evaluar los sistemas de control interno de
una empresa.

Los principales ciclos de negocio son los siguientes:

 Ciclo de Tesorería
 Ciclo de Ingresos

33
NIA 315 Control Interno, Instituto Mexicano de Contadores Públicos 2016

78
  Ciclos de Compras – Egresos
 Ciclos Conversión e Inventarios
 Ciclo de Nomina

5.1.1 Ciclo de Tesorería

Este ciclo comprende aquellas funciones relativas a los fondos de capital; por lo tanto, se
inicia considerando las necesidades de efectivo, distribución y aplicación del disponible,
culminándose con su retorno a las funciones que lo originaron, como inversionistas,
acreedores, etc.

Un ciclo regular de tesorería comprende, entre otras, el desarrollo de las siguientes

actividades:

 Administración del efectivo e inversiones, de las deudas u obligaciones, de las

acciones y demás valores mobiliarios.
 Mantenimiento de relaciones con instituciones financieras y afines, con agentes
de valores y accionistas.
 Custodia del efectivo y demás valores, incluyendo conciliaciones de saldos.
 Acumulación y pago de intereses y dividendos.

Las funciones de ciclo de tesorería pueden dar iniciación a registros contables

representativos de hechos económicos por: adquisición de obligaciones y sus
operaciones de pago; emisión y retiro de acciones; amortizaciones; cambios de valores;
operaciones de compra y venta de divisas, etc. Ingresos y desembolsos. En el ciclo de
tesorería se recibe y desembolsa efectivo como culminación de las transacciones propias
de esta actividad. Debe entenderse que la entrada y salida de efectivo no solamente
proviene del ciclo de tesorería sino también de los ciclos de ingreso y adquisición y pago,
que originan entradas y salidas de efectivo.

79
Lo anterior en razón a que en ocasiones ha llegado a manifestarse, de si es prudente
considerar la función de ingreso como parte del ciclo de tesorería o de egreso, o la función
de desembolsos como del ciclo de tesorería o del de adquisición y pago o de todos.34

Objetivos del control interno.

Los objetivos del Control Interno del ciclo de tesorería son de: autorización,
procesamiento, clasificación, verificación, evaluación y protección física, los cuales
pueden sintetizarse en la siguiente forma:

Autorización. Conforme a criterios de la administración o dirección, debe autorizarse:

 La obtención de fondos de efectivo

 La oportunidad y demás condiciones de las deudas
 Los montos y oportunidad para inversión de fondos
 Los ajustes y distribución a cuentas de inversionistas, acreedores, etc.
 Creación y mantenimiento de procedimientos para el proceso del ciclo.

Proceso de transacciones. Aprobación de solicitudes o requerimientos para retorno de

fondos de capital y compra o venta de inversiones; informar exacta y oportunamente
hechos económicos derivados de: obtención de fondos de capital, de inversionistas y
acreedores; necesidades de fondos de capital y devolución o retorno de tales sumas;
compra y venta de inversiones y demás valores, y el producto o rendimiento de las
inversiones.

34
Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos transaccionales y análisis de informe
COSO I y II. Bogotá, Colombia. : ECOE Ediciones , 2009

80
Determinar con exactitud, clasificar correctamente y resumir e informar de: las sumas
adeudadas a /o por inversionistas y acreedores, Compañía en donde se invierte,
corredores, etc.

Clasificación. Deben efectuarse asientos apropiados de: las sumas adeudadas, fondos
de capital, devolución de fondos, de operaciones de compra y venta de inversiones y de
los rendimientos. Además, adecuado resumen y clasificación de las actividades
económicas, conforme al plan establecido por la dirección e información exacta y
oportuna de datos relativos a impuestos.

Verificación y evaluación. Deben evaluarse y verificarse periódicamente los datos de

impuestos, los saldos de las diversas cuentas de efectivo, inversionistas, deudas de
capital y actividades de transacciones relacionadas.

Protección física. El paso o acceso al efectivo, documentos y registros de accionistas,

deudas e inversiones y procedimientos para el proceso, deben efectuarse conforme a
planes de seguridad y control, establecidos por la dirección.

IMAGEN 4
CICLO DE TESORERIA35

CICLO DE
INGRESOS
CICLO
TESORERIA

NECESIDAD
DEL EFECTIVO
RECURSOS DISTRIBUCIÓN

INVERSIONES

35
Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos transaccionales y análisis de informe
COSO I y II. Bogotá, Colombia. : ECOE Ediciones , 2009

81
Pueden existir riesgos al no conseguirse los objetivos del ciclo de tesorería,
precedentemente relacionados, la empresa puede correr el riesgo de llegar a una
estructura de capital que no es adecuada, producida por diferentes aspectos como
deficiencia de capitalización o hacer inversiones en contravención a reglamentos o
políticas establecidas; las secciones o departamentos pueden llegar a reorganizarse en
aspectos tales como modificar las funciones del personal, para debilitar o reducir la
segregación de funciones, con el objeto de menoscabar el control interno.

Se pueden originar saldos incorrectos en las cuentas de inversiones, de los derechos a

cobrar y obligaciones a pagar, lo mismo que de los rubros del patrimonio de los
accionistas; se pueden afectar de manera incompleta o inexacta, cuentas en los libros
contables, especialmente en el mayor general (v. gr. errores en asientos o cifras).

También inclusión de datos no autorizados, duplicados o erróneos, o desactualización en

la contabilidad y atraso en otros datos. Incurrir en informaciones inexactas,
principalmente en las clasificaciones de transacciones, así las ventas de una línea de
productos relacionarse como de otra o en períodos diferentes respecto de aquellos en
que ocurren los hechos; pueden tomarse decisiones con base en informaciones inexactas
o incompletas.

5.1.2 Ciclo de Compras – Egresos

Este ciclo analiza los pasos o procedimientos de todas las transacciones de adquisición
y pago además al adquirir recursos para la operación genera la clasificación de diversas
cuentas de activo como de gastos; por ejemplo: compras de materias primas, compras
de suministros, activos, gastos generales, inventarios, proveedores, etc. Por estas
funciones, el ciclo ordinariamente afecta rubros de: efectivo, inventarios, gastos pre
pagados, propiedades, cuentas a pagar, gastos acumulados, costos generales de
fabricación, gastos de ventas y embarques, gastos generales y de administración,
impuestos, otros ingresos y gastos.

82
Un aspecto de gran importancia en este ciclo es la debida coordinación de transformación
que se mantiene con el objeto de que las adquisiciones que se hagan para la producción,
sean las adecuadas en volumen, calidad, especificaciones, condiciones, para que se
mantengan los niveles de inventarios necesarios. Llevar con exactitud cuenta y razón de
los inventarios, para así proteger los inventarios.

Funciones Especiales. Selección de proveedor, solicitud de las compras, efectuar las

compras, recepción, control de calidad, cuentas a pagar y desembolsos de efectivo.
Asientos Contables: comprende asientos de compras, desembolsos de efectivo, ajustes,
distribución de cuentas, pagos pre pagados y acumulaciones.

Documentos y Formas: Comprende solicitudes de compra, órdenes de compra,

documentos de recepción, facturas de proveedores, notas de remisión, comprobantes,
solicitudes de cheques, autorizaciones para desembolso de proyectos.

Bases de Datos: implica el archivo de proveedores, que involucra datos relativos a

nombres y direcciones de proveedores y de precios; registro de obras de construcción:
cuentas a pagar, que incluye cuentas pendientes, de historial de pago y compromiso de
compras.

Objetivos del Control Interno.

Autorización. Deben de considerarse, conforme a criterios de la dirección de la empresa

los proveedores; tipos, cantidades, especificaciones y condiciones de las mercancías y
servicios; los ajustes o desembolsos de efectivo, cuentas de proveedores y distribución
de cuentas: tipos de retribución y deducciones de nómina; ajustes a desembolso de
nómina cuentas de empleados. También, conforme a criterios de dirección, deben
mantenerse procedimientos de proceso para compras y nómina, lo mismo que para
contratación a empleados.

83
Procesamiento de transacciones: solamente deben de aprobarse las solicitudes a
proveedores por mercancías o servicios, y requerimientos para la utilización de mano de
obra, que se ajustan a criterios de la dirección. Deben de aceptarse únicamente
mercancías y servicios que se hayan solicitado.

Las mercancías, servicios y mano de obra aceptada, deben de identificarse con exactitud
y en forma oportuna. Los desembolsos de efectivo por mercancías, servicios y nómina,
deben de autorizarse apropiadamente y estar fundamentados en pasivos reconocidos
oportunamente.

Las sumas adecuadas a proveedores y empleados, las erogaciones de efectivo y los

ajustes por compras y nómina, deben ser clasificadas, resumidas e informadas con
exactitud y prontamente. Deben de aplicarse con exactitud a las cuentas apropiadas, los
pasivos incurridos, los desembolsos de efectivo, las erogaciones por mano de obra y
demás de la nómina e igualmente los ajustes que sean en el caso. Así mismo deben de
verificarse y evaluarse, periódicamente los saldos, de cuentas a pagar y los registros en
cuentas relativas a las nóminas y sus transacciones relacionadas.

Riesgos al no lograrse los objetivos del ciclo.

Se pueden efectuar compras no autorizadas y de manera premeditada; pagarse efectivo

a personas no autorizadas; puede incurrirse en demora en los embarques; adquirirse
material de baja calidad; efectuarse compras a precios excesivos. Igualmente pueden
llevarse a cabo compras a proveedores cuyos vendedores soliciten sobornos u obsequios

Se corre la eventualidad de que no se cumplan los patrones de calidad, utilización de

materiales de calidad superior a la requerida (mayores costos); pueden comprarse
mercancías y servicios en condiciones no convenientes, lo cual puede originar efectos

84
desfavorables en los resultados operacionales o en la situación de liquidez, o varias las
fechas de cumplimiento de los programas de producción.

Pueden presentarse incorrectamente las cuentas a pagar por efecto de reclasificaciones

y ajustes erróneos; aprobarse ajustes que no son de la aceptación de la dirección. Esto
puede perjudicar los resultados operacionales, no registrar pasivos o producir disgustos
en los proveedores.36

5.1.3 Ciclo de Nomina

Este ciclo analiza los pasos o procedimientos de todas las transacciones que se realizan
en las nóminas, las cuales corresponden a pagos de sueldos, salarios, comisiones, horas
extras, bonificaciones, prestaciones laborales, etc.

Sus principales funciones son:

 Implica selección de personal, relaciones laborales, información y control de

asistencia, contabilidad de nómina, desembolsos de nómina, contabilidad de
proyectos (obras capitalizables, mano de obra, honorarios, trabajos de
investigación, etc.).
 Implica particularidades de nóminas pagadas, beneficios pagados a empleados,
distribución de mano de obra, (a gastos y capitalizable), ajuste de nómina, pagos
pre pagados, acumulaciones, proyectos-adquisiciones y pagos- (cargos a cuentas
de proyectos y obras.).
 Registro de movimiento de personal, controles e informe de tiempo, ajuste de
nómina, pagos especiales, (incapacidades, indemnizaciones, anticipos, etc.) y
cheques.

36
Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos transaccionales y análisis de informe
COSO I y II. Bogotá, Colombia. : ECOE Ediciones, 2009.

85
  Conlleva, archivo maestro de empleados (estático), que encierra nombres de los
empleados e información conexa, tipos de retribuciones, elementos de beneficio a
empleados, registros de salarios de empleados, (dinámico).
 Erogaciones de efectivo, con el ciclo de tesorería; servicios de mano de obra, con
el ciclo de transformación; resúmenes de transacciones, con el ciclo de informe
financiero.

Riesgos al no lograrse los objetivos del ciclo.

Pueden pagarse a empleados sumas no autorizadas, teniendo como posibles efectos,

costos desmesurados de nómina, infracciones a disposiciones legales, operar sobre
niveles salariales que causen descontento, anticipos a empleados que resulten
incobrables, desembolsos imprevistos de efectivo, etc.

También, al no lograrse los objetivos de autorización para nómina, pueden calcularse

incorrectamente las provisiones para prestaciones sociales, conllevando la omisión de
registro de pasivos. Igualmente pueden deducirse sumas no autorizadas por los
empleados, lo cual es violatorio de disposiciones legales.

5.1.4 Ciclo de Ingresos

Este ciclo comprende aquellas funciones que implican el intercambio de productos y/o
servicios con los clientes por efectivo. A manera enunciativa este ciclo abarca rubros de
balance como cuentas y efectos por cobrar, acumulaciones o provisiones para cuentas
dudosas, acumulaciones para gastos de ventas e impuestos sobre ventas provenientes
de sistemas de ingresos.

86
El estado de resultados, encierra rubros de ventas, costos de ventas por aspectos de su
determinación, impuestos sobre las ventas e ingresos financieros producidos por los
sistemas de ingresos, provisiones por cuentas dudosas. Es importante destacar que
cuentas de efectivo (tesorería) son afectadas por el ciclo de ingresos.

Funciones especiales: Cuentas a cobrar, concesión de créditos, entrada de pedidos

despachos y embarques, facturación, ingresos del efectivo, costo de ventas, gestiones
de cobró, registro de comisiones, garantías, etc. También comprende los asientos
contables de ventas, costo de ventas, ingresos a caja, devoluciones y rebajas,
descuentos por pronto pago, provisiones para cuentas dudosas, castigo y recuperaciones
de deudas dudosas, comisiones, obligaciones por impuestos, acumulaciones de gastos
e ingresos extraordinarios.

Documentos y formas: se destacan pedidos a clientes, órdenes de venta, órdenes de

embarque, facturas de ventas, avisos de remesas, formas para ajuste y conocimientos
de embarque.

Bases de datos: algunos de carácter estático o de referencia son los archivos maestros
de clientes y de crédito, catálogo de productos y lista de precios. De índole dinámica o
de saldos, se tiene los archivos de ordenes pendientes, detalles y características de las
cuentas a cobrar y archivos de análisis históricos de ventas.37

Enlaces con otros ciclos: las conexiones de este ciclo hacia los demás, están dadas: con
el de tesorería por el aspecto de los ingresos a caja; con el ciclo de transformación, por
los embarques; con el ciclo financiero, en lo que concierne a resúmenes de actividades
(asientos contables, etc.).

37
Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos transaccionales y análisis de informe
COSO I y II. Bogotá, Colombia. : ECOE Ediciones, 2009.

87
Objetivos del Control Interno.

Autorización: Debe de autorizarse acorde con los criterios de la dirección de la compañía,

los clientes, el precio y demás condiciones de mercancías y servicios que han de
proporcionarse; ajustes a los rubros de ingresos, costo de ventas, cuentas de clientes,
distribución de cuentas. Igualmente, deben crearse y mantenerse procedimientos de
proceso para el ciclo autorizados acorde con criterios de la dirección.

Procesamiento de transacciones: Deben de aprobarse únicamente aquellas solicitudes o

pedidos de clientes por mercancías y servicios, que se ajustan a los criterios de la
dirección de la empresa; antes de proporcionarse las mercancías y servicios debe de
exigirse que las solicitudes o pedidos estén debidamente aprobados; cada pedido
autorizado debe embarcarse o despacharse exacta y oportunamente.

Clasificación: Los asientos contables de ingreso deben de clasificar y resumir las

actividades económicas, conforme a planes de la dirección de la empresa; por cada
periodo contable, deben de elaborarse los asientos contables para facturación, costo de
mercancías, servicio vendido, erogaciones por ventas, efectivo recibido y ajustes del
caso.

Verificación y evaluación: De manera regular o atendiendo las circunstancias, deben de

verificarse y evaluarse los saldos registrados en cuentas y efectos a cobrar las partidas
relacionadas.

88
 IMAGEN 5
CICLO - VENTA DE CRÉDITO

Imagen tomada de Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos
transaccionales y análisis de informe COSO I y II. Bogotá, Colombia. : ECOE Ediciones, 2009.

Riesgos al no lograrse los objetivos del ciclo.

El no cumplimiento de objetivos de autorización en este ciclo, implica también incurrir en

aspectos como: el llegar a aceptar órdenes a precios no autorizados o condiciones
irrazonables; órdenes para productos o servicios estipulando condiciones de calidad que
no son alcanzables; infracción a disposiciones legales, lo cual puede acarrear multas o
contingencias; pueden llevarse a cabo entregas o embarques, sin considerar en los
precios de venta los gastos por estos conceptos.

89
Las cuentas y efectos por cobrar, pueden presentarse incorrectamente por aspectos de
ajustes o reclasificaciones erróneas; pueden clasificarse erradamente cuentas a cobrar
como de dudoso recaudo o castigarse siendo cobrables; manejarse negligentemente las
mercancías devueltas, lo que puede llevar a mostrar inadecuadamente el rubro de
cuentas a cobrar.

Puede omitirse el reportar ventas al contado de mercancías; no detectar faltantes de caja,

por efecto de saldos inflados; los asientos de entrada a las cuentas del mayor pueden ser
incompletos; así cobros o facturaciones pueden excluirse de los resúmenes
intencionalmente o por aspectos de errores. También, los asientos a las cuentas del
mayor pueden ser inexactos; los informes pueden ser deformados con respecto a las
clasificaciones de las transacciones; de esta manera se tiene, que productos de una línea
pueden clasificarse en otra.

5.1.5 Ciclo Informe Financiero

Este ciclo financiero recoge información contable y operativa la analiza, evalúa, resume,
concilia ajusta y reclasifica, con el objeto de presentar los estados financieros a la
dirección y accionistas.

Contablemente este ciclo recibe asientos primarios o de diario provenientes de los demás
ciclos, que son los que procesan transacciones. Las diversas cuentas deben de evaluarse
y analizarse en este ciclo y conciliarse con la información que recibe de otros ciclos. Este
paso es indispensable efectuarlo cuando el proceso de análisis y evaluación no se
complementa en las funciones que se desarrollan los ciclos que procesan transacciones.

Este ciclo de informe financiero también comprende aquellas funciones de conversión de

estados en moneda legal y extranjera, consolidación y reclasificaciones. El resultado
principal de este ciclo se traduce en la preparación de los estados financieros de
conformidad con las Normas de Información Financiera (NIF) y disposiciones de carácter

90
legal, como también informes para la dirección, funcionarios y otros de características
especiales, para los niveles operativos.

 Funciones especiales: Datos para notas e información suplementaria, elaboración

de asientos de diario consolidaciones, conversión de datos en monedas diferentes
a la de curso legal, elaboración de informes, archivos de datos financieros.
 Asientos Contables: Valuaciones eliminaciones y reclasificaciones.
 Documentos y Formas: Asientos de diario, estados financieros e informes
diversos.
 Base de Datos: Clasificación de cuentas, presupuestos y en cierta forma datos de
condición económica tales como tipos de cambio, indicadores, patrones legales
de medición y ajustes, etc. Como datos de carácter dinámico o de saldos, se tiene
el libro mayor general, libros auxiliares y minutas.
 Informes generales u Ordinarios: Estado de resultados, informe de
responsabilidades, informes de resultados por dependencias o secciones, estados
de movimiento de efectivo, estado de cambios de la situación financiera,
declaraciones de renta y patrimonio.
 Enlaces con otros ciclos: asientos de diario de otros ciclos e informes a la
fundación de planeamiento financiero y control.

Objetivos del Control Interno.

Autorización: Los asientos de diario y ajustes contables deben de autorizarse conforme

a los criterios de la dirección de la empresa, también crearse y mantenerse
procedimientos de proceso acordes con el juicio de la dirección. Procesamientos de
transacciones: únicamente deben de aprobarse los asientos de diario que se ajustan a
los criterios de la dirección e igualmente, estos asientos deben elaborarse con exactitud
y oportunamente; los datos que se consideren exponer deben de ser oportunos, además
de resumirse e informarse con exactitud; todos los asientos de diario aprobados deben

91
de pararse con exactitud a las cuentas de mayor: los saldos del libro mayor deben de
reportarse y utilizarse oportunamente; las conversiones y consolidaciones e informes
financieros deben de hacerse correcta y oportunamente.

Clasificación: Los asientos de diario deben de resumirse y clasificar las transacciones

económicas conforme a un plan establecido por la dirección: los informes deben
prepararse correcta y oportunamente, sobre bases uniformes o consistentes, de manera
que presentan razonablemente la información que pretenden conocer.

Verificación y evaluación: De manera regular, deben de verificarse y evaluarse los saldos

de las cuentas por cobrar y demás rubros relacionados o que se considere de
importancia.

Riesgos al no lograrse los objetivos del ciclo

Los saldos de las cuentas pueden estar erróneos debido a uno o más de los siguientes
aspectos:

 Omisión de asientos aprobados.

 Asientos no autorizados.
 Efectuar asientos a cuentas que no corresponden.
 Afectar períodos contables distintos.

Los estados financieros pueden presentarse incorrectamente por uno o más de los
siguientes motivos:

92
  Omisión de saldos del mayor general.
 Errores aritméticos.
 Tipo de cambios o tasas de conversión incorrectos.
 Omisión de asientos de eliminación y clasificaciones inadecuadas.

Pueden no estar disponibles oportunamente los estados financieros presentarse éstos

incorrectamente por omisión de asientos contables, codificaciones incorrectas, asientos
duplicados o por cortes impropios. También puede debilitarse el control interno al no
cumplir con este objetivo.

Los estados financieros publicados o entregados al público y demás interesados, pueden

no estar preparados de conformidad con principios de contabilidad aplicados de manera
consistente; la información presentada puede ser demasiado resumida o lacónica;
pueden presentarse excesivos detalles; los informes fundamentales pueden prepararse
inexactos; la empresa puede exponerse a acciones ejecutorias o sanciones por
organismos reguladores o que ejercen inspección y vigilancia. Por lo tanto no presentar
una situación real; la toma de decisiones puede soportarse en informaciones erradas;
errores de diversa índole pueden pasarse inadvertidos; los hechos históricos y los saldos
registrados, pueden no reflejar las situaciones vigentes o de actualidad.

Los registros y documentos pueden alterarse o perderse, lo que puede conllevar a

dificultades para la preparación de informes financieros, etc., los registros y documentos
pueden ser utilizados indebidamente por personal no autorizado; los programas
computarizados pueden alterarse; las autorizaciones para procesar, especialmente de
sistemas computarizados, pueden perderse, destruirse o alterarse, los mismo puede
ocurrir con los archivos de soporte o respaldo.

93
 IMAGEN 6
RELACIÓN DE ENTRE LOS CICLOS.

Imagen. Ilustrativa de la interrelación de cada uno de los ciclos

94
5.2 Auditoria por ciclos de negocios

IMAGEN 738

Auditoria
por ciclos
de negocios

Investiga, revisa y
evalúa

Las áreas
funcionales de las
entidades

Para
determinar

Si los controles
Si se tienen controles
permiten operar con
adecuados
eficiencia

Disminuir costos e
incrementar la
productividad

38
Elaboración de diseño Propio

95
La auditoría por ciclos de negocios persigue:

 Detectar Problemas y proporcionar bases para solucionarlos.

 Prever obstáculos a la eficiencia.
 Presentar recomendaciones para simplificar el trabajo e informar sobre obstáculos
al cumplimiento de planes y todas aquellas cuestiones que se mantengan dentro
del primer nivel de apoyo a la administración de las entidades, en la consecuencia
de la óptima productividad.

Es importante la aplicación de la auditoría por ciclo de negocios ya que ayuda al análisis

de cada proceso de toda operación, para determinar hallazgos y sus respectivas
recomendaciones, para minimizar costos o bien la utilización al máximo de los recursos
existentes.

Además la auditoría por ciclos de negocios proporciona un enfoque de cómo se llevan a

cabo las actividades en una empresa, para que a través de un análisis, estudio e
investigación; esté en la posibilidad de detectar las deficiencias importantes, que
significan oportunidades para implementar o mejorar la optimización del funcionamiento
de cada empresa.39

5.3 Programas de auditoria

Los programas de Auditoría describen específicamente como se debe llevar a cabo la
ejecución de una auditoría. Contienen la relación ordenada de forma secuencial y lógica
de las diferentes actividades para desarrollar los procedimientos. Los programas de
Auditoría tienen suma importancia pues son los medios que relacionan los objetivos
propuestos para una auditoría específica con la ejecución real del trabajo.

39
[Link] (auditoria operacional)

96
Generalmente los programas de auditoría presentan inicialmente una relación directa con
los motivos y objetivos de la auditoría respectiva e identifican la información que debe
reunirse y los pasos más importantes para la evaluación ya sea de la eficacia, economía
o de la eficiencia.

Es necesario destacar que los programas de trabajo deben conducir a desarrollar las
evidencias que se obtengan, de tal forma que se puedan formular recomendaciones
válidas y pertinentes, producto esencial de la auditoría operacional. Por lo tanto los
programas de Auditoría deben planificarse con el máximo cuidado profesional, pero sin
llegar a una rigidez absoluta, pues en auditoría operacional se requiere mantener una
actividad mental despierta y amplia que permita cambiar de rumbo en la ejecución de un
programa cuando las circunstancias así lo aconsejen. Esto último no quiere decir que la
flexibilidad de un programa llegue al extremo de justificar una planificación inadecuada.

El programa incluirá:

 Objetivos
 Procedimientos
 Personal Asignado
 Presupuesto de tiempo
 Referencia de Papeles de Trabajo

97
Ejemplo:

IMAGEN 8
PROGRAMA DE AUDITORÍA

Elaboración de diseño propio

5.3.1 Metodología de la auditoria por ciclo de negocios

El principal uso del conocimiento de la estructura del control interno por parte del auditor
es evaluar el riesgo de control para cada objetivo de la auditoria relacionado con
operaciones. Las pruebas de controles se realizan para determinar la eficiencia tanto del
diseño como de las operaciones de los controles internos específicos. Estas pruebas
incluyen los siguientes tipos de procedimientos:

 Hacer consultas al personal adecuado del cliente.

 Examinar documentos, registros e informes.
 Observar las actividades relacionadas con el control.
 Volver a realizar los procedimientos del cliente.

98
CONTROLES CLAVE ILUSTRATIVOS PRUEBAS TÍPICAS DE CONTROLES

Se aprueba el crédito antes del embarque. Examine una página de pedidos de

clientes para determinar la existencia de
antefirmas autorizadas que indiquen la
aprobación del crédito (documentación).

Las ventas se apoyan con documentos de Examine una muestra de copias de

embarque autorizados y pedidos facturas de ventas para determinar que
aprobados de los clientes, que se cada una está apoyada con un documento
adjuntan a copia de factura de venta. de embarque autorizado y un pedido
aprobado (documentación).

Separación de deberes entre facturación, Observe si el personal responsable del

registro de ventas y manejo de entradas manejo del efectivo no tiene
de efectivo. responsabilidades contables y consulte
sobre sus deberes (observación y
consulta).

Se utiliza una lista de precios aprobada Observe si se utiliza una lista de precios
para determinar los precios de venta cuando se preparan las facturas y
unitarios. compare la lista de precios von una lista
de precios de venta actualizados
(observación y documentación).

Los documentos de embarque se envían Observe la secuencia de las copias de

a facturación todos los días y se facturan facturas de ventas y documentos de
al siguiente día. embarque y las verifique en diario de
ventas (documentación y desempeño).

Los estados de cuenta se envían a todos Observe si los estados de cuenta se

los clientes cada mes. envían por correo un mes e investigue
quien es responsable de ello (observación
y consulta).

99
 El diario de ventas se revisa cada mes en Vuelva a sumar el diario de ventas durante
cuanto a su confiabilidad en el total en un mes y rastree el total de mayor.
comparación con el mayor de ventas y
devoluciones de ventas.

Elaboración propia

El programa de auditoria para la mayoría de las auditorias está dividido en tres partes:
pruebas de controles y pruebas sustantivas de operaciones, procedimientos analíticos y
pruebas de detalle de saldos. Es probable que exista un conjunto separado de programas
de sub-auditoria para cada ciclo de operación. Por ejemplo en el ciclo de ventas y
cobranza podrían ser las pruebas sustantivas de operaciones de programas de auditoria
para ventas y entradas de efectivo; un programa de auditoria de procedimientos analíticos
para todo el ciclo y pruebas de detalle de saldos de programa de auditoria para efectivo,
cuentas por cobrar, gastos de deudas incobrables, estimaciones para cuentas
incobrables y cuentas por cobrar varias. Ver Imagen 9

100
 IMAGEN 9
METODOLOGÍA PARA DISEÑAR PRUEBAS DE CONTROLES Y PRUEBAS
SUSTANTIVAS DE OPERACIONES40

Realizar procedimientos para entender

la estructura de control interno

Evaluación de riesgo de control

Evaluación de costo-beneficio de los

controles de pruebas

Procedimientos de auditoria
Diseñar pruebas de controles y pruebas
sustantivas de operaciones a fin de Tamaño de la muestra
cumplir con los objetivos de auditoria Partidas a escoger
relacionados con operaciones.
Oportunidad

Arens, A. A. (s.f.). Auditoria un enfoque integral. Pearson Educación.

40
Arens, A. A. (s.f.). Auditoria un enfoque integral. Pearson Educación.

101
 CASO PRÁCTICO
VALUACIÓN DEL CONTROL INTERNO
LA COMERCIALIZADORA SA DE CV

INTRODUCCIÓN

La Comercializadora, S.A. de C. V., se dedica a la compra venta de productos

electrodomésticos que facilitan y dan comodidad al cliente, cuenta con un proveedor
extranjero que apoya el financiamiento de la mercancía para poder realizar sus
operaciones.

Como primera actividad la comercializadora adquiere muestras de mercancía

proporcionadas por su proveedor, donde dichas muestras son evaluadas por laboratorios
autorizados para autentificar la calidad del producto y así obtener la NOM (Normas
Oficiales Mexicanas). Una vez obtenida esta autentificación es mostrada al cliente para
negociar el precio de venta y el crédito.

Enseguida de la negociación con el cliente la comercializadora procede con el pedido al

proveedor extranjero para realizar la venta y cumplir con los acuerdos de entrega con el
cliente.

La comercializadora realiza la importación de su mercancía desde Hong Kong a los

puertos mexicanos principalmente puerto de San Lázaro, en donde se contrata servicios
de agente aduanal para la validación aduanera y nacionalización de la mercancía que se
está ingresando.

La compañía resguarda esta mercancía en almacenes fiscales para en cada pedido

realizado por un cliente se realice la extracción y dicha mercancía.41

41
Redacción y elaboración propia

102
Actualmente cuenta con productos de línea blanca como son centrifugas, lavadoras,
ventiladores, aires, despachadores de agua y parrillas eléctricas; y aun con la búsqueda
de más productos para seguir con su crecimiento.

Sus principales clientes son:

 Tiendas Soriana
 Nueva Wal-Mart de México
 SEARS
 COOPEL
 COSTCO de México SA de CV

La comercializadora adquiere servicios de fletes de distribución para la entrega al cliente.

El cual dicho proceso conlleva de principio cotizaciones con los diferentes proveedores,
una vez que se selecciona el proveedor se firma contrato y se le informa los
requerimientos de cuidado con la mercancía y las evidencias de entrega al cliente.

La comercializadora brinda atención al cliente debido a las fallas que pudiera tener el
producto, por lo que esta atención es vía telefónica y presencial, o cambio de producto.

Organización de la compañía.

En cuanto al personal actualmente cuenta con 3 empleados dedicados a la

administración, 2 para el área de logística, 1 para marketing de la mercancía, 1 empleado
para atención técnica por falla que presente el producto, vendedores en los diferentes
estados como Guadalajara, Monterrey, Mérida y Ciudad de México, promotores dentro
de las tiendas comerciales.

103
Historia.

La Comercializadora, S.A. de C. V., empresa 100% mexicana, se constituye en 2009, con

un grupo de personas con alta experiencia en ventas, posicionamiento de productos. En
base a su experiencia decidieron iniciar su propio negocio y gracias a su primer proveedor
extranjero que les dio la confianza para financiar el negocio, realizaron las importaciones
de sus productos iniciando con centrifugas las cuales les ayudaron a ganar credibilidad
con sus clientes en tiendas comerciales.

La comercializadora SA de CV se dedica desde ese tiempo a la importación de productos

electrodomésticos que facilitan y dan comodidad al cliente final.

Actualmente cuenta con líneas de línea blanca como son centrifugas, lavadoras,
ventiladores, aires, despachadores de agua y parrillas eléctricas; y aun con la búsqueda
de más productos para seguir con su crecimiento.

Misión.

Ser líder en el mercado nacional e internacional brindando un excelente servicio y calidad

en los productos dirigidos a la industria de electrodomésticos, enfocándonos en la
generación de empleos y crecimiento social.

Visión.

Mejorar continuamente el servicio, la calidad y los procesos estando cerca de nuestros

clientes, preocupándonos siempre por su satisfacción para que nuestra empresa sea la
primera opción en la mente del consumidor.

104
Objetivos.

Garantizar el mejor precio, calidad, servicio y suficiente abastecimiento a nuestros

clientes tanto en el mercado nacional como internacional, generando empleos con
personas comprometidas, contemplando el desarrollo social.

105
 PERFIL DEL DESPACHO.

MONTERDE y ASOCIADAS S.C. es un despacho constituida el pasado 31 de Octubre

del 2011, en Ciudad de México, enfocada en la especialización en materia de
cumplimiento fiscal así como en consultoría y asesoría de control interno

MISIÓN.

Prestar servicios fiscales y de auditoria enfocadas en la evaluación del control interno

con liderazgo, responsabilidad e innovación, comprometiéndonos en la satisfacción
integral de nuestros clientes.

VISIÓN.

Ser un despacho líder especializado en el cumplimiento de las normas de auditoria, así

como el cumplimiento de las obligaciones fiscales, que con el adecuado capital humano,
que nos permite satisfacer las necesidades de nuestros clientes mediante un servicio
profesional, integral y oportuno.

VALORES.

 Responsabilidad
 Respeto
 Lealtad
 Honradez

106
  Compromiso Y Confiabilidad42

Quienes somos.

Somos un despacho encabezado por contadores públicos profesionales con una amplia
experiencia empresaria, fiscal y control interno COSO. Brindamos a nuestros clientes
una atención personalizada e inmediata.

Servicios.

 Cumplimiento de obligaciones fiscales

 Consultaría y asesoría fiscal
 Planeación de auditoría interna y externa y Valuación de control interno
 Cursos en materia fiscal y de auditoria
 Apoyo en la atención de requerimientos emitidos por las autoridades fiscales
 Amplio conocimiento en COSO 43

42
Elaboración y diseño propio.
43
Elabora y diseño propio.

107
MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA

Check List de Matriz de Planeación

Nivel de
Cuenta Descripción del control Riesgo Planeación de revisión Probar
Impacto
Se cuenta con una cifra control de la Nomina Registrar contablemente equivocadamente, Validación de Carátula de Nómina.
quincenal, en donde se muestra un resumen por cada sueldos o impuestos que no coincidan con lo
Medio
una las partidas (percepciones y deducciones). devengado y/o pagado.

Se valida de una muestra de los recibos enviados al Sanciones por parte de la autoridad con Validación de Recibos CFDI.
Recursos SAT y puestos en la Intranet (PDF y XML) cumplan respecto a poner a disposición los recibos Alto
Humanos con lo establecido en el anexo 20 de la LISR. electrónicos.
Por medio de una macro se valida el calculo del Enterar al IMSS un impuesto mal calculado y Validaciones de IMSS.
seguro social de una muestra importante de los que originaria sanciones. Bajo
empleados.
Por falta de información o lectura se omiten clausulas Omitir clausulas importante en los contratos Revisión de contratos de los
importantes dentro de los contratos laborales. laborales. Alto empleados.

Realización de las conciliaciones a nivel mensual Los Que existan diferencias entrre las cifras Revisón de los reportes del cierre de
encargados de las areas realizan conciliaciones de contables al cirre de año mes.
Alto
los auxiliares vs las cuentas del libro mayor.

Se realiza un amarre de las partidas que integran el Falta de segregación de funsiones. revisión de las conciliaciones que son
saldo de las cuentas de balance vs el saldo de la realizadas a nivel mensual por las
cuenta una vez que se ha concluido con el cierre de a Medio cuentas con riesgo, elaboradas por
Contabilidad informacion financiera. lo analistas y revisadas por los jefes
o gerentes de area.
Durante todo el año la compañía elabora pólizas de Que no cuenten con un formato para la Revisión de pólizas de diario y
diario para reconocer movimiento manuales, dichas elaboracion de polizas de diario el cual documentación soporte.
polizas son mas comunes durante el proceso de deberia tiene que contener la información Alto
cierre de la información financiera. necesaria para poder postear las polizas de
diario.
Los pedidos de compra son registrados en el Riesgo de error material en cuentas por Revisión de los procesamientos de
sistema por cada material solicitado, en donde se pagar, error material en costo de ventas y pedidos de compra.
registran los materiales requeridos y las cantidades riesgo de error material en gastos de
necesarias, este formato se imprime para continuar operación.
con el proceso, las órdenes de compra se autorizan
y son enviadas al [Link] vez autorizado el
pedido es enviado al proveedor para su
abastecimiento, el proveedor confirma la recepción Alto
del pedido y se le da seguimiento vía correo
electrónico o por teléfono. El proveedor envía la
factura electrónica al departamento de compras y
con esta si es necesario realizan el ajuste en la
orden de compra para que de esta manera se
reflejen los mismos importes.
Compras
Se registra la entrada de los materiales al almacén, Validación de las compras
Importación
esto con referencia al número de pedido de compra, nacionales:
solo registra la cantidad real recibida, al registrarse
se emite un formato “entrada de mercancía” el -Factura
almacenista o persona responsable certifica la -Registro de la mercancia al sistema
cantidad registrada en el sistema y sella de recibido -Evidencia de entrada de mercancía
el comprobante antes mencionado. El proveedor al al almacén (sello).
momento de entregar la mercancía debe entregar la
factura al área de Compras.

Compras de importación:

Cuando el proveedor avisa de que ya está lista la

mercancía, el departamento de compras realiza la
gestión de contratar al transportista y se encarga de
buscar al agente aduanal.

El Check List de Planeación corresponde al caso práctico para la evaluación del control interno de
una compañía y es de elaboración propia.

108
 Procesamiento de pedidos de
compra, validación de:
-Factura con requisitos fiscales
establecidos.
Compras El departamento de almacén emite las facturas en el Riesgo de error material en cuentas por -Verificación de la factura en la
Alto
Nacionales momento que se le da salida a la mercancía. pagar. página del SAT.

validación de las conciliaciones de

inventarios contra contabilidad de los
meses seleccionados.
-Sobre la documentación solicitada
De forma mensual se realizan conciliaciones se validarán los siguientes atributos:
entre las cifras reportadas por el área de
inventarios vs las cifras reportadas por el a) Las conciliaciones se encuentran
Compras
Conciliaciones / Inventarios. área de contabilidad, una vez que se realiza Alto firmadas por los responsables.
Nacionales
la conciliación, esta debe de ser firmada por Asimismo, las conciliaciones que
los responsables. presentan diferencias que cuenten
con evidencia de seguimiento /
investigación.

Devoluciones en venta, esto se da por mal manejo en Falta de un manual de procedimientos y Revisión o elaboración de un manual
la entrega final del producto o servicio vendido. evaluación continua de los procesos de procedimientos con evaluación
asignados al personal; o personal no idóneo Medio continúa de los procesos asignados,
para el cargo, inexperiencia. asi como la contratación de personal
idóneo de ventas.
Descuentos en venta, verificar a que personas son Falta de políticas establecidas en las Verificar la elaboración y evaluación
Venta las adecuadas para otorgar el beneficio ya que se condiciones de pago. Bajo de las políticas de ventas.
tienen perjuicios económicos.
Liquidación de comisiones en venta. Que la base de datos de los precios de venta Monitoreo del cumplimiento de lo
de los productos y/o servicios no este establecido en los presupuestos de
actualizados. Medio ventas por vendedor y exigencia de
entregas periódicas de informes de
venta.

El Check List de Planeación corresponde al caso práctico para la evaluación del control interno de una
compañía y es de elaboración propia.

109
CHECK LIST DE CONTROL INTERNO

MONTERDE Y ASOCIADAS S.C.

R.F.C. MON111031GPA

Entendimiento y evaluación del Control Interno de la Entidad COMERCIALIZADORA S.A DE C.V.

Componentes de control interno Evaluación en :

Check list "Ambiente de control"

● Ambiente de control

● Evaluación de Riesgos Check list "Evaluación de Riesgos"

Check list "Actividades de Control"

● Actividades de Control
Check list "Información y comunicación"
● Información y Comunicación
Check list "Monitoreo de Controles"
● Monitoreo de Controles

Evaluación General

Ningún elemento de nuestro entendimiento y evaluación del control interno de la entidad ha sido aplazado para ser realizado posterior a la firma de la planeación.

Con base en nuestro conocimiento y evaluación de los cinco componentes de control interno, consideramos que los controles de la auditoría que son apropiados para el tamaño y complejidad de la entidad, o

Con base en nuestro conocimiento y evaluación de los cinco componentes de control interno, consideramos que los controles de la auditoría que NO son apropiados para el tamaño y complejidad de la entidad.

Y
No se identificaron deficiencias de Control interno, o
Se identificaron las sigientes deficiencias de Control Interno.

Y
Basándose en la evaluación anterior, no tenemos dudas sobre la capacidad de obtener una seguridad razonable de que los estados financieros en su conjunto están libres de errores significativos, o
Basándose en la evaluación anterior, tenemos dudas sobre la capacidad para obtener una seguridad razonable de que los estados financieros en su conjunto están libres de errores significativos y se considera que el impacto es más amplio y
se tiene que reflejar en otro punto (por ejemplo, en la evaluación del A&C) y en su caso evaluar si se requiere levantar alguna consulta.

Los Check List de Ambiente de Control, Evaluación de Riesgos, Actividades de control, Información y Comunicación
y Monitoreo de Controles, corresponden al caso práctico para la evaluación del control interno de una compañía y es
de elaboración propia.

110
 MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA
Check List "Ambiente de control"

Componentes y puntos
Entendimiento de los controles y /o Procedimientos realizados Evidencia de los controles aplicados
de enfoque

Comunicación y aplicación de la integridad y los valores éticos

Comunicación y aplicación de El Consejo se reúne regularmente con la Administración para analizar los objetivos y darles
la integridad y los valores seguimiento para asegurarse de que sean alcanzados.
éticos El Consejo obtiene suficiente información (como estados financieros, contratos significativos,
etc.) oportunamente para permitir el monitoreo de los objetivos y estrategias y la situación
financiera de la compañía.
La Compañía tiene reuniones trimestrales con el Consejo donde analiza las
El Consejo considera que la información que recibe es adecuada.
variaciones vs el presupuesto, en cuanto se ve una variación negativa se analiza la
causa y se toman medidas. Ver minutas de reuniones en el link anterior.
El Consejo mantiene su independencia y desafia las decisiones de la Administración, solicita
explicaciones de resultados anteriores, etc.
El Consejo posee las habilidades, experiencia y conocimiento necesarios y tiene el tiempo para
dar servicio de manera efectiva.
El Consejo juega un papel activo para establecer el tono en la parte más alta, por ejemplo, trata
específicamente la adherencia de la Administración al código de conducta.

Dicho tono es comunicado y llevado a la práctica por los ejecutivos y la Administración en toda la
organización. Por ejemplo, hay acciones y fuertes actitudes éticas hacia la presentación de
información financiera, incluyendo la resolución apropiada de los conflictos sobre la aplicación
de las políticas contables (por ejemplo, en la selección de políticas contables liberales o
conservadoras; si las políticas contables no han sido aplicadas, si falta la revelación de
información financiera significativa, o si existen registros manipulados o falsificados).

El Consejo es informado oportunamente sobre asuntos significativos y determina las medidas

adecuadas que deban adoptarse.
El Consejo se reúne con los auditores externos y revisa el alcance de las actividades,
recomendaciones, asuntos señalados, etc.
El Consejo supervisa la determinación de las compensaciones a ejecutivos, así como la
contratación o terminación de la relación laboral de los individuos que ocupan esos puestos.

Compromiso con la competencia

Compromiso con la La Administración especifica el nivel de competencia necesario para trabajos particulares, y
competencia traduce el nivel deseado de competencia de conocimientos y habilidades requeridas.
La Compañía tiene descripciones de puestos aún no establecidas formalmente, sin
Existen descripciones de puestos formales e informales u otros medios para definir las tareas que embargo cuenta con un organigrama general
comprenden los trabajos particulares.
La Administración analiza (sobre una base formal o informal) las tareas que comprenden los
trabajos particulares.
La Administración analiza el conocimiento y habilidades necesarias para realizar los trabajos de
manera adecuada, es decir, la Administración ha determinado hasta un alcance adecuado, los
requerimientos para cada trabajo en particular.
Existe evidencia que indica que los empleados tienen los conocimientos y habilidades requeridos. De manera mensual se llevan a cabo reuniones para verificar el comportamiento de
la operación y los resultados que se estan teniendo; así como para dar seguimiento
Las descripciones de puestos están escritas con el propósito principal de clasificar el trabajo en a los problemas que se llegan a identificar. Es importante mencionar que SAG
términos de salarios, contratación, promoción, definición de líneas de reporte, números Mecasa no tienen empleados propios todos son contratados por SAG Mecalaser.
supervisados y credenciales especiales requeridas.
La compañía tiene descripciones de puestos con las siguientes características:

Son completas, exactas, entendibles y describen una oportunidad de empleo actual.

Proporcionan información suficiente para permitirle a quien busca el empleo, hacer una
autoinvestigación de antecedentes efectiva.
Las descripciones de puestos son revisadas periódicamente, considerando el cambio del
crecimiento personal, desarrollo organizacional y la evaluación de las tecnologías.
Las evaluaciones de desempeño están basadas en la evaluación de factores críticos del trabajo y
definen claramente las áreas en las que el empleado está desempeñándose bien y las áreas que
necesitan ser mejoradas.
El empleado recibe retroalimentación franca y constructiva sobre el trabajo, así como asesoría.

111
Participación de los encargados del gobierno corporativo
Participación de los El Consejo se reúne regularmente con la Administración para analizar los objetivos y darles
encargados del gobierno seguimiento para asegurarse de que sean alcanzados.
corporativo
El Consejo obtiene suficiente información (tal como estados financieros, contratos significativos,
etc.) oportunamente para permitir el monitoreo de los objetivos y estrategias, la situación
financiera de la compañía, etc.
El Consejo piensa que recibe la información adecuada
Por medio de observación: Durante la estancia del equipo de auditoría, nos pudimos
El Consejo mantiene su independencia (¿El Consejo es realmente “independiente”?) y desafiará cerciorar que el Director General está estrechamente vinculado en todos los
las decisiones de la Administración, pruebas de explicaciones de resultados anteriores, etc. procesos de negocio.

Consejo posee las habilidades necesarias, experiencia y conocimiento y tiene el tiempo para dar
servicio de manera efectiva.
El Consejo juega un papel activo para establecer el tono en la parte más alta, por ejemplo, trata
específicamente la adherencia de la Administración al código de conducta.

Dicho tono es comunicado y llevado a la práctica por los ejecutivos y la Administración en toda la
organización. Por ejemplo, hay acciones y fuertes actitudes éticas hacia la presentación de
información financiera, incluyendo la resolución apropiada de los conflictos sobre la aplicación
de las políticas contables (por ejemplo, en la selección de políticas contables liberales o
conservadoras; si las políticas contables no han sido aplicadas, si falta la revelación de
información financiera significativa, o si existen registros manipulados o falsificados).

El Consejo es informado oportunamente sobre asuntos significativos y determina las medidas

adecuadas que deban adoptarse.
El Consejo se reúne con los auditores externos y revisa el alcance de las actividades,
recomendaciones, asuntos señalados, etc.
El Consejo supervisa la determinación de las compensaciones a ejecutivos, así como la
contratación o terminación de la relación laboral de los individuos que ocupan esos puestos.

Filosofía y estilo operativo de la Administración

Filosofía y estilo operativo de La Administración analiza cuidadosamente los riesgos y los beneficios potenciales de un negocio La administración se reune con los altos directivos cada trimestre en donde se
la Administración antes de comprometerse. analizan todos los riesgos de los negocios, cada nuevo contrato es analizado por el
Director General y el Director de Finanzas.
La Administración visualiza la información financiera exacta y el cumplimiento con las normas de
contabilidad como uno de sus objetivos cruciales.

Esto puede ser demostrado mediante las siguientes actitudes y acciones hacia la información
financiera:
Las estimaciones son razonables

Los gerentes no ignoran los signos de prácticas inadecuadas

El enfoque obsesivo en los resultados reportados a corto plazo son evitados.

La Administración senior se reúne frecuentemente con la Administración operativa para analizar

los resultados de las operaciones, problemas, etc.
La rotación de la Administración o los empleados en las funciones clave de la información Se tiene un control de baja se empleados y se solicito la integración a la compañía
financiera es relativamente baja y no han existido renuncias repentinas. Comercializadora S.A de C.V.
Existe una guía adecuada, proporcionada por la Administración, referente a la anulación de
políticas respecto a las situaciones en las que podría requerirse intervención.

La anulación de políticas establecidas por parte de la Administración está adecuadamente

documentada y explicada.
La anulación por parte de la Administración está explícitamente prohibida.

Las desviaciones a políticas establecidas son investigadas y documentadas.

112
Estructura organizacional

Estructura organizacional Existe un organigrama/estructura adecuado que proporciona el flujo de información necesario
para administrar las actividades de la entidad, es decir, la estructura facilita el flujo de información
en todas las actividades del negocio.
Existe una estructura organizacional que está alineada con los objetivos de la compañía a corto y La estructura organizacional de la compañía es adecuada para el tamaño de esta y
largo plazo. sus objetivos a corto y mediano plazo.

La comunicación funcional cruzada es alcanzada mediante un superior mutuo. Los conflictos

entre las unidades funcionales son resueltos mediante un superior común.
Existen claras definiciones de las responsabilidades clave de los gerentes, y su entendimiento de En la descripción de puestos se específica las funciones y resposabilidades de
estas responsabilidades, es decir, las responsabilidades y expectativas de la entidad son cada personal.
claramente comunicadas a los empleados.
Existe una relación de información establecida que es efectiva para proporcionar a los gerentes
la información adecuada para desempeñar sus responsabilidades y autoridad, es decir, los
gerentes de nivel medio tienen acceso a los canales de comunicación con los ejecutivos senior
de operaciones.

La Administración evalúa periódicamente la estructura organizacional respecto a los cambios en

el negocio o la industria.

Los empleados tienen suficiente tiempo para llevar a cabo sus responsabilidades de manera
efectiva.

Asignación de Autoridad y Responsabilidad

Asignación de Autoridad y La asignación de responsabilidad y delegación de autoridad están claramente definidas y son
Responsabilidad consistentes o están alineadas con los objetivos de la organización, es decir:

La responsabilidad de las decisiones esta relacionada con la asignación de autoridad y

responsabilidad.
Se considera la información apropiada al determinar el nivel de autoridad y alcance de
responsabilidad asignado a una persona.

Hay descripciones de puestos (por lo menos para el personal administrativo y de supervisión) y

contienen referencias específicas a las responsabilidades relacionadas con el control.

Se monitorea la autoridad que ha sido delegada y hay un balance adecuado entre la autoridad
necesaria para "hacer el trabajo" y la participación del personal de niveles superiores cuando es
necesario.
Los empleados de un nivel adecuado tienen el poder de corregir problemas e implementar
mejoras.

113
 MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA

Check List "Evaluación de Riesgo"

Evidencia de que los controles están implementados y, cuando aplique,

Componentes y puntos de enfoque Entendimiento de los controles/programas establecidos por la Administración
prueba de la efectividad operativa de los controles

Objetivos al nivel de la entidad

Se ha definido la misión y un proceso/marco para el establecimiento de objetivos.

Determinar si la administración establece
los objetivos de nivel estratégico que sean
apropiados al tamaño y complejidad de la Los objetivos de la entidad proporcionan declaraciones y guía lo suficientemente amplias sobre lo que la COMERCIALIZADORA S.A DE C.V. Filosofía
entidad, y si los objetivos de nivel entidad desea lograr, y son lo suficientemente específicas. COMERCIALIZADORA S.A DE C.V. es una empresa dinámica, centrada en la
operativo son consistentes con la mejora continua para satisfacer las necesidades y cuidar de las emociones de
Los objetivos de la entidad se comunican a los empleados y al Consejo y hay un proceso de nuestros clientes y generar ganancias.
estrategia global. retroalimentación establecido para que la Administración evalúe si esta comunicación fue efectiva.
COMERCIALIZADORA S.A DE C.V. reconoce el compromiso, el rendimiento y el
crecimiento de la misma es personal, a través de un sistema de recompensas
Las estrategias clave, planes de negocio y los presupuestos soportan (es decir, son consistentes y
competitivo, la formación y las acciones para promover un ambiente de trabajo
relevantes para) los objetivos de la entidad.
agradable continuo.

COMERCIALIZADORA S.A DE C.V. trabaja constantemente junto con sus

proveedores para garantizar la mejor calidad, servicio y precio de nuestros
productos.

COMERCIALIZADORA S.A DE C.V. asegura el aprovechamiento óptimo de los

recursos eficientemente y efectivamente en los procesos, la protección del
medio ambiente.

COMERCIALIZADORA S.A DE C.V. integra la calidad exigirá esta mención por

parte del cliente en la comercialización de sus productos, con el máximo valor
añadido.

Pudimos observar los presupuestos establecidos por la Compañía y sobre los

que se da seguimiento al cumplimiento de los mismos;

El seguimiento de los presupuestos se da de manera mensual en las juntas

realizadas en el área de finanzas y se da la retroalimentación de las variaciones
más importantes a cada una de las áreas para que de explicaicón de las mismas
y la remediación que se realizará.

Objetivos al nivel actividad

Los objetivos a nivel de actividad están vinculados con los objetivos y estrategias generales de toda la
entidad.

Los objetivos a nivel de actividad frecuentemente se establecen como metas con objetivos y plazos
específicos.

Hay objetivos establecidos para cada actividad y son consistentes entre sí. POLÍTICA
COMERCIALIZADORA S.A DE C.V.
Hay objetivos relevantes para todas las actividades clave y los procesos significativos.
COMERCIALIZADORA S.A DE C.V. tiene el firme compromiso de cumplir con
Existen recursos adecuados relacionados con los objetivos. los requisitos, especificaciones y requisitos legales de nuestros clientes, a través
de la utilización de los sistemas de planificación, involucrando a todo el personal
y especialmente enphasizing la satisfaccion del cliente, la prevención de
Hay un proceso establecido para la identificación de objetivos (factores críticos de éxito) que son cruciales defectos y la mejora continua.
para lograr los objetivos de la entidad, y en consecuencia la Administración está concentrada en ello.

Hay participación apropiada de todos los niveles de la Administración en el establecimiento de los objetivos y
están comprometidos con los mismos.

Proceso de identificación de riesgos

Proceso de identificación de riesgos Hay un proceso/marco establecido para identificar y considerar las implicaciones de los riesgos relevantes y
cómo pueden afectar el logro de los objetivos de la entidad.

El proceso de evaluación de riesgos considera los factores internos y externos que pudieran afectar el logro
de los objetivos y proporciona una base para administrarlos.

Existe un mecanismo adecuado para identificar los riesgos que surgen de:

• Fuentes externas: por ejemplo, los relacionados con las cadenas de suministros, cambios
tecnológicos, demandas de los acreedores, medidas de los competidores, condiciones políticas y
económicas, reglamentos y eventos naturales.
• Fuentes internas: por ejemplo, recursos humanos, financiamiento (disponibilidad de fondos),
relaciones laborales, sistemas de información (sistemas adecuados de soporte), etc.
"Todas las operaciones importantes tienen que ser autorizadas directamente por
Existe un mecanismo establecido para identificar los riesgos significativos para cada objetivo relevante a nivel el Director General por lo que se considera que el nivel de riesgo existente se
actividad. minimiza y puede ser detectado de una manera fácil".

El proceso de evaluación de riesgos es exhaustivo, ya que incluye la estimación de la importancia de los

riesgos, la evaluación de la probabilidad de su ocurrencia y la determinación de las medidas necesarias.

Los riesgos identificados son relevantes para el objetivo de la actividad correspondiente.

La participación de la Administración en el análisis de los riesgos es adecuada.

Existe un proceso de comunicación formal para informar al consejo directivo y el comité de auditoría sobre
los resultados de la evaluación de riesgos.

Administración del cambio

Determinar si la administración cuenta Existen mecanismos establecidos para identificar y reaccionar a los eventos o actividades rutinarias que
con procesos suficientes para la pudieran afectar el logro de los objetivos de la entidad y hay participación adecuada de la Administración,
administración de cambios específicamente para cambios que tendrían un efecto profundo en la entidad.

114
 MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA

Check List "Información y Comunicación"

Evidencia de que los controles están

Componentes y puntos de Entendimiento de los controles/programas establecidos por la
implementados y, cuando aplique, prueba de la
enfoque Administración
efectividad operativa de los controles

Información
Determine if processes are in place Se tienen mecanismos establecidos para obtener información externa (condiciones de
for gathering key financial mercado, competidores, asuntos legales o reglamentarios, cambios económicos).
information to support the financial
reporting objectives and the
Se tiene implementado un sistema integral para generar internamente información El personal de la compañía esta debidamente informado y
financial statements preparation.
fundamental para alcanzar los objetivos de la entidad, incluyendo aquella relativa a éxitos cuenta con la bases necesarias para el cumplimiento de sus
identificados y reportados con regularidad. actividades.
Se puede confirar en que el sistema emite los reportes necesarios para que los gerentes
lleven a cabo sus funciones.
Los gerentes reciben información a nivel de detalle suficiente que les permita identificar
acciones que deban ser tomadas.
La información emitida cuenta con el suficiente detalle para cada nivel en la Administración.

La información se emite oportunamente, de tal forma que permite un monitoreo efectivo de

eventos y actividades, internos y externos, y una reacción inmediata a factores económicos,
de negocios y de control.
Comunicación
La forma en que la Administración comunica las responsabilidades a los empleados y de El personal de la compañía esta debidamente informado y
control, dentro de las funciones clave de información financiera y control interno es efectiva, cuenta con la bases necesarias para el cumplimiento de sus
es decir: actividades.
Los canales de comunicación (formal e informal, capacitación, reuniones, supervisión diaria
del trabajo) son suficientes.
Los empleados conocen los objetivos de sus actividades y cómo contribuyen para el logro de La compañía cuenta con objetivos definidos, un código de
dichos objetivos. conducta, manuales de procedimientos y descripciones de
La forma en que la Administración es receptiva de las sugerencias de los empleados sobre puestos, por lo que el personal sabe exactamente cuáles son
formas de mejorar la productividad, calidad u otras mejoras similares, dentro de las funciones sus funciones, los lineamientos que deben seguir y las
clave de contabilidad e información financiera es adecuada sanciones a las que se hacen acreedores en caso de
incumplimiento.
Existe apertura y efectividad de los canales de comunicación con los clientes, proveedores y
otras partes externas, para comunicar información sobre las modificaciones a las
necesidades de los clientes.
Clientes, proveedores y otros conocen los principios y expectativas de la entidad con respecto
a sus métodos de negociación.
El personal es receptivo a los problemas reportados, relacionados con los productos, servicios
u otros asuntos, se investigan y se toman acciones.
Se corrigen errores en la facturación y la causa del error se investiga y corrige.

Personal adecuado atiende y da seguimiento a las quejas, independiente de aquellos

involucrados con las transacciones que dieron origen al error.
Se toman medidas adecuadas y hay un seguimiento con las fuentes originales.

La alta gerencia está consciente de la naturaleza y volumen de las quejas/reclamos.

Sistemas
Determine si se va a requerir la
participación de los especialistas Sí, RAS hara extracción y pruebas de totalidad de las pólizas de diario.
de RAS

No

NOTA:
En caso de que no se requiera la participación de RAS, deberán quedar documentados los
siguientes aspectos:
- Ciclos significativos para los estados financieros y los procesos y subprocesos relativos
- Aplicación/sistema de cómputo utilizado
- Descripción del flujo de transacciones, incluyendo los procedimientos para registro de pólizas de
diario y otras pólizas no recurrentes

115
 MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA

Check List "Actividades de control"

Evidencia de que los controles están

Componentes y puntos de Entendimiento de los controles/programas establecidos por la
implementados y, cuando aplique, prueba de la
enfoque Administración
efectividad operativa de los controles
Obtener un entendimiento suficiente Se obtuvo el entendimiento de las actividades de control para los siguientes
sobre las políticas y procedimientos que ciclos/áreas relevantes:
Ingresos y cuentas por cobrar
son relevantes para la auditoría y
Ingresos y cuentas por cobrar
analizar sus implicaciones para los
riesgos significativos y riesgos de error Inventarios y costo de ventas
Propiedades, planta y equipo
Compras y cuentas por pagar
Nómina
Impuestos

Compras y cuentas por pagar

Nómina

Otros (especificar)
Evaluar el diseño de los controles Las actividades de control incluyen: Se realizarón pruebas a los controles que nos proporcionan el
relacionados con riesgos de error Evaluaciones de desempeño del negocio. suficiente confort en los ciclos de ingresos, compras y nóminas.
material, incluyendo actividades de
Procesamiento de información.
control relevantes, y determinar si han
sido implementados. Controles físicos.
Segregación de funciones.

Ententer y evaluar de los ciclos que no se

van a confiar en controles Se evaluaron los controles que tiene la compañía para evaular el nivel de evidencia
que se requerira por prueba

Auditorías en múltiples localidades

Se considera compartir la información o documentación de los procesos
anteriores entre los equipos de auditoría del grupo y de los componentes.

No aplicable

116
 MONTERDE Y ASOCIADAS S.C.
R.F.C. MON111031GPA

Check List "Monitero de controles"

Evidencia de que los controles están implementados y, cuando aplique, prueba de

Componentes y puntos de enfoque Entendimiento de los controles/programas establecidos por la Administración
la efectividad operativa de los controles
Monitoreo continuo
Monitoreo continuo - Evaluaciones periódicas del La Administración evalúa periódicamente la efectividad de los controles dentro de su
control interno organización y comunica los resultados a los responsables.
La Administración responde correctamente a las recomendaciones hechas por los auditores
Se considera adecuado respecto al tamaño de la compañía. Ver controles en el siguient elink>>
internos/externos para fortalecer los controles.
Los gerentes de programación y operaciones normalmente reciben recordatorios de sus
responsabilidades de monitoreo acerca de la efectividad de las actividades de control.

Las hipótesis detrás de los objetivos de la organización son cuestionadas periódicamente. >>> Segregación de funciones - Producción e Inventarios

Las necesidades de información y los sistemas de información relacionados son reevaluados de >>> Contrato de venta firmado
acuerdo con las modificaciones de los objetivos o cuando se identifican deficiencias en la
emisión de información financiera.
La estrategia de la Administración proporciona rutinariamente retroalimentación y también
monitoreo sobre el desempeño y las actividades de control.
Se establecen y realizan procedimientos de seguimiento para garantizar que los cambios o las De acuerdo con la estrategia de auditoría se realizo el entendimiento, evaluación y validación de los
medidas correctivas adecuadas realmente se apliquen. controles por cada ciclo operacional, con el objeto de cerciorarnos de la existencia de la Políticas y
procedimientos establecidos por la administración (actividades de control).

Cuentas por cobrar

Inventarios

Cuentas por pagar

Ingresos

Periódicamente se pide a los empleados que declaren por escrito sobre si entienden y cumplen Costo de venta
con el código de conducta de la entidad.
Existen procedimientos para monitorear si la Administración sobrepasó los controles, junto con el
seguimiento de cada caso.

Monitoreo continuo - Proceso de obtención de Los procedimientos exigen la conciliación/integración de la información financiera y de
Información presupuestos con los datos operativos de manera continua. Pudimos observar los presupuestos establecidos por la Compañía y sobre los que se da seguimiento al
La Administración revisa los reportes de ventas, producción y otros reportes operativos cumplimiento de los mismos; Ver en el siguiente link>>>
derivados de las actividades diarias contra los datos generados del sistema para garantizar que
todas las inexactitudes o excepciones se corrigieron.

La Administración da seguimiento a cualquier variación inusual, que pueda indicar alguna deficiencia de
control.

• Mensualmente se realizan conciliaciones bancarias

• La administración compara los ingresos contra datos en cierres contables con los reportes operativos.
• Auxiliares de cuentas por cobrar son conciliados con la cobranza.
• Se evitan duplicidad de mercancías y se lleva control de las entradas, por medio de candados en la
recepción y captura, el registro hecho por el personal de almacén es verificado por el departamento de
operaciones (segregación de funciones)
• Se realiza conciliaciones mensuales de los saldos por cobrar y por pagar con partes relacionadas.
• Se realizan conciliaciones mensuales acerca de las cuentas pendientes de pago.
• Las mercancías recepcionadas en el almacén, son verificadas vs orden de pedido.

Monitoreo continuo - Comunicación de externos Las comunicaciones internas y externas se monitorean para obtener información que pueda
señalar la necesidad de reevaluar los objetivos o controles de la organización.

La Administración corrobora y considera las comunicaciones externas con la información

generada internamente, la cual pudiera indicar problemas de control interno, por ejemplo:

Se investigan las quejas de los clientes sobre la facturación o entrega de bienes/servicios. Se considera adecuado respecto al tamaño de la compañía.

Se utilizan los estados de cuenta de los proveedores como una técnica de monitoreo de
controles.
Se investigan completamente las quejas de los proveedores sobre prácticas desleales de parte
de los compradores.
Se toman medidas correctivas con respecto a las actividades de control que “se rompieron".

117
Monitoreo continuo - Comparación periódica de las Información sobre producción, ventas y de otro tipo normalmente se compara con la información
Se considera adecuado respecto al tamaño de la compañía.
cantidades registradas en el sistema contable contra financiera.
los activos físicos Normalmente se realiza una comparación de los importes registrados por el sistema contable
contra los activos físicos y se hacen ajustes cuando se encuentra una diferencia. Existe la
adecuada aprobación de la Administración para los ajustes.
Revisar los ajustes resultantes de los inventarios físicos
La gerencia de operaciones debe "revisar y confirmar" la exactitud de los estados financieros de
sus departamentos. Existen severas repercusiones en caso de observar errores identificados
posteriormente.

Evaluaciones separadas (Monitoreo continuo)

Evaluaciones separadas - La auto evaluación de Hay enfoque y frecuencia bien definidos sobre las evaluaciones separadas de los sistemas de
controles es revisada y probada por el Corporativo o control interno cuando:
por Auditoría interna.
• Se evalúa una porción apropiada de la totalidad del sistema de control interno.
• El personal con las habilidades necesarias realiza las evaluaciones.
• El alcance, profundidad de la cobertura y la frecuencia son adecuados.

Hay un proceso de evaluación adecuado

• El evaluador obtiene suficiente entendimiento de las
actividades y sistemas de control interno de la entidad.
• Se hace un análisis de los resultados de la evaluación medidos contra los criterios
establecidos.

Hay una metodología adecuada para la evaluación, es decir,

• Existen checklists,
• Existen cuestionarios, etc.
• Los equipos de evaluación se reúnen para planear y garantizar
un esfuerzo bien coordinado
Debilidades
Reporte de debilidades Existen mecanismos para capturar, reportar y dar seguimiento a las debilidades de control
interno identificadas.

Existen protocolos para la emisión de informes, por ejemplo:

• Tipos específicos de debilidades incluyendo posibles instancias de fraude que se deben
reportar a la alta Administración y al consejo. La compañía depende de manera importante en sus sistemas de tecnología de información
Existen medidas de seguimiento adecuadas que garantizan que:
• Se corrigieron las transacciones o eventos identificados;
• Se investigaron las causas fundamentales de los problemas identificados.
• Se tomaron las medidas correctivas necesarias

118
 INFORME FINAL DE AUDITORIA OPERACIONAL POR CICLOS DE
TRANSACCIONES

Ciudad de México a 16 de noviembre de 2016

Cliente: COMERCIALIZADORA S.A DE C.V

Se ha realizado la auditoría operacional por ciclo de negocios de la Comercializadora

S.A. de C.V., sobre los procesos operacionales que tienen al 31 de diciembre del 2015.

Se efectuó la auditoría operacional de conformidad a la metodología de Auditoría por

Ciclos de Negocios emitidos por el Instituto Mexicano de Contadores Públicos (I.M.C.P.).
El enfoque de la revisión fue evaluar los procesos operacionales de los ciclos de:
Tesorería, egresos compras, egresos nómina, ingresos, conversión e información
financiera; efectuando un análisis de la existencia, cumplimiento y eficiencia de los
procedimientos y controles que actualmente utilizan, así como la evaluación del resultado
en las decisiones administrativas.

Como resultado de la revisión se observaron deficiencias en los procesos, las cuales se

incluyen a continuación, la revisión se efectuó tomando en cuenta la entrevista a los
involucrados en cada proceso, así como las políticas y procedimientos existentes,
tomando como base pruebas de cumplimiento a través de entrevistas con los
involucrados y otras pruebas necesarias para satisfacer el alcance de nuestra auditoría,
por lo que no fueron diseñadas para realizar recomendaciones detalladas y no
necesariamente se indican todas las deficiencias existentes. Es importante mencionar
que corresponde a la administración de la Comercializadora el mantenimiento e
implementación de los controles adecuados en su organización y desarrollo.

199
El informe incluye observaciones y sugerencias sobre asuntos administrativos y
operativos, estas se presentan constructivamente como parte del proceso de
modificación y cumplimiento de las políticas ya existentes u otras no existentes para un
logro mejor de la eficiencia y eficacia operativa, y de ninguna manera pretende criticar a
algún funcionario o empleado. Hemos discutido estas recomendaciones con el personal
apropiado y entendido que algunas de las sugerencias ya han sido adoptadas y se están
implementando nuevos procedimientos.

Agradecemos la colaboración del personal de la comercializadora en la realización de la

auditoría operacional y estamos a la disposición para ampliar o aclarar el contenido del
presente informe.44

____________________________________
C.P.C Abraham Barrera Duran
Contador Público y Auditor
Colegio No. 1111

44
Redacción y diseño propio

120
 CONCLUSIÓN

El control interno es un aspecto de vital importancia dentro de cualquier organización,

con mucha más razón dentro de una Compañía de gran magnitud como lo es
Comercializadora S.A de C.V., ya que permite garantizar la efectividad de sus
operaciones y a su vez evaluar, corregir y mejorar el desempeño organizacional

Las bases teóricas que se han establecido para el sistema de control interno
administrativo financiero se toman en base al Marco COSO las cuales han sido
suficientes y adecuadas, ya que han proporcionado toda la información requerida que
sustente el desarrollo del proyecto. El Diseño y Propuesta del sistema de control interno
se ha desarrollado en forma integral para cada uno de los componentes del Marco COSO,
considerando las principales debilidades de Comercializadora S.A de C.V así como la
gestión de riesgos, en forma práctica, detallada y aplicable a los requerimientos del
desenvolvimiento empresarial.

Se considera que el sistema de control interno basado en el Marco COSO es una

herramienta innovadora y de gran utilidad dentro del desarrollo empresarial, ya que
abarca los aspectos básicos del control interno e incorpora la gestión de riesgos,
alineándose a su vez con la consecución de objetivos empresariales, lo cual proporciona
a cualquier compañía un enfoque amplio y suficiente para la ejecución adecuada de sus
actividades y el mejoramiento continuo.

El sistema de control interno es una herramienta clave para la identificación de riesgos

empresariales y su prevención, así como el mejoramiento de procesos, sin embargo su
implementación y desarrollo requiere de empleados con altos principios de ética y
profesionalismo que sean capaces de brindar su aporte para el desempeño efectivo de
un negocio.

121
En la actualidad, las PYMES se encuentran en un entorno de constante competencia, el
logro de ventajas competitivas es de gran importancia en el desarrollo de las Compañía,
el contar con una estructura definida del control interno ayudará alcanzar el éxito en las
mismas.

El Control Interno debe ser implementado por todas las Compañía independientemente
de su tamaño, estructura y naturaleza de sus operaciones, y diseñado de tal manera, que
permita proporcionar una razonable seguridad en lo referente a: La efectividad y
eficiencia de las operaciones, la confiabilidad de la información financiera, y el
acatamiento de las leyes y regulaciones aplicables; por tal razón, en toda empresa es
necesario la presencia de normas de control. Evaluarlo en la parte administrativa y
contable en las PYMES donde es necesaria la activa participación del dueño o propietario
en determinadas funciones claves; así como la aceptación y participación del personal
que labora en la empresa, para proporcionar la seguridad razonable de que se lograran
los objetivos propuestos por la empresa.

122
 ANEXOS

Anexo 1 Formularios para la evaluación de los componentes para las Pymes.

Formulario 1

Cuestionarios para evaluar el componente ambiente de control Si No

(Integridad y valores éticos) (Razón) (Razón)

¿La Administración muestra interés por la integridad y los valores

éticos?
¿Existe un Código de Ética aprobado por la compañía?
¿El Código de Ética ha sido difundido mediante talleres o
reuniones para explicar su contenido?

¿Se ha comunicado eficazmente el compromiso de la

Administración hacia la integridad y el comportamiento ético a toda
la entidad, tanto en palabras como en hechos?
¿La Administración predica con el ejemplo e indica claramente lo
que está bien y lo que está mal en cuanto al comportamiento
organizacional?
¿La Administración propicia una cultura organizacional con énfasis
en la integridad y el comportamiento ético?
¿Se conocen hechos de abuso de autoridad por parte de los
ejecutivos que afecten la dignidad de los empleados?

¿Los gerentes y los encargados responden adecuadamente a la

integridad y valores éticos propiciados por la compañía?
¿Los gerentes y los encargados prestan colaboración para cumplir
las exigencias excepcionales de la entidad relacionadas con el
servicio a los usuarios?
¿Existe conocimiento de actos fraudulentos o contrarios a la Ética
que involucren al personal que ejecutan las operaciones?

123
 ¿La Administración ha eliminado o reducido los incentivos que
pueden propiciar que el personal se involucre en actos
fraudulentos, ilegales o no éticos?
¿Existe presión para cumplir con objetivos de gestión poco
realistas?

¿Otorga la Administración reconocimientos para fomentar un tono

ético apropiado?
¿Existen mecanismos divulgados para la protección del
denunciante sobre el conocimiento de posibles violaciones de
otros miembros de la compañía, independientemente de la
jerarquía involucrada?

¿La Administración toma acciones disciplinarias apropiadas en

respuesta a las desviaciones de políticas y procedimientos
aprobados o violaciones del Código de Ética?
¿Se investigan y documentan las posibles violaciones a la Ética?
¿Se comunican debidamente dentro de la compañía las acciones
disciplinarias que se toman sobre violaciones éticas?
¿Existen quejas por actitudes soberbias de los colaboradores
vinculados con los servicios que presta la compañía?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control Interno
y es de Elaboración propia.

124
Formulario 2

Cuestionarios para evaluar el componente ambiente de control Si No

(Administración Estratégica) (Razón) (Razón)

¿La compañía desarrolla una administración estratégica para el

cumplimiento de su misión?
¿Existen estrategias consistentes con la misión de la compañía?
¿Los objetivos de la compañía son consistentes con las
estrategias vigentes?

¿Las estrategias han sido elaboradas considerando el marco

normativo vigente?
¿Las estrategias son consistentes con los planes generales del
desarrollo?

¿Se han elaborado programas operativos sobre la base de los

objetivos de la compañía?
¿El presupuesto de la compañía constituye la expresión
económica-financiera de las operaciones programadas?

¿Se efectúa el seguimiento de las estrategias como una

herramienta para evaluar la gestión de la compañía?
¿Existe información periódica, oportuna y confiable sobre el
cumplimiento de metas y objetivos para el seguimiento de las
estrategias?
¿Existe información sobre cambios en el entorno que pueda
afectar el cumplimiento de las estrategias?

¿Existen indicadores y medidores sobre el cumplimiento de

objetivos de gestión?
¿Existen responsables determinados específicamente para el
seguimiento periódico de las metas y objetivos de las distintas

125
 áreas y unidades funcionales para el ajuste de los programas
correspondientes?
¿Se han definido metas para poder medir el rendimiento de las
unidades funcionales?
¿Existe retroalimentación para el ajuste oportuno de los
programas para desempeño alcanzado?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

Formulario 3

Cuestionarios para evaluar el componente ambiente de control Si No

(Estructura de la Organización) (Razón) (Razón)

¿La estructura organizacional es adecuada para el tamaño y las

actividades de sus operaciones?
¿La compañía revisa y modifica la estructura organizacional de
acuerdo con los cambios significativos en los objetivos
comprometidos o la experiencia de rendimientos insatisfactorios?
¿La compañía ha identificado sus áreas estratégicas y las ha
fortalecido para mejorar la calidad de los servicios vinculados con
las mismas?

¿Existen políticas y procedimientos apropiados para la

autorización y aprobación por parte del nivel jerárquico adecuado
sobre las operaciones y actividades?
¿Existen componentes formales para la revisión y actualización de
los procedimientos en función a los riesgos existentes?
¿Existe revisión de la formulación y modificación de los
procedimientos en cuanto a su adecuación y regulación antes de
la aprobación de la administración?

126
¿La compañía ejerce controles periódicos sobre las actividades de
las desconcentraciones organizativas?

¿La compañía tiene diseñados procesos y procedimientos

orientados al cumplimiento de sus objetivos?
¿Existen procedimientos administrativos y éstos están incluidos
en los reglamentos específicos?
¿Existen procedimientos operativos que están incluidos en el
manual de procesos?

¿Los colaboradores tienen conocimiento de los reglamentos

específicos y el manual de procesos?
¿Existen reglamentos específicos para todos los sistemas de
administración?
¿Existen evidencias de la aprobación de dichos reglamentos por
la administración?

¿Se han identificado los procesos y actividades que no generan

valor agregado o son innecesarios en la compañía?
¿La compañía ha realizado recientemente una revisión, análisis y
adecuación de sus procesos y actividades de control?

¿La compañía ha elaborado el manual de organización y

funciones?
¿Este documento representa organizacional vigente?

¿La compañía ha elaborado su manual de puestos y el reglamento

interno para sus colaboradores?
¿El contenido del manual de puestos es consistente con lo
establecido en las normas básicas vigentes?
¿El reglamento interno es consistente con lo establecido para los
encargados y responsables de la compañía?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

127
Formulario 4

Cuestionarios para evaluar el componente ambiente de control Si No

(Asignación de responsabilidades y niveles de autoridad) (Razón) (Razón)

¿La compañía ha asignado la responsabilidad para la toma de

decisiones sobre la base de los niveles de autoridad?
¿Los colaboradores que toman decisiones administrativas y
operativas significativas tienen el nivel de autoridad
correspondiente?

¿La compañía evalúa el desempeño de los encargados, gerentes

y colaboradores?
¿La evaluación de desempeño provee información para mejorar
el desempeño y poder tomar medidas correctivas?

¿La compañía elabora programas de capacitación para los

colaboradores de alto rango, así como para los demás
colaboradores?
¿Los programas de capacitación están fundamentados
específicamente en las necesidades detectadas por los resultados
de la evaluación del desempeño?

¿La compañía cuenta con el personal adecuado en cantidad y

experiencia para el cumplimiento de sus objetivos, además de
especifica los requisitos personales y profesionales que el puesto
exige que lo desempeñe?
¿Existe personal suficiente para el desarrollo de las funciones de
cada una de las unidades organizacionales para poder desarrollar
la segregación de funciones correctamente?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

128
Formulario 5

Cuestionarios para evaluar el componente ambiente de control Si No

(Filosofía de la Administración) (Razón) (Razón)

¿Es apropiado el estilo filosófico desarrollado por la

administración?
¿Existen evidencias del desarrollo participativo por parte de los
responsables jerárquicos más importantes?

¿La Administración procura mantener una organización

adecuada?
¿La Administración fomenta la realización de actividades para la
integración de las diversas áreas?
¿La Administración verifica que las promociones consideren los
méritos de los colaboradores en un proceso transparente?

¿Existen evidencias que la Administración desarrolla controles

sobre la ejecución presupuestaria haciendo comparaciones con el
cumplimiento de metas y objetivos?
¿La Administración exige información por excepción para efectuar
controles y tomar las acciones correctivas que resulten
pertinentes?

¿La Administración atiende adecuadamente las deficiencias de

control interno?
¿Se exige el cumplimiento de objetivos tanto como la observancia
de los controles internos relacionados con los mismos?
¿La Administración toma acciones oportunas procurando
corregir las deficiencias del control interno?
¿La administración exige el respeto de los controles internos
establecidos y mantiene una actitud de no tolerancia sobre
incumplimientos significativos?

129
¿La Administración establece objetivos realizables de acuerdo con
los medios disponibles?
¿Se establecen expectativas de desempeño reales para el
personal operativo?
¿La Administración está orientada para hacer el cumplimiento
de los objetivos bajo criterios de eficacia y eficiencia en el marco
legal que rige las actividades de la compañía?

¿La Administración desarrolla su estilo de gestión considerando

los riesgos internos y externos?
¿Existe exigencia de la Administración para que se identifiquen y
evalúen los riesgos que puedan perjudicar el logro de objetivos?

¿La Administración considera que la información financiera es

importante para la rendición de cuentas?
¿Existen evidencias de la Administración por la confiabilidad y la
oportunidad de la información financiera?
¿Se exige el cumplimiento de plazos para la presentación del
informe de Auditoría sobre la confiabilidad de los registros y
estados financieros?

¿La Administración ha definido políticas administrativas y

operativas?

¿Los auditores internos disponen de los recursos suficientes para

cumplir sus actividades programadas y no programadas?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

130
Formulario 6

Cuestionarios para evaluar el componente ambiente de control Si No

(Competencia del personal) (Razón) (Razón)

¿El personal tiene la capacidad y el entrenamiento necesario para

el nivel de responsabilidad asignado considerando la naturaleza y
la complejidad de las operaciones que debe desarrollar?

¿Se analizan los conocimientos y las habilidades requeridos para

realizar los trabajos adecuadamente?
¿Existen procedimientos para evaluar específicamente la
competencia profesional al momento de la a la compañía?
¿Existe evidencia que demuestre que los colaboradores poseen
los conocimientos y habilidades requeridos?

¿Posee la administración y los ejecutivos que ocupan los cargos

de mayor responsabilidad una amplia experiencia funcional?
¿La máxima autoridad ejecutiva y sus asesores directos tienen
formación profesional y experiencia acorde con las operaciones
principales que desarrolla?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control Interno
y es de Elaboración propia.

Formulario 7

Cuestionarios para evaluar el componente ambiente de control Si No

(Políticas de Administración de personal) (Razón) (Razón)

¿Existe un reglamento específico de Administración de Personal

con procedimientos para cada una de las etapas relacionadas con
la dotación, la evaluación del desempeño, la capacitación, la
movilidad de los recursos humanos; como también, del registro de
la información correspondiente?
¿Este reglamento está aprobado por autoridad de la compañía?

131
¿Existen procedimientos para la investigación de datos sobre los
postulantes a los cargos vacantes?
¿Se someten a un examen especialmente minucioso los
historiales o currículum vitae que presentan cambios frecuentes
de trabajo?
¿Se investiga si los candidatos han tenido procesos o si tienen
procesos pendientes relacionados con responsabilidades por la
función pública?

¿Existen políticas claras para la administración de personal?

¿Están formalmente establecidas dichas políticas en el
reglamento específico de administración de personal o en el
manual de organización y funciones?
¿Se actualizan las políticas de acuerdo con las circunstancias?

¿Existen políticas adecuadas que permiten transparencia en las

promociones?
¿Están suficientemente explícitos los criterios para las
promociones verticales en la entidad?
¿Se considera específicamente para las promociones que los
candidatos no hayan tenido cuestionamientos o problemas
vinculados?

¿Existe una aplicación inequívoca, objetiva y oportuna de estas

políticas?
¿Se ha determinado formalmente quien o quienes deben aplicar
las distintas políticas para el manejo del personal?

¿La entidad procura la estabilidad de los funcionarios que

demuestren desempeños adecuados?
¿Existe interés manifiesto y sincero de la compañía en mantener
y capacitar a los funcionarios con buenos desempeños y
comportamientos éticos?

132
Formulario 8

Cuestionario para evaluar el componente Evaluación de Riesgos Si No

(Razón) (Razón)

¿Promueve la administración una cultura de riesgos?

¿Se ha difundido en todos los niveles organizacionales el
concepto de riesgo, sus distintas calificaciones y consecuencias
para la compañía?
¿La Administración propicia la identificación periódica de riesgos
con la participación de los “dueños del proceso”?

¿La Administración ha establecido quienes serán los

colaboradores que participarán en la identificación de riesgos
externos e internos?
¿Se han determinado los responsables de la identificación y el
análisis de los riesgos?
¿Se ha definido la oportunidad en que se deben identificar los
riesgos?

¿Existen los insumos para el proceso de identificación de riesgos?

¿Se han determinado las interacciones de la entidad con el
entorno?
¿Se han determinado los recursos que deben ser manejados
adecuadamente a efectos de no generar cambios que afecten la
ejecución de las operaciones?
¿Se han determinado los factores críticos del éxito internos y
externos cuyos cambios negativos pueden perjudicar el logro de
objetivos?

¿La entidad ha implantado técnicas para la identificación de

riesgos presentes?
¿Se han establecido procedimientos para aplicar
autoevaluaciones directas e indirectas y análisis del diseño?

133
 ¿Se han establecido procedimientos para considerar el resultado
de los relevamientos efectuados por otras auditorías o el producto
de la supervisión ejercida?

¿La compañía ha implantado técnicas para la identificación de

riesgos potenciales externos e internos?
¿Se han establecido procedimientos para implantar sistemas de
alertas tempranos que permitan detectar cambios generadores de
riesgos en el entorno externo e interno?
¿Existen criterios formales para definir la importancia relativa de
los riesgos?
¿Existen criterios formales para definir la frecuencia de ocurrencia
de los riesgos?
Se establecen las posibles acciones que serán consideradas
en la administración de riesgos?

Formulario 9

Cuestionarios para evaluar el componente Actividades de Control Si No

(Razón) (Razón)

¿La compañía ha diseñado procedimientos adecuados para el

cumplimiento de sus objetivos?
¿Existen procedimientos administrativos u operativos inefectivos
cuyos productos no afectan o no influyen en los objetivos que debe
cumplir la compañía?
¿Existen tareas improductivas que si no se realizaran no
afectarían el cumplimiento de objetivos?
¿Existen tareas duplicadas o tareas con objetivos similares
realizadas por distintos niveles jerárquicos?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

134
¿La compañía ha establecido actividades de control para asegurar
que estructura de la entidad no incluya unidades funcionales
innecesarias para el cumplimiento de objetivos?
¿Se han realizado análisis que permitan determinar la existencia
de unidades improductivas o cuyos productos o servicios no son
necesarios o se podría prescindir de ellos?
¿Existen esfuerzos duplicados entre unidades funcionales?

¿La compañía ha diseñado una coordinación suficiente entre las

distintas áreas y unidades funcionales?
¿Existen ineficiencias por impedimentos o trabas generadas por
la falta de coordinación adecuada entre las unidades funcionales
relacionadas?

¿Los procedimientos establecen actividades de control para

asegurar que las áreas y unidades funcionales cuenten con
recursos suficientes para un desempeño acorde con los objetivos
a cumplir?
¿Existen análisis estructurales y mediciones sobre el desempeño
de las unidades que permitan identificar excesos o defectos en la
cantidad de personal operativo y administrativo?

¿Los procedimientos establecen actividades de control para

asegurar que se evalúe la eficacia y eficiencia operativa?
¿Existen medidores e indicadores para la detección de desvíos en
la eficacia y en la eficiencia operativa?
¿Existen responsables designados para la generación de la
información que permita evaluar los niveles obtenidos de eficacia
y eficiencia de las operaciones?
¿Se ha definido la periodicidad de las evaluaciones de eficacia y
eficiencia?

¿Los procedimientos incluyen actividades de control para

asegurar la exactitud en el desarrollo de los procesos?

135
¿Existen actividades de control suficientes para verificar el
cumplimiento de especificaciones de los productos finales e
intermedios?
¿Se informan los desvíos en las especificaciones para que se
generen las acciones correctivas correspondientes?

¿Los procedimientos incluyen actividades de control para

asegurar la integridad en el desarrollo de los procesos?
¿Existen actividades de control suficientes para verificar el
cumplimiento de todas las etapas o tareas necesarias para las
operaciones?
¿Se informan los desvíos en las especificaciones para que se
generen las acciones correctivas correspondientes?

¿Los procedimientos incluyen actividades de supervisión durante

el desarrollo de las operaciones?
¿Existe la designación de funcionarios para ejercer tareas de
supervisión?
¿Se ha establecido la oportunidad y las características a verificar
en la supervisión?
¿Se informa el resultado de la supervisión para que se tomen las
acciones correctivas correspondientes?
¿Los niveles superiores conocen las deficiencias detectadas en la
supervisión?

Formulario 10

Cuestionarios para evaluar el componente Información y Si No

Comunicación (Información) (Razón) (Razón)

¿Los colaboradores que utilizan el sistema de información están

conformes con respecto a la confiabilidad y oportunidad de los
informes que emiten dichos sistemas?

136
¿Conocen los usuarios el nivel de confiabilidad de la información
financiera y operativa que utilizan?
¿Permite el sistema la generación de información financiera
oportuna para la toma de decisiones?

¿Existen resguardos apropiados de la información contra

alteraciones, pérdidas y falta de confidencialidad?
¿Se protegen adecuadamente con copias de seguridad los
programas de aplicación y los archivos informáticos generados
durante el procesamiento diario de las operaciones?
¿Existe protección adecuada de los archivos físicos de la
documentación procesada?
¿Existe asignación de responsabilidades respecto de la custodia
de las copias de seguridad de los programas y archivos
informáticos?
¿Existe asignación de responsabilidades respecto de la custodia
de la documentación procesada?

¿Se han definido los responsables de implantar, documentar,

probar y aprobar cambios en los sistemas de información?

¿Existe apoyo de la administración hacia la implantación de

nuevos y más aptos sistemas de información?
¿Se destinan recursos suficientes para mejorar o desarrollar
sistemas de información operativos?

¿La compañía tiene capacidad para elaborar informes financieros

anuales e intermedios confiables?
¿Existen colaboradores con la capacidad necesaria para procesar
oportunamente la información financiera y controlar la exactitud de
los registros?
¿La compañía cuenta con un sistema de procesamiento de datos
adaptado a las necesidades que permita la generación de
información exacta y oportuna?

137
¿La Administración recibe información analítica, financiera y
operativa que le permita tomar decisiones oportunamente?
¿La Administración ha determinado las necesidades de
información y la periodicidad de su emisión?
¿Se suministra a los gerentes y a los jefes de unidades la
información que necesitan para cumplir con sus
responsabilidades?

¿Existen mecanismos para obtener información externa sobre las

necesidades y el nivel de satisfacción de los usuarios?
¿Las sugerencias, quejas y otras informaciones recibidas son
comunicadas a los encargados de su análisis y respuesta?
¿La Administración tiene conocimiento de la información relevante
que se obtiene de los usuarios?
¿La Administración realiza seguimiento a la implantación de las
decisiones que se tomen sobre las necesidades y el nivel de
satisfacción de los usuarios?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

Formulario 11

Cuestionarios para evaluar el componente Información y Si No

Comunicación (Comunicación) (Razón) (Razón)

¿La Compañía ha comunicado claramente la segregación de

funciones tanto de autoridad y responsabilidad?
¿Existen medios de comunicación suficientes para que los
colaboradores conozcan las tareas que deben realizar, los
procedimientos y sus responsabilidades frente a los controles
internos?

138
¿Los colaboradores conocen los objetivos de las actividades en
la cuales participan y cómo contribuyen a lograrlos?
¿Los colaboradores saben cómo sus actividades afectan y son
afectadas por, las tareas de otros colaboradores?

¿Las políticas y los procedimientos establecidos centralmente se

comunican al personal que se desempeña en otros
Departamentos?

¿Existen procedimientos para comunicar las irregularidades que

los colaboradores hayan detectado?
¿Son conocidos estos procedimientos por todos los
colaboradores de la compañía?
¿Existen procedimientos de excepción que permitan la
comunicación con los niveles superiores sin pasar previamente
por un supervisor directo?

¿Existen procesos para comunicar rápidamente la información

crítica a toda la compañía?

¿Los nuevos colaboradores conocen la naturaleza y alcance de

sus deberes y responsabilidades?
¿La inducción de los nuevos colaboradores incluye el
conocimiento con los procedimientos, reglamentos y controles
específicos que deben aplicar?

¿Existen mecanismos establecidos para la coordinación de tareas

entre áreas y colaboradores de tolas las áreas?
¿Existe una comunicación adecuada (fluida, suficiente
y oportuna) entre todas las áreas relacionadas?

El Formulario para la evaluación de los componentes para las Pymes es parte de un ejemplo para la evaluación del Control
Interno y es de Elaboración propia.

139
Formulario 12

Cuestionarios para evaluar el componente supervisión Si No

(Razón) (Razón)

¿Requieren los procedimientos que aplica la Administración que

se revise el proceso de control interno para asegurarse que los
controles funcionen correctamente?
¿Existen controles que permitan conocer el nivel de eficacia de los
controles internos durante las operaciones?

¿Requieren los procedimientos que se soliciten confirmaciones de

terceros para corroborar la información de la compañía?

¿Requieren los procedimientos que se confirmen los saldos de

existencias físicas mediante instancias independientes?
¿Existe evidencia de la comparación periódica de los registros de
existencias de dinero y otros bienes de la entidad con los activos
físicos?

¿Existe una adecuada segregación de funciones que permita el

desarrollo de controles?
¿Se aplican controles que permitan comprobar la ejecución de
funciones de control y poder identificar las deficiencias existentes?

¿Existe evidencia de la coordinación con la autoridad ejecutiva de

la Compañía?

¿Se han realizado reuniones tanto internas y en algunos casos

externas antes de comenzar las actividades programadas de
control?

¿En caso de que se tengas auditores internos estos tienen la

autoridad y capacidad para examinar cualquier aspecto de las
operaciones y actividades de la compañía?
¿Es apropiado el alcance de las evaluaciones que realiza dada la
naturaleza, el tamaño y la estructura de la compañía cubriendo las

140
operaciones y actividades más riesgosas y que cumpla con las
normas de auditoría para planificar, ejecutar y comunicar sus
resultados?

¿Realizan informes los auditores internos a las instancias

correspondientes?

¿Las evaluaciones sobre el control interno son adecuadas?

¿Los auditores internos y en su caso los externos demuestran en
sus trabajos un conocimiento suficiente de los procesos de la
compañía?
¿Los auditores demuestran la obtención del conocimiento
necesario para entender cómo deberían funcionar los sistemas
administrativos y operativos?
¿Los auditores comparan el conocimiento teórico obtenido con la
realidad del funcionamiento?
¿Las deficiencias detectadas se dan a conocer a la Administración
de la compañía?

¿La Administración decide sobre las acciones necesarias para

corregir las deficiencias informadas por auditoria interna?
¿Existen pronunciamientos escritos sobre la aceptación o rechazo
de las recomendaciones?
¿Existen políticas y procedimientos para asegurar que se toman
acciones correctivas oportunamente cuando ocurren diferencias
en los controles?
¿Se corrigen las transacciones o las deficiencias identificadas?
¿Se investigan las causas de las deficiencias de los controles
internos?

¿Se realiza un seguimiento de las acciones efectuadas para

comprobar la implantación de las recomendaciones?
¿Los auditores internos realizan el seguimiento a las
recomendaciones aceptadas que haya incluido en sus informes?

141
Anexo II

La Matriz de Evaluación de Control Interno del presente informe será reportadas a los
involucrados en los procesos y deberán elaborar un plan de acción para superar las
debilidades y/o mejoras identificadas, por lo que la Alta Gerencia de la Compañía se
responsabiliza en implementar las recomendaciones y realizar el seguimiento respectivo.

Los sub-procesos han sido documentados en los diagramas de flujo o flujo gramas, en
los cuales se identifica: el personal involucrado, las principales actividades del sub
proceso desde su inicio a fin, los controles existentes y los posibles riesgos clave durante
el flujo del proceso.

Los riesgos y controles han sido identificados en el flujo grama de la siguiente manera:

Símbolo del triángulo de color amarillo que corresponde a la identificación de un

1 riesgo y el número de riesgo en la matriz de evaluación del control interno.

Símbolo del círculo de color verde que corresponde a la identificación de un control

1
que se encuentra funcionando adecuadamente y el número de control en la matriz
de evaluación del control interno.

Símbolo del círculo de color rojo que corresponde a la identificación de un control

1 que se encuentra débil o no está funcionando adecuadamente y el número de
control en la matriz de evaluación del control interno.

En el caso de que círculo de color rojo no indique un número en su interior, indica

que no existe control implementado en la compañía.

142
 IMAGEN 10
DIAGRAMA DE FLUJO DEL SUB-PROCESO PARTE 1 DE CUENTAS POR COBRAR COMPAÑÍA
COMERCIALIZADORA S.A DE C.V.
143

Elaboración propia.
A continuación se presentan los resultados de la evaluación del control interno del
proceso de Tesorería.

La Matriz de Evaluación del Control Interno tiene la siguiente estructura:

 Objetivo: indica el resultado esperado del control.

 ID Riesgo: número de referencia del riesgo.
 Riesgo: posible evento o situación a ocurrir en caso de que el control no funcione
o exista.
 ID Control: número de referencia del control.
 Control: describe la actividad específica del control.
 Tipo de Control: los cuales pueden ser: P – Preventivo D – Detective M – Manual
S Sistema / Automatizado
 Recomendación: indica la situación observada con la sugerencia o recomendación
a considerar para lograr el objetivo del control.

Es importante mencionar que puede darse el caso de que existan varios controles para
mitigar un riesgo o un control que sirva para mitigar varios riesgos; es decir, un control
esté asociado a varios riesgos o que un riesgo a varios controles.

144
 IMAGEN 11
MATRIZ DE EVALUACIÓN DEL RIESGO SUB-PROCESO CUENTAS POR COBRAR COMPAÑÍA
145

Elaboración propia.
Anexo III

MANUAL DE POLITICAS Y PROCEDIMIENTOS PARA LA

COBRANZA

INTRODUCCIÓN

EL PRESENTE MANUAL DE POLITICAS Y PROCEDIMIENTO HA SIDO ELABORADO

CON EL PROPOSITO BRINDAR INFORMACION EN FORMA CLARA Y PRECISA
SOBRE LOS PROCESOS INTERNOS QUE ACTUALMENTE SE REALIZAN PARA
LLEVAR A CABO LA FACTURACION, COBRO OPORTUNO, EL CONTROL Y
REGISTRO DE LAS CUENTAS CON ANTIGÜEDAD DE SALDOS DE CADA UNO DE
LOS CLIENTES QUE NOS SOLICITAN IMPRESOS PARA EL DESARROLLO
PRODUCTIVO DE LA COMPAÑÍA COMERCIALIZADORA S.A DE C.V.

146
 RECEPCION DE COBRANZA
Código del
Documento

C.C1002
Procedimiento
1.- PROPÓSITO:
Recepción de ingresos y distribución de depósitos bancarios, así como su registro
contable.

2.- ALCANCE:

Desde la recepción de los depósitos hasta el archivo de pólizas de ingreso.

3.- RESPONSABLE DE EMITIR Y/O VIGILAR LA APLICACIÓN DEL DOCUMENTO:

Gerente de Tesorería

4.- GENERALIDADES:
Políticas.

a) Se recibirá la cobranza a más tardar a las 17:00 horas.

b) Entregar reporte de caja a la Dirección Nacional de Ventas y Cobranzas a más
tardar a las 17:30 horas.
c) No recibir los cheques post fechados directamente de los clientes, aunque el
representante los pueda recibir y depositar.
d) Recibir cheques al portador sólo por un importe menor a $1,000.00 y
debidamente autorizados por alguno de los directores.

Glosario.
a) Post fechado. Cobrarle en una fecha posterior a la señalada en el cheque.

Hoja: 1 de 6
Elaboración propia

147
5.- DIAGRAMA DE FLUJO:

IMAGEN 12
DIAGRAMA DE CUENTAS POR COBRAR
PARTE 1

INICIO

1. Recibir folios de
cobranza.

2. Elaborar fichas de
depósito

3. Distribuir y enviar las

fichas de depósitos

4. Recibir fichas de
depósitos selladas

5. Recibir folios de
cobranza

6. Elaborar tira de
depósito

Hoja: 2 de 6
Elaboración Propia

148
 IMAGEN 13
DIAGRAMA DE CUENTAS PORCOBRAR
PARTE 2

7. Clasificar
folios por región

8. Verificar
reporte

No
9. ¿Está
correcto? 5
Si

10. Recibir traspasos

de la cuenta
concentradora

11. Archivar reportes

12. Elaborar informe

diario de caja

13. Entregar reporte

de cobranza

14

Hoja: 3 de 6
Elaboración Propia

149
 IMAGEN 14
DIAGRAMA DE CUENTAS POR COBRAR
PARTE 3

14. ¿Esta
NO
12
correcto?
SI

15. Elaborar y entregar

listado de depósitos

NO
16. ¿Es 15
correcta?
SI

17. Archivar póliza de

ingreso

FIN

Hoja: 4 de 6
Elaboración Propia

150
6.- DESCRIPCIÓN DE ACTIVIDADES:

No. DESCRIPCIÓN DE LA ACTIVIDAD RESPONSABLE REFERENCIAS ADJUNTAS

Se reciben los folios de cobranza de los
1 Representantes y los importes Cajera
Cobrados.
2 Se elaboran las fichas de depósito. Cajera

Se realizan los depósitos de los valores a

3 cada uno de los bancos. Cajera

Se reciben las fichas de depósitos

4 selladas por el banco. Cajera

Se recibe listado previo de cobranza

emitido por la Dirección Nacional de
5 Cajera
Ventas y Cobranzas

Se elabora la tira de depósito por región.

6 Cajera
Se clasifican los folios según la región a
7 la que correspondan. Cajera

Se verifica el reporte del estado de

cuenta CIE con los folios reportados por
la Dirección Nacional de Ventas y Cajera
8
cobranza.

¿Es correcto?
Si es si, ir al paso 10
9 Cajera
Si es no, ir al paso 5

Se reciben los traspasos de las cuentas

10 Concentradora. Cajera

11 Se archivan los reportes del estado de Cajera

cuenta CIE.

Emisor Aprobado Fecha de Última Próxima Versión

Emisión Revisión Revisión

Gerente de Tesorería Grupo de Calidad 05/02/2016 30/10/2016 30/10/2017 1

Hoja: 5 de 6
Elaboración Propia

151
 REFERENCIAS BIBLIOGRAFICAS

 Dayla Rivera Fernández, (2015). Importancia del control interno en los negocios.
Recuperado de Revista Vinculando: [Link]
[Link].
 Committee of Sponsoring Organizations of the Treadway Commission (COSO),
Internal Control – Integrated Framework. Estados Unidos de América, mayo de
2013.
 Estupiñan Gaitán, Rodrigo. Control interno, fraudes con base en los ciclos
transaccionales y análisis de informe COSO I y II. Bogotá, Colombia. : ECOE
Ediciones, 2009.
 [Link] (auditoria operacional)
 Código Fiscal de la Federación
 COSO Control Interno Marco Integrado Resumen Ejecutivo. PWC. Ed. Instituto de
Auditores Internos de España. Año 2013
 Modelo Coso III Marco Integrado de Control Interno. Auditool. 2013
 Coopers & Lybrand (1997). Los nuevos conceptos del control interno España
 International Auditing and Assurance Standard Board (IAASB)
 [Link]
las-auditorias-de-estados-financieros
 [Link]
 [Link]
 [Link]
 [Link]
 [Link] material
 [Link]
 [Link]
 [Link]
 [Link]
evaluacion-del-riesgo-de-error-material

153
Semana 1
CONTROL Y SUPERVISIÓN
DE TECNOLOGÍAS DE
LA INFORMACIÓN

Lectura
Board Briefing on IT
Governance.

IT Governance Institute. (2003). Board Briefing on

IT Governance. IT Governance Institute.

Material compilado con fines académicos, se prohíbe su

reproducción total o parcial sin la autorización de cada autor.
 2
SECOND
EDITION
“ IT governance is the term used to describe how those persons entrusted with governance of an
entity will consider IT in their supervision, monitoring, control and direction of the entity.
How IT is applied within the entity will have an immense impact on whether the entity will

”
attain its vision, mission or strategic goals.

— ROBERT S. ROUSSEY, CPA, PROFESSOR,

UNIVERSITY OF SOUTHERN CALIFORNIA

“ The board of directors of my company is well aware its role is to oversee the company’s organisa-
tional strategies, structures, systems, staff and standards. However, as president of the company, it is
my responsibility to ensure that they extend that oversight to the company’s IT as well. In today’s
economy, and with our reliance on IT for competitive advantage, we simply cannot afford to apply

”
to our IT anything less than the level of commitment we apply to overall governance.

— MICHAEL CANGEMI, PRESIDENT AND CHIEF OPERATING OFFICER,

ETIENNE AIGNER GROUP INC.
2 Board Briefing on IT Governance

The IT Governance Institute appreciates the support the following

organisations have provided to this project:

American Institute Association Française de L’Audit

for Certified et du Conseil Informatiques
Public Accountants

International
Federation of
Accountants

Japanese Institute of
Certified Public
Accountants

The IBM logo is a registered trademark of IBM in the United States and other countries and used under license. IBM
responsibility is limited to IBM products and services and is governed solely by the agreements under which such products
and services and provided.
 IT Governance Institute 3

Board Briefing on IT Governance, 2nd Edition

IT Governance Institute®
The IT Governance Institute (ITGI) strives to assist enterprise leaders in their responsibility to
make IT successful in supporting the enterprise’s mission and goals. Its goals are to raise
awareness and understanding among and provide guidance and tools to boards of directors,
executive management and chief information officers (CIOs) such that they are able to ensure
within their enterprises that IT meets and exceeds expectations, and its risks are mitigated.

Information Systems Audit and Control Association®

The Information Systems Audit and Control Association (ISACA®) is an international
professional, technical and educational organisation dedicated to being a recognised global
leader in IT governance, control and assurance. With members in more than 100 countries,
ISACA is uniquely positioned to fulfill the role of a central harmonising source of IT control
practice standards the world over. Its strategic alliances with other organisations in the
financial, accounting, auditing and IT professions ensure an unparalleled level of integration
and commitment by business process owners.

Disclaimer
The IT Governance Institute, Information Systems Audit and Control Association and the
authors of Board Briefing on IT Governance, 2nd Edition have designed this product primarily
as an educational resource for boards of directors, executive management and information
technology control professionals. The IT Governance Institute and Information Systems Audit
and Control Association make no claim that use of this product will assure a successful
outcome. This product should not be considered inclusive of any proper procedures and tests
or exclusive of other procedures and tests that are reasonably directed to obtaining the same
results. In determining the propriety of any specific procedure or test, the controls
professional should apply his or her own professional judgment to the specific control
circumstances presented by the particular systems or information technology environment.

Disclosure
Copyright © 2003 by the IT Governance Institute. Reproduction of selections of this
publication for academic use is permitted and must include full attribution of the material’s
source. Reproduction or storage in any form for commercial purpose is not permitted without
ITGI’s prior written permission. No other right or permission is granted with respect to this
work.

IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.590.7491
Fax: +1.847.253.1443
E-mail: info@[Link]
Web sites: [Link] and [Link]

ISBN 1-893209-64-4
Printed in the United States of America
4 Board Briefing on IT Governance

Acknowledgements
The IT Governance Institute wishes to recognise:

• The development team, for its leadership of the project

Erik Guldentops, CISA, University of Antwerp Management School, Belgium (Chair)
Steven De Haes, University of Antwerp Management School, Belgium (Project Manager)
Gary Hardy, ITWinners Ltd, UK
Jacqueline Ormsby, Deloitte & Touche, UK
Daniel Fernando Ramos, CISA, CPA, SAFE Consulting Group, Argentina
Jon Singleton, CISA, CA, Office of the Auditor General, Province of Manitoba, Canada
Paul A. Williams, FCA, MBCS, Paul Williams Consulting, UK

• The expert reviewers, whose comments helped shape the final

document
Georges Ataya, CISA, CISSP, Solvay Business School, Belgium
Marios Damianides, CISA, CA, CPA, Ernst & Young, USA
John Court, Institute of Chartered Accountants in England and Wales, UK
John W. Lainhart IV, CISA, CISM, IBM, USA
Hugh Parkes, CISA, FCA, The Q Alliance, Australia
Vernon Poole, Deloitte & Touche, UK
Robert S. Roussey, CPA, University of Southern California, USA
Ronald Saull, CSP, Great-West and Investors Group, Canada
Michael Schirmbrand, CISM, CISA, CPA, Ernst & Young, Austria
Lily Shue, CISA, CPP, Sony Corporation of America, USA
Wim Van Grembergen, University of Antwerp Management School, Belgium

• The Board of Directors/Trustees, for their support of the project

Robert S. Roussey, CPA, University of Southern California, USA, International President
Marios Damianides, CISA, CA, CPA, Ernst & Young, USA, Vice President
Abdul Hamid Bin Abdullah, CISA, CPA, FIIA, Auditor-General’s Office, Singapore,
Vice President
Everett C. Johnson, CPA, Deloitte & Touche, USA, Vice President
Dean R. E. Kingsley, CISA, CISM, CA, Deloitte & Touche, Australia, Vice President
Ronald Saull, CSP, Great-West and Investors Group, Canada, Vice President
Eddy Schuermans, CISA, PricewaterhouseCoopers, Belgium, Vice President
Johann Tello, CISA, Banco del Istmo, Panama, Vice President
Paul A. Williams, FCA, MBCS, Paul Williams Consulting, UK, Past International President
Patrick Stachtchenko, CISA, CA, Deloitte & Touche, France, Past International President
Emil G. D’Angelo, CISA, Bank of Tokyo-Mitsubishi, USA, Trustee

• The IT Governance Board, for its contribution to the development

and review of the document
 IT Governance Institute 5

Table of Contents

EXECUTIVE SUMMARY..............................................................................6
1. WHAT IS IT GOVERNANCE? .............................................................10
2. WHY IS IT GOVERNANCE IMPORTANT?.......................................13
3. WHOM DOES IT CONCERN?.............................................................14
4. WHAT CAN THEY DO ABOUT IT? ...................................................15
4.1 How Should the Board Address the Challenges? ...........................16
4.2 How Should Executive Management Address the Expectations?....18
5. WHAT DOES IT GOVERNANCE COVER? .......................................19
5.1 Strategic Alignment. .........................................................................22
5.2 Value Delivery ...................................................................................24
5.3 Risk Management ..............................................................................26
5.4 Resource Management ......................................................................28
5.5 Performance Measurement ...............................................................29
6. WHAT QUESTIONS SHOULD BE ASKED? .....................................32
7. HOW IS IT ACCOMPLISHED?............................................................33
8. HOW DOES YOUR ORGANISATION COMPARE?..........................35
9. WHAT REFERENCE MATERIAL EXISTS?.......................................36
10. CONCLUSIONS.....................................................................................37
10.1 IT Governance Should Be Integrated within
Enterprise Governance ...................................................................37
10.2 IT Governance Roles and Responsibilities
Need To Be Defined.........................................................................37
10.3 An IT Governance Implementation Plan Is Required....................38
APPENDIX A—IT Governance Checklist ...................................................42
APPENDIX B—Board IT Governance Tool Kit ..........................................44
APPENDIX C—Management IT Governance Tool Kit...............................46
APPENDIX D—IT Governance Maturity Model.........................................48
APPENDIX E—Roles and Responsibilities for IT Governance..................50
APPENDIX F—IT Strategy Committee .......................................................53
APPENDIX G—Regulatory Reports and Emerging Standards on
Governance.........................................................................58
APPENDIX H—The Emerging Enterprise Model .......................................63
6 Board Briefing on IT Governance

Executive Summary
Increasingly, top management is realising the significant impact that
information technology (IT) can have on the success of the enterprise.
Management hopes for heightened understanding of the way IT is operated
and the likelihood of its being leveraged successfully for competitive
advantage. In particular, top management needs to know if its IT
management is:
• Likely to achieve its objectives?
• Resilient enough to learn and adapt?
• Judiciously managing the risks it faces?
• Appropriately recognising opportunities and acting upon them?

Successful enterprises understand the risks and exploit the benefits of IT, and
find ways to deal with:
• Aligning IT strategy with the business strategy
• Cascading IT strategy and goals down into the enterprise
• Providing organisational structures that facilitate the implementation of
strategy and goals
• Creating constructive relationships and effective communications
between the business and IT, and with external partners
• Insisting that an IT control framework be adopted and implemented
• Measuring IT’s performance

Boards and executive management need to extend governance to IT and

provide the leadership, organisational structures and processes that ensure
that the enterprise’s IT sustains and extends the enterprise’s strategies and
objectives. IT governance is not an isolated discipline. It is an integral part of
overall enterprise governance. The need to integrate IT governance with
overall governance is similar to the need for IT to be an integral part of the
enterprise rather than something practiced in remote corners or ivory towers.

An increasingly educated and assertive set of stakeholders is concerned

about the sound management of its interests. This has led to the emergence
of governance principles and standards for overall enterprise governance.
Furthermore, regulations establish board responsibilities and require that the
board of directors exercise due diligence in its roles. Investors have also
realised the importance of governance, because they are willing to pay a
premium of more than 20 percent on shares of enterprises that have shown to
have good governance practices in place (McKinsey’s Investors Opinion
Survey, June 2000).

Enterprise governance is a set of responsibilities and practices exercised by

the board and executive management with the goal of providing strategic
direction, ensuring that objectives are achieved, ascertaining that risks are
managed appropriately and verifying that the enterprise’s resources are used
responsibly.
 IT Governance Institute 7

While governance developments have primarily been driven by the need for
the transparency of enterprise risks and the protection of shareholder value,
the pervasive use of technology has created a critical dependency on IT that
calls for a specific focus on IT governance.

IT is essential to manage the transactions, information and knowledge

necessary to initiate and sustain economic and social activities. In most
enterprises, IT has become an integral part of the business and is
fundamental to support, sustain and grow the business. Successful
enterprises understand and manage the risks and constraints of IT. As a
consequence, boards of directors understand the strategic importance of IT
and have put IT governance firmly on their agenda.

Usually, advice to boards on how to operate is long on board structure,

composition, size and independence, but short on risk management and
practical IT governance. This Board Briefing on IT Governance, 2nd Edition
specifically addresses IT governance. Boards and management need to
assess their capacity to:
• Take advantage of IT’s enabling capacity for new business models and
changing business practices
• Balance IT’s increasing costs and information’s increasing value to
obtain an appropriate return from IT investments
• Manage the risks of doing business in an interconnected digital world
and the dependence on entities beyond the direct control of the
enterprise
• Manage IT’s impact on business continuity due to increasing reliance
on information and IT in all aspects of the enterprise
• Maintain IT’s ability to build and maintain knowledge essential to
sustain and grow the business
• Avoid the failures of IT, increasingly impacting the enterprise’s value
and reputation

The overall objective of IT governance, therefore, is to understand the issues

and the strategic importance of IT, so that the enterprise can sustain its
operations and implement the strategies required to extend its activities into
the future. IT governance aims at ensuring that expectations for IT are met
and IT risks are mitigated.

Boards and executive management generally expect their enterprise’s IT to

deliver business value, i.e., provide fast, secured, high-quality solutions and
services; generate reasonable return on investment; and move from efficiency
and productivity gains toward value creation and business effectiveness.
8 Board Briefing on IT Governance

In many enterprises, expectations of IT and reality often do not match and

boards are faced with:
• Business losses, reputational damage and a weakened competitive
position
• Inability to obtain or measure a return from IT investments
• Failure of IT initiatives to bring the innovation and benefits
they promised
• Technology that is inadequate or even obsolete
• Inability to leverage available new technologies
• Deadlines that are not met and budgets that are overrun

Boards exercising proper IT governance often uncover and address problems

in advance simply by asking the right questions:
• How critical is IT to sustaining the enterprise and how critical is IT to
growing the enterprise?
• How far should the enterprise go in risk mitigation and is the cost
justified by the benefit?
• Is IT a regular item on the agenda of the board and is it addressed in a
structured manner?
• Is the reporting level of the most senior IT manager commensurate with
the importance of IT?

Other aspects of an effective IT governance framework can be explored by

asking questions like:
• Does the board of the organisation occasionally ask questions about IT?
• Is the board regularly informed of major IT initiatives, their status and
issues?
• Does the board approve IT strategy?
• Does the board have a standing IT strategy committee with
representation from the business as well as IT?

This Board Briefing on IT Governance, 2nd Edition:

• Was developed in response to the finding that the complexity of
IT and the intangible value of information make IT a more difficult
area to govern
• Will help in understanding why IT governance is important, what the
critical issues are and what frameworks and models are available for
management of IT resources
• Is addressed to boards of directors, supervisory boards, audit
committees, chief executive officers, chief information officers and
other executive management
• Was developed by the IT Governance Institute, a not-for-profit
organisation founded in 1998, with the mission to assist enterprise
leaders in their responsibility to make IT successful in supporting the
enterprise’s mission and goals
• Is based on Control Objectives for Information and related Technology
(COBIT®), an international and generally accepted IT control framework,
 IT Governance Institute 9

which provides metrics and critical success factors thereby enabling

organisations to implement an IT governance structure throughout the
enterprise
• Covers:
– A summarised background on governance
– Where IT governance fits in the larger context of enterprise
governance
– A simple framework with which to think about IT governance and the
different domains it covers:
• Strategic alignment of IT with the business
• Value delivery of IT
• Management of IT risks
• IT resource management
• Performance measurement of IT
– Questions that should be asked
– Good practices as well as critical success factors
– Performance measures board members can track
– A maturity model against which to benchmark the enterprise
10 Board Briefing on IT Governance

1. What Is IT Governance?
IT governance is the responsibility of the board of directors and
executive management. It is an integral part of enterprise governance
and consists of the leadership and organisational structures and
processes that ensure that the organisation’s IT1 sustains and extends
the organisation’s strategies and objectives.

Two major publications stress the importance of governance:

1. The Report of the Committee on the Financial Aspects of Corporate

Governance (Cadbury Report, 1992) focused global thinking on the
issue of governance. While the report is aimed at financial reporting and
auditing, it alludes to wider concepts of governance. It recommends
openness, integrity and accountability to improve standards of corporate
behaviour, strengthening controls over enterprises and their public
accountability while retaining the essential spirit of the enterprise. It
identifies various board governance responsibilities, such as setting
strategic aims, providing leadership, supervising management and
reporting to shareholders on their stewardship.

In practice, that stewardship is extending to IT as boards investigate the

depth of their enterprise’s reliance on IT.

2. The Bank for International Settlements (BIS), in Enhancing Corporate

Governance in Banking Organisations (1999), defines governance
arrangements as encompassing the set of relationships between the
entity’s management and its governing body, its owners and its other
stakeholders and providing the structure through which:
• The entity’s overall objectives are set.
• The method of attaining those objectives is outlined.
• The way that performance will be monitored is described.

At the heart of the governance responsibilities of setting strategy, managing

risks, delivering value and measuring performance, are the stakeholder2
values, which drive the enterprise and IT strategy. Sustaining the current
business and growing into new business models are certainly stakeholder
expectations and can be achieved only with adequate governance of the
enterprise’s IT infrastructure.

1
In this document, “IT” is understood to encompass the infrastructure as well as the capabilities and
organisation that establish and support it.
2
“Stakeholder” is used to indicate anyone who has either a responsibility for or an expectation from the enter-
prise’s IT, e.g., shareholders, directors, executives, business and technology management, users, employees,
governments, suppliers, customers and the public.
 IT Governance Institute 11

IT governance, like other governance subjects, is the responsibility of the

board3 and executives. It is not an isolated discipline or activity, but rather is
integral to enterprise governance. It consists of the leadership and
organisational structures and processes that ensure that the enterprise’s IT
sustains and extends the enterprise’s strategies and objectives. Critical to the
success of these structures and processes is effective communication among
all parties based on constructive relationships, a common language and a
shared commitment to addressing the issues.

IT governance responsibilities form part of a broad framework of enterprise

governance and should be addressed like any other strategic agenda item of
the board. In simple terms, for critically dependent IT systems, governance
should be effective, transparent and accountable. This means that the board
should be very clear about its own and management’s responsibilities, and
should have a system in place to deliver on those responsibilities. The
responsibilities generally relate to IT’s alignment and use within all activities
of the enterprise, the management of technology-related business risks and
the verification of the value delivered by the use of IT across the enterprise.

The purpose of IT governance is to direct IT endeavours, to ensure that IT’s

performance meets the following objectives:
• Alignment of IT with the enterprise and realisation of the promised
benefits
• Use of IT to enable the enterprise by exploiting opportunities and
maximising benefits
• Responsible use of IT resources
• Appropriate management of IT-related risks

IT governance usually occurs at different layers, with team leaders reporting

to and receiving direction from their managers, with managers reporting up
to the executive, and the executive to the board of directors. Reports that
indicate deviation from targets will usually include recommendations for
action to be endorsed by the governing layer. Clearly, this approach will not
be effective unless strategy and goals have first been cascaded down into the
organisation. The illustration in figure 1 presents conceptually the interaction
of objectives and IT activities from an IT governance perspective and can be
applied among the different layers within the enterprise.

The governance process starts with setting objectives for the enterprise’s IT,
providing the initial direction. From then on, a continuous loop is established
for measuring performance, comparing to objectives, and resulting in the
redirection of activities where necessary and a change of objectives where
appropriate. While objectives are primarily the responsibility of the board
and performance measures that of management, it is evident they should be
developed in concert so that the objectives are achievable and the measures
represent the objectives correctly.
3
“Board of directors” and “board” are used to indicate the body that is ultimately accountable to the
stakeholders of the enterprise.
12 Board Briefing on IT Governance

Figure 1—Interaction of Objectives and IT Activities

Provide
Direction

Set IT
Compare
Objectives Activities

Measure
Performance

In response to the direction received, the IT function needs to focus on:

realising benefits by increasing automation and making the enterprise more
effective, and by decreasing cost and making the whole enterprise more
efficient; and on managing risks (security, reliability and compliance). The
IT governance framework can then be completed as indicated in figure 2.

Figure 2—IT Governance Framework

Provide
Direction

Set Objectives IT Activities

• IT is aligned with the • Increase automation
business (make the business
• IT enables the effective)
business and
maximises benefits
Compare • Decrease cost (make
the enterprise efficient)
• IT resources are used • Manage risks (security,
responsibly reliability and
• IT-related risks are compliance)
managed appropriately

Measure
Performance
 IT Governance Institute 13

2. Why Is IT Governance Important?

The use of IT has the potential to be the major driver of economic wealth in
the 21st century. While IT is already critical to enterprise success, provides
opportunities to obtain a competitive advantage and offers a means for
increasing productivity, it will do all this even more so in the future.
Leveraging IT successfully to transform the enterprise and create value-
added products and services has become a universal business competency. IT
is fundamental for managing enterprise resources, dealing with suppliers and
customers, and enabling increasingly global and dematerialised transactions.
IT also is key for recording and disseminating business knowledge.

An ever larger percentage of the market value of enterprises has transitioned

from the tangible (inventory, facilities, etc.) to the intangible (information,
knowledge, expertise, reputation, trust, patents, etc.). Many of these assets
revolve around the use of IT. Moreover, a firm is inherently fragile if its
value emanates more from conceptual, as distinct from physical, assets.
Good governance of IT therefore is critical in supporting and enabling
enterprise goals.

While IT is fundamental to sustain what may be unglamorous and taken-for-

granted business operations, it is equally essential to grow and innovate the
business. Those with a strict commercial focus may challenge the latter but
should be aware that unwillingness to innovate limits the prospects of
achieving future goals and long-term sustainability.

IT also carries risks. It is clear that in these days of doing business on a

global scale around the clock, system and network downtime has become far
too costly for any enterprise to afford. In some industries, IT is a necessary
competitive resource to differentiate and provide a competitive advantage
while in many others it determines survival, not just prosperity.

The networked economy has brought more efficient markets, enabled

streamlining of processes and optimised supply chains. It has also created
new technology and business risks and new information and resilience
requirements. These new requirements and risks mandate that management
of IT be more effective and transparent.

With IT now so intrinsic and pervasive within enterprises, governance needs

to pay special attention to IT, reviewing how strongly the enterprise relies on
IT and how critical IT is for the execution of the business strategy, since:
• IT is critical in supporting and enabling enterprise goals.
• IT is strategic to the business (growth and innovation).
• Due diligence is increasingly required relative to the IT implications of
mergers and acquisitions.
14 Board Briefing on IT Governance

While boards usually look at business strategy and strategic risks, few boards
have focused on IT, despite the fact that it involves large investments and
huge risks. Why is that? Among the reasons:
• IT requires more technical insight than do other disciplines to
understand how it enables the enterprise and creates risks and
opportunities.
• IT has traditionally been treated as an entity separate to the business.
• IT is complex, even more so in the extended enterprise operating in a
networked economy.

The ultimate reason IT governance is important is that expectations and

reality often do not match. Boards usually expect management to:
• Deliver IT solutions of the right quality, on time and on budget
• Harness and exploit IT to return business value
• Leverage IT to increase efficiency and productivity while managing
IT risks

Ineffective IT governance is likely to be a root cause of the negative

experiences many boards have had with IT:
• Business losses, damaged reputations or weakened competitive positions
• Deadlines not met, costs higher than expected and quality lower
than anticipated
• Enterprise efficiency and core processes negatively impacted by
poor quality of IT deliverables
• Failures of IT initiatives to bring innovation or deliver the promised
benefits

3. Whom Does It Concern?

While IT governance is the responsibility of executives and board members,
governance activities must flow through various levels of the enterprise.
For example, Internal Control: Guidance for Directors on the Combined
Code (Turnbull Report, 1999) calls for increasing emphasis on a broader
corporate governance role for audit committees. The report calls for the
board to assure that there are appropriate and effective processes to monitor
risk and that the system of internal control is effective in reducing those risks
to an acceptable level.

IT governance, like most other governance activities, intensively engages both

board and executive management in a cooperative manner. However, due to
complexity and specialisation, the board and executive must set direction and
insist on control, while needing to rely on the lower layers in the enterprise to
provide the information required in decision-making and evaluation activities.
To have effective IT governance in the enterprise, the lower layers need to
apply the same principles of setting objectives, providing and getting
direction, and providing and evaluating performance measures.
 IT Governance Institute 15

As a result, good practices in IT governance need to be applied throughout

the enterprise and especially between the IT function and the business units.
The business units have a responsibility to work in partnership with IT to
ensure that their business requirements are met.

To help enable this:

• Board members should take an active role in IT strategy or similar
committees.
• CEOs should provide organisational structures to support the
implementation of IT strategy.
• CIOs must be business-oriented and provide a bridge between IT and
the business.
• All executives should become involved in IT steering or similar
committees.

4. What Can They Do About It?

IT governance responsibilities form part of a broad framework of enterprise
governance. This framework is well covered in the Principles of Corporate
Governance issued by the Organisation for Economic Co-operation and
Development (OECD, 1998), which focuses on the rights, roles and
equitable treatment of shareholders; disclosure and transparency; and the
responsibilities of the board. The report further calls for the governance
framework to ensure sound strategic guidance of the enterprise, for effective
monitoring of management by the board, and for the board to be accountable
for the enterprise and to the shareholders. Among the board’s responsibilities
are reviewing and guiding corporate strategy, setting and monitoring
achievement of management’s performance objectives, and ensuring the
integrity of the enterprise’s systems.

The BIS has stated that IT should be addressed like any other strategic
agenda item of the board, and that for critically dependent IT systems,
governance should be effective, transparent and accountable. This means that
the board should be very clear about its own and management’s
responsibilities. It should have a system in place to enforce those
responsibilities which generally relate to IT’s alignment and use within all
activities of the enterprise, the management of technology-related business
risks and the verification of the value delivered by the use of IT across the
enterprise. Boards begin to do that by asking the right questions about:
• The strategy and its integration throughout the enterprise
• How IT investment improves quality of service
• Investment in and proper allocation of IT resources
• Policies and procedures for IT risk management
• Learning from failures and successes
16 Board Briefing on IT Governance

Board members, particularly nonexecutive directors, should ensure they

are satisfied that adequate answers can be provided to each of the above
issues to:
• Assess the status of IT
• Obtain a clearer understanding of the potential for using IT to improve
business objectives
• Promote more integrated business solutions through the application
of IT
• Ensure resources are used wisely and effectively on projects and
conducted to professional standards

Many boards carry out their governance duties through committees that
oversee critical areas such as audit, compensation and acquisitions. Taking
the criticality of IT into account, IT should be managed with the same
commitment and accuracy. The setup of an IT committee at the board
level—an IT strategy committee—can be an important mechanism to
achieve this goal. The IT strategy committee, composed of board and non-
board members, should assist the board in governing and overseeing the
enterprise’s IT-related matters. It should ensure that IT governance is
addressed in a structured manner and the board has the information it needs
to achieve the ultimate objectives of IT governance. More details on the IT
strategy committee can be found in appendix F, IT Strategy Committee.

Similarly, executive management increasingly delegates certain

responsibilities to committees. The most widely known is the IT steering
committee, which usually focuses on tracking IT investments, setting
priorities and allocating scarce resources. More recently, enterprises have
begun to establish IT architecture and technology committees. The roles and
responsibilities of the different committees are covered in appendix E, Roles
and Responsibilities for IT Governance.

4.1 How Should the Board Address the Challenges?

The board should drive enterprise alignment by:
• Ascertaining that IT strategy is aligned with enterprise strategy
• Ascertaining that IT delivers against the strategy through clear
expectations and measurement
• Directing IT strategy by addressing the level and allocation of
investments, balancing the investments between supporting and growing
the enterprise and by making considered decisions about where IT
resources should be focused
• Ensuring a culture of openness and collaboration among the business,
geographical and functional units of the enterprise
 IT Governance Institute 17

The board should direct management to deliver measurable value through

IT by:
• Delivering solutions and services with the appropriate quality, on time
and on budget
• Enhancing reputation, product leadership and cost-efficiency
• Providing customer trust and competitive time-to-market

The board should manage enterprise risk by:

• Ascertaining that there is transparency about the significant risks to
the enterprise
• Being aware that the final responsibility for risk management rests
with the board
• Being conscious that risk mitigation can generate cost-efficiencies
• Considering that a proactive risk management approach can create
competitive advantage
• Insisting that risk management be embedded in the operation of
the enterprise
• Ascertaining that management has put processes, technology and
assurance in place for information security to ensure that:
– Business transactions can be trusted
– IT services are usable, can appropriately resist attacks and recover
from failures
– Critical information is withheld from those who should not have
access to it

Boards should support learning and growth and manage resources by:
• Maintaining awareness of new IT developments and opportunities
• Ensuring that IT resources are able to support current and expected
business requirements
• Committing to improving the efficiency and effectiveness of the
IT infrastructure
• Sustaining an adequate investment in staff education, development and
training for IT operations and developments

The board should also measure performance by:

• Defining and monitoring measures together with management to verify
that objectives are achieved and to measure performance to eliminate
surprises
• Leveraging a system of balanced business scorecards maintained
by management

Pragmatic practices in support of the board’s governance requirements are

listed in appendix B, Board IT Governance Tool Kit.
18 Board Briefing on IT Governance

4.2 How Should Executive Management Address the Expectations?

The executive’s focus generally is on cost-efficiency, revenue enhancement
and building capabilities, all of which are enabled by information,
knowledge and the IT infrastructure. Because IT is an integral part of the
enterprise, and as its solutions become more and more complex
(outsourcing, third-party contracts, networking, etc.), adequate governance
becomes a critical factor for success. To this end, management should:
• Cascade strategy, policies and goals down into the enterprise and align
the IT organisation with the enterprise goals
• Provide organisational structures to support the implementation of IT
strategies and an IT infrastructure to facilitate the creation and sharing
of business information. To achieve this, co-responsibility between
business and IT for the commercial and technical success of IT
investments needs to be promoted. In this context, the CIO needs to be
the bridge between IT and the business, and business management
needs to be more involved in decision-making around IT.
• Embed clear accountabilities for risk management and control over IT
into the organisation, based on a clear risk policy and comprehensive
control framework
• Measure performance by having outcome measures4 for business value
and competitive advantage that IT delivers and performance drivers to
show how well IT performs. Use few but precise performance measures,
directly and demonstrably linked to strategy.
• Focus on core business competencies IT must support, which are those
business processes that add customer value, differentiate the enterprise’s
products and services in the marketplace, and add value across multiple
products and services over time
• Focus on important IT processes that improve business value, such as
change, applications and problem management. Management must
become aggressive in defining these processes and their associated
responsibilities.
• Focus on core IT competencies that usually relate to planning and
overseeing the management of IT assets, risks, projects, customers and
vendors (also supported by an IT steering committee)
• Create a flexible and adaptive enterprise that leverages information and
knowledge. This is an enterprise that senses what is happening in the
market; uses knowledge assets to learn from that and innovates new
products, services, channels and processes; then mutates rapidly to
bring innovation to market or to repel challenges; and finally measures
results and performance. At the heart of this emerging model is
knowledge. IT is the enabling factor to collect, build and distribute
knowledge. This model is depicted in appendix H, The Emerging
Enterprise Model.

4
The COBIT control framework refers to key goal indicators (KGIs) and key performance indicators (KPIs) for
the Kaplan/Norton concepts of outcome measures and performance drivers.
 IT Governance Institute 19

• Strengthen value delivery through technology standardisation

(technology councils and architecture review boards), disciplined
project management and clarifying value of IT
• Focus on the optimisation of IT costs to obtain the right value from IT
resources at a reasonable cost
• Have clear external sourcing strategies. The extended enterprise and the
need to acquire outside IT resources and services render the
management of third-party contracts and associated service level
agreements critical in providing the information the enterprise needs. It
also requires trust to be built between parties, often entailing
interconnectivity and information sharing that necessitate adopting
mutual IT control and governance practices.

Pragmatic practices in support of management’s governance requirements

are listed in appendix C, Management IT Governance Tool Kit.

5. What Does IT Governance Cover?

Fundamentally, IT governance is concerned about two things: IT’s delivery
of value to the business and mitigation of IT risks. The first is driven by
strategic alignment5 of IT with the business. The second is driven by
embedding accountability into the enterprise. Both need to be supported by
adequate resources and measured to ensure that the results are obtained.

This leads to the five main focus areas for IT governance, all driven by
stakeholder value. Two of them are outcomes: value delivery and risk
management. Three of them are drivers: strategic alignment, resource
management (which overlays them all) and performance measurement
(figure 3).

IT governance is also a continuous life cycle, which can be entered at any

point. Usually one starts with the strategy and its alignment throughout the
enterprise. Then implementation occurs, delivering the value the strategy
promised and addressing the risks that need mitigation. At regular intervals
(some recommend continuously) the strategy needs to be monitored and the
results measured, reported and acted upon. Generally on an annual basis, the
strategy is reevaluated and realigned, if needed.

5
Value delivery and strategic alignment are often combined in professional and academic literature.
20 Board Briefing on IT Governance

Figure 3—Focus Areas of IT Governance

IT Resource
Management
IT Value
Delivery

IT Stakeholder
Risk
Strategic Value
Management
Alignment Drivers

Performance
Measurement

This life cycle does not take place in a vacuum. Each enterprise operates in
an environment that is influenced by:
• Stakeholder values
• The mission, vision and values of the enterprise
• The community and company ethics and culture
• Applicable laws, regulations and policies
• Industry practices

IT governance is also a process in which the IT strategy drives the IT

processes, which obtain resources necessary to execute their responsibilities.
The IT processes report against these responsibilities on process outcome,
performance, risks mitigated and accepted, and resources consumed. These
reports should either confirm that the strategy is properly executed or
provide indications that strategic redirection is required (figure 4).

IT governance entails a number of activities for the board and for executive
management, such as becoming informed of the role and impact of IT on the
enterprise, assigning responsibilities, defining constraints within which to
operate, measuring performance, managing risk and obtaining assurance.

Typical subjects covered by these activities include the objectives of IT, the
opportunities and risks of new technologies, and the key processes and core
competencies.
 IT Governance Institute 21

Figure 4—IT Governance Process

Processes
Directs
Measure

Use
Improve
Drive Resources
Stakeholder • Knowledge
Value Strategy • Capability
Drivers • Information
• ...................

Report

Confirm Results
or • Outcome
• Performance
Change • Risk
• Assets

See the board and management IT governance tool kits in appendices B and
C, respectively, for a full listing of IT governance activities and subjects.

Review of the predictions of reputable market analysts such as Gartner,

Compass, Giga and CSC reveal that the top issues for IT management have
moved from the technology- to the management-related arenas. These issues
clearly map onto the IT governance areas:
• Strategic alignment, with focus on aligning with the business and
collaborative solutions
• Value delivery, concentrating on optimising expenses and proving the
value of IT
• Risk management, addressing the safeguarding of IT assets, disaster
recovery and continuity of operations
• Resource management, optimising knowledge and IT infrastructure

Furthermore, none of these factors can be managed appropriately without:

• Performance measurement, tracking project delivery and monitoring
IT services

Each of these focus areas is outlined below. In section 7, a number of

practices and critical success factors6 are introduced that elaborate further on
how these activities are performed and what elements increase their success.

6
In this document, critical success factors are conditions, capabilities, competencies and behaviours not always
under one’s own control to obtain.
 22 Board Briefing on IT Governance

5.1 IT Strategic Alignment (focusing on aligning with the business and

collaborative solutions)
“IT alignment The key question is whether an enterprise’s investment in IT is in harmony
with its strategic objectives (intent, current strategy and enterprise goals) and
is a journey, thus building the capabilities necessary to deliver business value. This state
not a of harmony is referred to as “alignment.” It is complex, multifaceted and
never completely achieved. It is about continuing to move in the right
destination.” direction and being better aligned than competitors. This may not be
attainable for many enterprises because enterprise goals change too quickly,
but it is nevertheless a worthwhile ambition because there is real concern
about the value of IT investment.

Alignment of IT has been synonymous with IT strategy, i.e., does the IT

strategy support the enterprise strategy? For IT governance, alignment
encompasses more than strategic integration between the (future) IT
organisation and the (future) enterprise organisation. It also is about whether
IT operations are aligned with the current enterprise operations (figure 5).
Of course, it is difficult to achieve IT alignment when enterprise units are
misaligned.

Figure 5—IT/Enterprise Alignment

Enterprise
Strategy

Enterprise Alignment IT
Operations Activities Strategy

IT
Operations

IT often is seen as a “necessary evil,” but considered strategically it can

provide enterprises with the opportunity to:
• Add value to products and services
• Assist in competitive positioning
• Contain costs and improve administrative efficiency
• Increase managerial effectiveness
 IT Governance Institute 23

The IT strategy articulates the enterprise’s intention to use IT for some or all
of these reasons, based on business requirements. Linkage to the business
aims is essential for IT to deliver recognisable value to the enterprise.

When formulating the IT strategy, the enterprise must consider:

• Business objectives and the competitive environment
• Current and future technologies and the costs, risks and benefits they
can bring to the business
• The capability of the IT organisation and technology to deliver current
and future levels of service to the business, and the extent of change and
investment this might imply for the whole enterprise
• Cost of current IT and whether this provides sufficient value to the
business
• The lessons learned from past failures and successes

Once these issues are clearly understood, the IT strategy can be developed to
ensure all elements of the IT environment support the strategic objectives, as
demonstrated in figure 6.

Figure 6—IT Supporting Strategic Objectives

Enterprise
Strategy
Business
Functions
Application
Architecture
Technical
Infrastructure
Sourcing/
Staffing

Funding

It is important that the plan for implementing the strategy be endorsed by all
relevant parties. It is also important that the implementation plans be broken
down into manageable parts, each with a clear business case incorporating a
plan for achieving outcomes and realising benefits. The board should ensure
that the strategy is reviewed regularly in the light of technological and
operational change.

Hence the board, or a dedicated IT strategy committee of the board, should

drive business alignment by:
• Ensuring that IT strategy is aligned with business strategy and that
distributed IT strategies are consistent and integrated
24 Board Briefing on IT Governance

• Ensuring that IT delivers against the strategy (delivering on time and

within budget, with appropriate functionality and the intended
benefits—a fundamental building block of alignment and value
delivery) through clear expectations and measurement (e.g., balanced
business scorecard)
• Balancing investments between systems that support the enterprise as is,
transform the enterprise or create an infrastructure that enables the
business to grow and compete in new arenas
• Making considered decisions about focus of IT resources, that is, their
use to break into new markets, drive competitive strategies, increase
overall revenue generation, improve customer satisfaction and/or assure
customer retention

Alignment requires planned and purposeful management processes, such as:

• Creating and sustaining awareness of the strategic role of IT at top
management level
• Clarifying what role IT should play: utility vs. enabler
• Creating IT guiding principles from business maxims. For example,
“develop partnerships with customers worldwide” can lead to
“consolidate customer database and order processing processes.”
• Monitoring the business impact of the IT infrastructure and applications
portfolio
• Evaluating, post-implementation, benefits delivered by IT projects

As IT becomes more critical for enterprise survival in addition to enabling

growth, IT strategy committees need to broaden their scope. Not only should
they offer advice on strategy when assisting the board in its IT governance
responsibilities, but also they should focus on IT value, risks and
performance. In appendix F, the roles and responsibilities of this committee
are further elaborated.

5.2 Value Delivery (concentrating on optimising expenses and proving the

value of IT)
The basic principles of IT value are the on-time and within-budget delivery
of appropriate quality, which achieves the benefits that were promised. In
business terms, this is often translated into: competitive advantage, elapsed
time for order/service fulfilment, customer satisfaction, customer wait time,
employee productivity and profitability. Several of these elements are either
subjective or difficult to measure, something all stakeholders need to
understand. Often, top management and boards fear to start major IT
investments because of the size of investment and the uncertainty of the
outcome. For effective IT value delivery to be achieved, both the actual costs
and the return on investment need to be managed.
 IT Governance Institute 25

The value that IT adds to the business is a function of the degree to which
the IT organisation is aligned with the business and meets the expectations “IT
of the business. The business should set expectations relative to the contents value is in
of the IT deliverable:
• Fit for purpose, meeting business requirements the eye
• Flexibility to adopt future requirements
• Throughput and response times
of the
• Ease of use, resiliency and security beholder.”
• Integrity, accuracy and currency of information

The business should also set expectations regarding the method of working:
• Time-to-market
• Cost and time management
• Partnering success
• Skill set of IT staff

To manage these expectations, IT and the business should use a common

language for value, which translates business and IT terminology and is
based wholly on fact.

Different levels of management and users perceive the value of IT

differently, as illustrated in figure 7.7 Figure 7 also shows that the higher
one goes in the measurement hierarchy, the more dilution occurs (i.e., the
less influence IT management can exercise). This also means that measuring
the impact of an IT investment is much easier at the bottom of the hierarchy
than at the top. However, successful investments in IT have a positive impact
on all four levels of the business value hierarchy. Furthermore, there is an
increasing separation between the creation of value and its subsequent
realisation. Therefore, it is important not only to focus on measurements
based on value realisation (i.e., financial measures), but also to take into
account the enterprise’s performance in creating value.
Figure 7—Views of IT Value (Weill and Broadbent)
Sample Measures Business Value Delivered
Business
Business Unit Financial Management

Business Unit Operational

Business Unit IT Applications

IT
Firmwide IT Infrastructure Management

Time for Business Impact Degree of Influence

7
Weill, Peter; Marianne Broadbent; Leveraging the New Infrastructure: How Market Leaders Capitalize on
Information Technology, Harvard Business School Press, 1998
26 Board Briefing on IT Governance

Therefore, IT needs to be aligned to deliver value so that it supports the

enterprise as is by delivering on time, with appropriate functionality and
achievement of the intended benefits. Alignment of IT also provides value
by delivering infrastructures that enable the enterprise to grow by breaking
into new markets, increasing overall revenue, improving customer
satisfaction, assuring customer retention and driving competitive strategies.

The capacity to deliver is dependent on:

• Timely, usable and reliable information about customers, processes,
markets, etc.
• Productive and effective practices (performance measurement,
knowledge management, etc.)
• The ability to integrate technology

To be successful, enterprises need to be aware that different strategic

contexts require different indicators of value. This means that it is important
to establish the value measures in concert between the business and IT. This
implies, as is recommended below, that the IT balanced scorecard should
cover these measures and be developed with input and approval from
business management. It should also be mentioned that the public sector has
different value drivers/indicators than the private sector. In the public sector,
measures like compliance and due diligence take prominence over financial
measures such as profitability.

5.3 Risk Management (addressing the safeguarding of IT assets and

disaster recovery)
The universal need to demonstrate good enterprise governance to
shareholders and customers is the driver for increased risk management
activities in large organisations. Enterprise risk comes in many varieties, not
only financial risk. Regulators are specifically concerned about operational
and systemic risk, within which technology risk and information security
issues are prominent. The BIS, for example, supports that view because all
major past risk issues studied in the financial industry were caused by
breakdowns in internal control, oversight and IT. Infrastructure protection
initiatives in the US and the UK point to the utter dependence of all
enterprises on IT infrastructures and the vulnerability to new technology
risks. The first recommendation these initiatives make is for risk awareness
of senior corporate officers.
 IT Governance Institute 27

Therefore, the board should manage enterprise risk by:

• Ascertaining that there is transparency about the significant risks to the “It’s the IT
enterprise and clarifying the risk-taking or risk-avoidance policies of the alligators
enterprise (i.e., determining the enterprise’s appetite for risk)
• Being aware that the final responsibility for risk management rests you don’t
with the board so, when delegating to executive management, making
sure the constraints of that delegation are communicated and
see that will
clearly understood get you.”
• Being conscious that the system of internal control put in place to
manage risks often has the capacity to generate cost-efficiency
• Considering that a transparent and proactive risk management approach
can create competitive advantage that can be exploited
• Insisting that risk management be embedded in the operation of the
enterprise, respond quickly to changing risks and report immediately to
appropriate levels of management, supported by agreed principles of
escalation (what to report, when, where and how)

Effective risk management begins with a clear understanding of the

enterprise’s appetite for risk and a brainstorming session on the high-level
risk exposures of the enterprise. This focuses all risk management effort and,
in an IT context, impacts future investments in technology, the extent to
which IT assets are protected and the level of assurance required.
Having defined risk appetite and identified risk exposure, strategies for
managing risk can be set and responsibilities clarified. Dependent on the
type of risk and its significance to the business, management and the board
may choose to:
• Mitigate—Implement controls (e.g., acquire and deploy security
technology to protect the IT infrastructure)
• Transfer—Share risk with partners or transfer to insurance coverage
• Accept—Formally acknowledge that the risk exists and monitor it

As a minimum, risk should at least be analysed, because even if no

immediate action is taken, the awareness of risk will influence strategic
decisions for the better. Often, the most damaging IT risks are those that are
not well understood.

“I cannot imagine any condition which could cause this ship to founder. I
cannot conceive of any vital disaster happening to this vessel.”—Captain of
the Titanic, 1912
 28 Board Briefing on IT Governance

5.4 Resource Management (optimising knowledge and infrastructure)

A key to successful IT performance is the optimal investment, use and
allocation of IT resources (people, applications, technology, facilities, data)
in servicing the needs of the enterprise. Most enterprises fail to maximise the
efficiency of their IT assets and optimise the costs relating to these assets. In
addition, the biggest challenge in recent years has been to know where and
“A good how to outsource and then to know how to manage the outsourced services
craftsman is in a way that delivers the values promised at an acceptable price.

recognised Boards need to address appropriate investments in infrastructure and

capabilities by ensuring that:
by the • The responsibilities with respect to IT systems and services
quality of procurement are understood and applied
• Appropriate methods and adequate skills exist to manage and support
his tools.” IT projects and systems
• Improved workforce planning and investment exist to ensure
recruitment and, more important, retention of skilled IT staff
• IT education, training and development needs are fully identified and
addressed for all staff
• Appropriate facilities are provided and time is available for staff to
develop the skills they need

Boards need to ensure that IT resources are used wisely by ensuring that:
• Appropriate methods and adequate skills exist in the organisation to
manage IT projects
• The benefits accruing from any service procurement are real and
achievable

In most enterprises, the biggest portion of the IT budget relates to ongoing

operations. Effective governance of IT operational spending requires
effective control of the cost base: the IT assets and their focus where they
are needed most. Enterprises should align and prioritise the existing IT
services that are required to support business operations based on clear
service definitions. These definitions and related performance metrics enable
business-oriented service level agreements providing a basis for effective
oversight and monitoring of both internal and outsourced IT services. The IT
assets should be organised optimally so that the required quality of service is
provided by the most cost-effective delivery infrastructure. Companies that
achieve this not only realise great cost savings but also are well placed to
take on the next new IT initiative, judiciously introducing new technologies
and replacing or updating obsolete systems.

IT assets are complex to manage and continually change due to the nature of
technology and changing business requirements. Effective management of
the life cycle of hardware, software licences, service contracts and
 IT Governance Institute 29

permanent and contracted human resources is a critical success factor not

only for optimising the IT cost base, but also for managing changes,
minimising service incidents and assuring a reliable quality of service.

Of all the IT assets, human resources represent the biggest part of the cost
base and, on a unit basis, the one most likely to increase. It is essential to
identify and anticipate the required core competencies in the workforce.
When these are understood, an effective recruitment, retention and training
programme is necessary to ensure that the organisation has the skills to
utilise IT effectively to achieve the stated objectives.

The ability to balance the cost of infrastructure assets with the quality of
service required (including those services provided by outsourced external
service providers) is critical to successful value delivery. It is also a powerful
reason for adopting sound performance measurement systems like the
balanced scorecard.

5.5 Performance Measurement (tracking project delivery and monitoring

IT services)
Strategy has taken on a new urgency as enterprises mobilise intangible and
hidden assets to compete in an information-based global economy. The
means of value creation has shifted from tangible to intangible assets, and
intangible assets generally are not measurable through traditional financial
means. Balanced scorecards translate strategy into action to achieve goals
with a performance measurement system that goes beyond conventional
accounting, measuring those relationships and knowledge-based assets
necessary to compete in the information age: customer focus, process
efficiency and the ability to learn and grow.

Each perspective is designed to answer one question about the enterprise’s

way of doing business: “In IT, if you
• Financial perspective—To satisfy our stakeholders, what financial
objectives must we accomplish? are playing
• Customer perspective—To achieve our financial objectives, what
customer needs must we serve?
the game
• Internal process perspective—To satisfy our customers and and not
stakeholders, in which internal business processes must we excel?
• Learning perspective—To achieve our goals, how must our organisation keeping
learn and innovate? score, you
By using the balanced scorecard, managers rely on more than short-term are only
financial measures as indicators of the company’s performance. They also
take into account such intangible items as level of customer satisfaction,
practising.”
streamlining of internal functions, creation of operational efficiencies and
development of staff skills. This unique and more holistic view of business
operations contributes to linking long-term strategic objectives with short-
term actions.
30 Board Briefing on IT Governance

At the heart of these scorecards is management information supplied by

relevant stakeholders and supported by a sustainable reporting system
(figure 8).

Figure 8—Balanced Scorecard Dimensions

Financial

Goals Measures

Customer Process
Information
Goals Measures Goals Measures

Learning

Goals Measures

But IT does more than provide information to obtain a global picture as to

where the enterprise is and where it is going. IT also enables and sustains
solutions for the actual goals set in the financial (enterprise resource
management), customer (customer relationship management), process
(intranet and workflow tools) and learning (knowledge management)
dimensions of the scorecard.

IT not only contributes information to the business scorecards and tools to

the different dimensions being measured, but also—because of the criticality
of IT itself—needs its own scorecard. Defining clear goals and good
measures that unequivocally reflect the business impact of the IT goals is a
challenge and needs to be resolved in co-operation among the different
governance layers within the enterprise.

Use of an IT balanced scorecard (IT BSC) is one of the most effective means
to aid the board and management to achieve IT and business alignment. The
objectives are to establish a vehicle for management reporting to the board,
to foster consensus among key stakeholders about IT’s strategic aims, to
demonstrate the effectiveness and added value of IT and to communicate
about IT’s performance, risks and capabilities.
 IT Governance Institute 31

Figure 9—Cause and Effect Relationships Between Scorecard Dimensions

Corporate
Contribution
Ensuring effective IT
governance

Future
Customer
Orientation
Orientation Vision and Building the foundation
Measuring up to for future delivery and
business Strategy continuous learning
expectations and growth

Operational
Excellence
Performing the IT
functions with increasing
Cause credibility and impact
Effect

To apply the balanced scorecard concepts to the IT function, the four

perspectives need to be redefined. An IT BSC template can be developed by
considering the following questions:
• Enterprise contribution—How do business executives view the IT
department?
• User orientation—How do users view the IT department?
• Operational excellence—How effective and efficient are the
IT processes?
• Future orientation—How well is IT positioned to meet future needs?

To demonstrate the value IT delivers to the business requires cause-and-

effect relationships between two types of measures throughout the scorecard
(see figure 9):8 outcomes measures (measuring what you have done) and
performance drivers (measuring how you are doing). A well-developed IT
BSC contains a good mix of these two types of measures, and should link to
the higher-level business scorecards.

8
Van Grembergen, W.; Ronald Saull; Steven De Haes; “Linking the IT Balanced Scorecard to the Business
Objectives at a Major Canadian Financial Group,” Strategies for Information Technology Governance, ed. Van
Grembergen, 2003
32 Board Briefing on IT Governance

Figure 10 summarises the objectives of each specific area from which

measures can be derived, and section 7 provides some example measures for
management and those responsible for IT governance.

Figure 10—Sample IT BSC Measures

Corporate Contribution
Ensuring effective IT governance
• Align IT with business objectives
• Deliver value
• Manage costs
• Manage risks
Customer • Achieve intercompany synergies Future
Orientation Orientation
Measuring up to business expectations Building the foundation for future delivery
Service Provider and continuous learning and growth
• Demonstrate competitive costs • Attract and retain people with key
• Deliver good service competencies
Strategic Contributor • Focus on professional learning and
• Achieve positive impact on business Information development
• Build a climate of empowerment and
processes
• Enable achievement of business responsibility
strategies • Measure/reward individual and team
performance
• Capture knowledge to improve performance
Operational Excellence
Performing the IT functions with increasing credibility and impact
Operational Excellence Business Partnership
• Mature internal IT processes • Deliver successful IT projects
• Manage operational service • Support technology users
performance • Plan and manage IT service delivery
• Achieve economies of scale • Understand business unit strategies
• Build standard, reliable technology Technology Leadership
platforms • Understand business unit strategies
• Deliver successful IT projects • Propose and validate enabling solutions
• Understand emerging technologies
• Develop enterprise architecture

6. What Questions Should Be Asked?

Asking tough questions is an effective way to get started in implementing IT
governance. Of course, those responsible for governance want good answers
to these questions. Then they want action. Then they need follow-up. It is
essential to determine, not just the action, but also who is responsible to
deliver what by when. Here are some sample questions. A more extensive
checklist is provided in appendix A, IT Governance Checklist. The questions
focus on three objectives.

To Uncover IT Issues
• How often do IT projects fail to deliver what they promised?
• Are end users satisfied with the quality of the IT service?
• Are sufficient IT resources, infrastructure and competencies available to
meet strategic objectives?
• What has been the average overrun of IT operational budgets? How
often and how much do IT projects go over budget?
• How much of the IT effort goes to firefighting rather than enabling
business improvements?
 IT Governance Institute 33

To Find Out How Management Addresses the IT Issues

• How well are enterprise and IT objectives aligned?
• How is the value delivered by IT being measured?
• What strategic initiatives has executive management taken to manage
IT’s criticality relative to maintenance and growth of the enterprise, and
are they appropriate?
• Is the enterprise clear on its position relative to technology: pioneer,
early adopter, follower or laggard? Is it clear on risk: risk-avoidance or
risk-taking?
• Is there an up-to-date inventory of IT risks relevant to the enterprise?
What has been done to address these risks?

To Self-assess IT Governance Practices

• Is the board regularly briefed on IT risks to which the enterprise
is exposed?
• Is IT a regular item on the agenda of the board and is it addressed in a
structured manner?
• Does the board articulate and communicate the business objectives for
IT alignment?
• Does the board have a clear view on the major IT investments from a
risk and return perspective? Does the board obtain regular progress
reports on major IT projects?
• Is the board getting independent assurance on the achievement of IT
objectives and the containment of IT risks?

7. How Is It Accomplished?
Tool kits for supporting the implementation of effective IT governance, from
both a board and an executive management point of view, are provided in
appendices B and C, respectively. These consist of various elements
(figure 11):
• Activities comprise actions that should be carried out to exercise the IT
governance responsibilities and the subjects comprise those items that
typically get onto an IT governance agenda (objectives, opportunities,
risks, key processes and core competencies).
• Outcome measures relate directly to the subjects of IT governance, such
as the alignment of business and IT objectives, cost-efficiencies realised
by IT, capabilities and competencies generated and risks and
opportunities addressed. Examples include:
– Enhanced performance and cost management
– Measurable contribution from IT to fast introduction of innovative
products and services
– Actual availability of systems and services and increasing level of
service delivery
– Absence of integrity and confidentiality risks
34 Board Briefing on IT Governance

• Best practices comprise examples of how the activities are being

performed by those who have established leadership in governance of
technology. These practices have been classified to reflect the IT
governance area(s) to which they provide the greatest contribution:
value delivery, strategic alignment, resource management, risk
management and/or performance (V, A, M, R, P). Examples include:
– Embedding into the enterprise an IT governance structure that is
accountable, effective and transparent, with defined activities and
purposes and with unambiguous responsibilities
– Establishing an audit committee that considers what the significant
risks are and assesses how they are identified, evaluated, mitigated
and residual risk managed, i.e., the effectiveness of the system of
internal control in managing significant risks
– Aggressively aligning enterprise and IT strategies and objectives
– Enabling a growing knowledge base on customers, products, markets
and processes
• Critical success factors are conditions, competencies and attitudes that
are critical to being successful in the best practices. Examples include:
– Sensitivity to the fact that IT is integral to the enterprise and not
something to be relegated to a technical function
– Awareness of IT’s criticality to the enterprise and ensuing formal
acceptance of responsibility by management who engage specialists
to assist them
– Management that is goal-focused and has the appropriate
information on markets, customers and internal processes
– A business culture that establishes accountability, encourages cross-
divisional co-operation and teamwork, promotes continuous process
improvement and handles failure well
• Performance drivers provide indicators on how IT governance is
achieving, as opposed to the outcome measures that measure what is
being achieved. They often relate to the critical success factors.
Examples include:
– The extent and frequency of risk and control reporting to the board
– Improved cost-efficiency of IT processes (costs vs. deliverables)
– System downtime
– Throughput and response times
 IT Governance Institute 35

Figure 11—IT Governance Action Plan

Activities WHO HOW

Subjects

Best Practices V A M R P

Outcome Measures

Critical Success Factors

Performance Drivers

8. How Does Your Organisation Compare?

For effective IT governance to be implemented, enterprises need to assess
how well they are currently performing and be able to identify where and
how improvements can be made. This applies to both the IT governance
process itself and all the processes that need to be managed within IT.

The use of maturity models greatly simplifies this task and provides a
pragmatic and structured approach for measuring how well developed an
enterprise’s processes are against a consistent and easy-to-understand scale.

Maturity models provide maturity scales (figure 12) and a description of the
observable characteristics of each level.

Using this technique the enterprise can:

• Build a view of current practices by discussing them in workshops and
comparing to example models
• Set targets for future development by considering model descriptions
higher up the scale and comparing to best practices
• Plan projects to reach the targets by defining the specific changes
required to improve management
• Prioritise project work by identifying where the greatest impact will be
made and where it is easiest to implement
36 Board Briefing on IT Governance

Figure 12—Maturity Scales

Non-
existent Initial Repeatable Defined Managed Optimised

0 1 2 3 4 5

LEGEND FOR SYMBOLS USED LEGEND FOR RANKINGS USED

Enterprise current status 0 Nonexistent – Management processes are not applied at all
1 Initial – Processes are ad hoc and disorganised
International standard
2 Repeatable – Processes follow a regular pattern
guidelines
3 Defined – Processes are documented and communicated
Industry best practice
4 Managed – Processes are monitored and measured
Enterprise strategy 5 Optimised – Best practices are followed and automated

A maturity model showing descriptions of the different levels of maturity for

IT governance is provided in appendix D, IT Governance Maturity Model.

9. What Reference Material Exists?

Various regulatory bodies, such as the Treadway Commission, BIS and
OECD, have issued reports on corporate governance since the early 1990s.
Each of these reports makes recommendations on good practice for effective
governance for boards and executive management. Stakeholder value,
transparency of risk and internal control are common themes emphasised
by all.

In addition, advisory initiatives and emerging international standards, such as

Cadbury, Turnbull and COBIT, have produced guidance on responsibilities of
boards and executives relative to risk and control.

COBIT (Control Objectives for Information and related Technology), issued

by the IT Governance Institute, is increasingly accepted internationally as
good practice for control over information, IT and related risks. Its guidance
enables an enterprise to implement effective governance over the IT that is
pervasive and intrinsic throughout the enterprise. In particular, COBIT’s
Management Guidelines component contains a framework responding to
management’s need for control and measurability of IT by providing tools to
assess and measure the enterprise’s IT capability for the 34 COBIT IT
processes. The tools include:
• Performance measurement elements (outcome measures and
performance drivers for all IT processes)
• A list of critical success factors that provides succinct, nontechnical best
practices for each IT process
• Maturity models to assist in benchmarking and decision-making for
capability improvements
 IT Governance Institute 37

IT governance incorporates the principles proposed in these influential

documents, summary of which can be found in appendix G, Regulatory
Reports and Emerging Standards on Governance.

10. Conclusions
10.1 IT Governance Should Be Integrated within Enterprise Governance
An IT governance framework helps boards and management understand the
issues and strategic importance of IT, and assists in ensuring that the
enterprise can sustain its operations and implement the strategies required to
extend its activities into the future. It provides assurance that expectations for
IT are met and IT risks are addressed.

IT governance fits in the broader governance arrangements that cover

relationships between the entity’s management and its governing body, its
owners and its other stakeholders. It provides the structure through which the
entity’s overall objectives are set, the method of attaining those objectives is
outlined and the manner in which performance will be monitored is
described.

In summary, IT governance ensures that IT goals are met and IT risks are
mitigated such that IT delivers value to sustain and grow the enterprise. IT
governance drives strategic alignment between IT and the business and must
judiciously measure performance.

IT is an integral part of the business. IT governance is an integral part of

enterprise governance.

10.2 IT Governance Roles and Responsibilities Need to be Defined

This document extensively points out the responsibilities of the board,
executive and IT strategy committee. Appendix F (IT Strategy Committee),
which further documents the workings of the IT strategy committee, also
covers the IT steering committee, which operates at executive level and
usually focuses on priority setting, resource allocation and project tracking.
A more complete picture of the roles of the business and IT executives, and
for the two other committees that typically support the CEO and the CIO in
setting and controlling technology (technology council) and architecture
standards (architecture review board), is provided in appendix E, Roles and
Responsibilities for IT Governance.

These two committees drive the standardisation, reuse and optimisation of IT

resources. Together with the IT strategy and IT steering committees, they
complete the emerging best practice of a three-tier IT governance structure:
strategy, steering and standards.
38 Board Briefing on IT Governance

Appendix E provides an overview of roles and responsibilities for board of

directors, IT strategy committee, CEO, business executives, CIO, IT
steering committee, technology council and architecture review board,
defined for each of the five IT governance domains:
• Strategic alignment
• Value delivery
• Risk management
• Resource management
• Performance measurement

These suggested roles and responsibilities are useful when implementing IT

governance in the enterprise.

10.3 An IT Governance Implementation Plan Is Required

To get its IT governance initiatives headed in the right direction, the
enterprise needs an effective action plan that suits its particular
circumstances and needs.

First, it is important for the board to take ownership of IT governance and

set the direction management should follow. This is best done by making
sure that the board operates with IT governance in mind:
• Making sure IT is on the board agenda
• Challenging management’s activities with regard to IT, to make sure IT
issues are uncovered
• Guiding management by helping it to align IT initiatives with real
business needs, and ensuring that it appreciates the potential impact on
the business of IT-related risks
• Insisting that IT performance be measured and reported to the board
• Establishing an IT strategy committee with responsibility for
communicating IT issues between the board and management
• Insisting that there be a management framework for IT governance
based on a common approach (e.g., COBIT)

With this mandate and direction in place, management then can initiate and
put into action an IT governance approach. To help management decide
where to begin and to ensure that the IT governance process delivers positive
results where they are needed most, the following steps are suggested:

1. Set up a governance organisational framework that will take IT

governance forward and own it as an initiative, with clear responsibilities
and objectives and participation from all interested parties.
 IT Governance Institute 39

2. Align IT strategy with business goals. What are the current business
concerns and issues where IT has a significant influence, e.g., cost
reduction, competitive advantage and/or merger/acquisition? Obtain a
good understanding of the business environment, risk appetite and
business strategy as they relate to IT. Identify the top IT issues on
management’s agenda.

3. Understand/define the risks. Given top management’s business

concerns, what are the risk indicators relating to IT’s ability to deliver
against these concerns? Consider:
– Previous history and patterns of performance
– Current IT organisational factors
– Complexity and size/scope of the existing or planned IT environment
– Inherent vulnerability of the current and planned IT environment
– Nature of the IT initiatives being considered, e.g., new systems
projects, outsourcing considerations, architectural changes

4. Define target areas. Identify the process areas in IT that are critical to
managing these risk areas. Use the COBIT process framework as a
guide.

5. Analyse current capability and identify gaps. Perform a maturity

capability assessment to find out where improvements are needed most.
Use COBIT’s management guidelines as a guide.

6. Develop improvement strategies. Decide which are the highest

priority projects that will help improve the management and governance
of these significant areas. This decision should be based on most
potential benefit and ease of implementation, and a focus on important
IT processes and core competencies. Define specific IT governance
projects as the first step in the IT governance continuous improvement
initiative.

7. Measure results. Establish a balanced scorecard mechanism for

measuring current performance. Monitor the results of new
improvements considering, as a minimum, the following key
considerations:
– Will the organisational structures support strategy implementation?
– Are responsibilities for risk management embedded in the
organisation?
– Do infrastructures exist that will facilitate and support the creation
and sharing of vital business information?
– Have strategies and goals been communicated effectively to everyone
who needs to know within the organisation?

8. Repeat steps 2-7 on a regular basis.

40 Board Briefing on IT Governance

There are also some obvious but pragmatic rules that management ought
to follow:
• Treat the IT governance initiative as a project activity with a series of
phases rather than a “one-off” step.
• Remember that IT governance involves cultural change as well as new
processes, and therefore a key success factor is the enablement and
motivation of these changes.
• Make sure there is a clear understanding of the objectives.
• Manage expectations. In most enterprises, achieving successful
oversight of IT will take some time and is a continuous improvement
process.
• Focus first on where it is easiest to make changes and deliver
improvements. Build from there one step at a time.

A more complete description of the IT governance implementation road map

can be found in IT Governance Implementation Guide (IT Governance
Institute, 2003).
 IT Governance Institute 41

APPENDICES
42 Board Briefing on IT Governance

Appendix A—IT Governance Checklist

V = IT Value Delivery; A = IT Strategic Alignment; M = IT Resource Management; R = Risk Management; P = Performance

Questions to Ask to Uncover IT Issues V A M R P

Is it clear what IT is doing? ✔
How often do IT projects fail to deliver what they promised? ✔ ✔
Are end users satisfied with the quality of the IT service? ✔
Are sufficient IT resources and infrastructure available to meet
required enterprise strategic objectives? ✔ ✔
Are IT core competencies maintained at a sufficient level to meet
required enterprise strategic objectives? ✔
How well are IT outsourcing agreements being managed? ✔ ✔ ✔ ✔
What has been the average overrun of IT operational budgets? ✔
How often and how much do IT projects go over budget? ✔
How long does it take to make major IT decisions? ✔ ✔
Are the total IT effort and investments transparent? ✔ ✔
How much of the IT effort goes to firefighting rather than
enabling business improvements? ✔ ✔
Is the enterprise’s internal IT skill set decreasing? How successfully
are skilled IT resources attracted to the organisation? ✔ ✔ ✔
What is the percentage of revenue (revenue can be replaced by budget
for the public sector) spent on IT compared to the industry average?
How has it evolved over the years? ✔ ✔
What is the amount spent on IT compared to the enterprise’s
entire profit (profit can be replaced by budget for the public sector)? ✔ ✔
Does IT support the enterprise in complying with regulations and
service levels? ✔ ✔
How well do the enterprise and IT align their objectives? ✔

Questions to Ask to Find Out How Management

Addresses the IT Issues V A M R P
How critical is IT to sustaining the enterprise? How critical is IT
to growing the enterprise? ✔ ✔ ✔
What strategic initiatives has executive management taken to
manage IT’s criticality relative to maintenance and growth of the
enterprise, and are they appropriate? ✔
What is the organisation doing about leveraging its knowledge to
increase stakeholder value? ✔ ✔
What IT assets are there and how are they managed? ✔ ✔
Are suitable IT resources, infrastructures and skills available to
meet the required enterprise strategic objectives? ✔ ✔
Is the enterprise clear on its position relative to technology:
pioneer, early adopter, follower or laggard? ✔ ✔
Is IT participating in overall corporate change-setting and strategic
direction? Do IT practices and IT culture support and encourage
change within the enterprise? ✔
Does the enterprise research technology, process and business
prospects to set direction for future growth? ✔ ✔
 IT Governance Institute 43

Questions to Ask to Find Out How Management

Addresses the IT Issues, continued V A M R P
Are enterprise and IT objectives linked and synchronised? ✔
Is the enterprise clear on its position relative to risks:
risk-avoiding or risk-taking? ✔
Is there an up-to-date inventory of risks relevant to the enterprise? ✔
What has been done to address these risks? ✔
How far should the enterprise go in risk mitigation and is the cost
justified by the benefit? ✔
What is management doing to address risks? ✔
Is the board regularly briefed on risks to which the enterprise
is exposed? ✔
Based on these questions, can the enterprise be said to be taking
“reasonable”precautions relative to technology risks? ✔ ✔ ✔
What are other similar organisations doing, and how is the
enterprise placed in relation to them, relative to value, risk and
resource managment? ✔
What is industry best practice and how does the enterprise compare,
relative to value, risk and resource managment? ✔

Questions to Ask to Self-Assess IT Governance Practices V A M R P

How certain is the board about the answers provided to the above
questions? ✔
Is the board aware of the latest developments in IT from a business
perspective? ✔ ✔
Is IT a regular item on the agenda of the board and is it addressed
in a structured manner? ✔
Does the board articulate and communicate the business direction
to which IT should be aligned? ✔
Is the board aware of potential conflicts between the enterprise
divisions and the IT function? ✔ ✔
Does the board have a view on how and how much the enterprise
invests in IT compared to other like organisations? ✔ ✔ ✔
Is the reporting level of the most senior IT manager commensurate
with the importance of IT? ✔
Does the board have a clear view on the major IT investments from
a risk and return perspective? ✔ ✔ ✔
Does the board obtain regular progress reports on major IT
projects? ✔ ✔
Does the board obtain IT performance reports illustrating the
value of IT from a business driver perspective (customer service,
cost, agility, quality, etc.)? ✔ ✔
Is the board regularly briefed on IT risks to which the enterprise is
exposed, including compliance risks? ✔
Is the board assured of the fact that suitable IT resources,
infrastructures and skills are available (including external resourcing)
to meet the required enterprise strategic objectives? ✔ ✔
Is the board getting independent assurance on the achievement of
IT objectives and the containment of IT risks? ✔ ✔ ✔
 44 Board Briefing on IT Governance

Appendix B—Board IT Governance Tool Kit

IT Governance Activities Board and/or Activity IT Governance Activities Board and/or Activity
Management Type Management Type
Become informed of role and Make transformation happen B/M Direct
impact of IT on the enterprise B/M Plan Define constraints within which
Set direction and expected return B Direct to operate B Direct
Determine required capabilities Acquire and mobilise resources M Organise
and investments M Plan Measure performance B Control
Assign responsibilities B/M Direct Manage risk B/M Control
Sustain current operations M Organise Obtain assurance B Control

Best Practices V A M R P
Asking the right questions (nonexecutive board members do not need to know the answers, they need to
know the questions) ✔ ✔✔ ✔ ✔
Understanding the answers to their questions to ask appropriate follow-ups and understand the
implications for the enterprise ✔ ✔✔ ✔ ✔
Embedding into the enterprise an IT governance structure that is accountable, effective and transparent,
with defined activities and purposes and with unambiguous responsibilities ✔ ✔✔ ✔ ✔
Establishing an audit committee that considers what the significant risks are; assesses how they are
identified, evaluated and managed; commissions IT and security audits and rigorously follows up closure
of subsequent recommendations ✔ ✔
Appointing and overseeing an internal audit function with a direct reporting line to the chief executive
and the audit committee, and possibly an independent external auditor as well as other third-party reviewers ✔ ✔ ✔✔
Defining the scope and charter of the audit committee; securing annual opinion letters, management control
assertions and compliance letters, also covering IT and security ✔ ✔
Monitoring how management determines what IT resources are needed to achieve strategic objectives ✔ ✔✔
Ensuring major IT development projects are aligned with the business strategy and have an approved
business case which clearly demonstrate value and how it will be measured ✔✔ ✔
Paying special attention to IT control failures and weaknesses in internal control and their actual and potential
impact, while considering whether management acts promptly on them and whether more monitoring is required ✔ ✔✔
Evaluating the scope and quality of management’s ongoing monitoring of IT risks and controls ✔ ✔✔
Creating an IT strategy committee of the board that reviews major investments on behalf of the full board
and advises management on strategic directions ✔ ✔✔
Developing a process for making the return vs. risk balance explicit and measurable while accepting a
balanced failure/success ratio in the portfolio of innovation projects ✔ ✔✔
Assessing senior management’s performance on strategies in operation and whether they are strongly and
clearly communicated across the enterprise and are understood ✔ ✔
Ascertaining that risk analysis is part of management’s strategic planning process and considers the
vulnerabilities of the IT infrastructure and the exposure of intangible assets ✔
Getting involved in defining useful strategic IT metrics and IT performance measures ✔✔ ✔
V = IT Value Delivery; A = IT Strategic Alignment; M = IT Resource Management; R = Risk Management; P = Performance

Critical Success Factors

Consideration of IT as an integral part of the enterprise, not something to be relegated to a technical function; IT strategy as
an integral part of enterprise strategy; and IT governance as an integral part of enterprise governance
Awareness of IT’s criticality to the enterprise and ensuing formal acceptance of responsibility by management who engage
specialists to assist them
Definition of IT governance activities with a clear purpose, and their documentation and implementation, based on
enterprise needs; no ambiguous accountabilities
Audit committee members with relevant background and exposure in technology risk
Ability to work well with partners and suppliers in support of the extended enterprise
Focus on the enterprise goals, strategic initiatives, the use of technology to enhance the enterprise and on the availability
of sufficient resources and capabilities to keep up with the business demands
Informal channels of communications with management and external auditors to create a culture of openness
A code of conduct established in co-operation between management and board, which is reviewed for compliance and
formally signed off by senior management
Implementation of a strategic management system that provides visibility to the IT governance issues of IS strategic
alignment, value delivery, risk management, resource management and service performance
 IT Governance Institute 45

IT Governance Subjects
The objectives of IT—how it:
• Improves cost-efficiencies
• Creates revenue enhancement
• Supports the building of new capabilities
• Enables core business processes (typically, those that differentiate and add value to products and services
in the marketplace and over time)
• Enables new business models
The opportunities and risks of new technology:
• Internet and intranet
• E-commerce
• Mobile computing
• Workflow technology
• Knowledge systems, etc.
The key processes and core competencies:
• The return on investment of IT projects and initiatives, and how they deliver against expectations
• Performance of IT services against service level agreements
• IT risks, asset protection and information security
• IT acquisition and outsourcing strategies
• Important IT processes such as change, application and problem management
• Core IT competencies: planning, support, operations, project management, knowledge management
• Ethical behavior, data privacy and fraud prevention

Outcome Measures
Enhanced performance and cost management
Measurable contribution from IT to fast introduction of innovative products and services
Improved return on major IT investments
Appropriately integrated and standardised enterprise processes
Outreach to new and satisfaction of existing customers
Adherence to stakeholder requirements and expectations, on budget and on time
Adherence to laws, regulations, industry standards and contractual commitments
Transparency on risk-taking and adherence to the agreed organisational risk profile
Creation of new service delivery channels
Increased satisfaction of stakeholders (survey and number of complaints)
Business cases that demonstrate a high potential return on investment

Performance Drivers
Extent and frequency of risk and control reporting to the board
Improved cost-efficiency of IT processes (costs vs. deliverables)
Increased number of enterprise transformation projects enabled by IT
Increased utilisation of IT infrastructure
Improved staff productivity (number of deliverables) and morale (survey)
Increased availability of knowledge and information for managing the enterprise
Increased linkage between IT and enterprise governance
Improved performance as measured by IT balanced scorecards
Benchmarking comparisons of IT governance maturity
 46 Board Briefing on IT Governance

Appendix C—Management IT Governance Tool Kit

IT Governance Activities Board and/or Activity IT Governance Activities Board and/or Activity
Management Type Management Type
Become informed of role and impact Make transformation happen B/M Direct
of IT on the enterprise B/M Plan Define constraints within which to
Set direction and expected return B Direct operate B Direct
Determine required capabilities and Acquire and mobilise resources M Organise
investments M Plan Measure performance B Control
Assign responsibilities B/M Direct Manage risk B/M Control
Sustain current operations M Organise Obtain assurance B Control

Best Practices V A M R P
Aggressively aligning enterprise and IT strategies and objectives ✔
Enabling a growing knowledge base on customers, products, markets and processes ✔
Communicating goals and objectives strongly and clearly across the enterprise and ensuring they are
understood and provide clarity of purpose to all stakeholders ✔
Establishing an IT council (involving the CIO and senior business managers) that sets priorities for IT
initiatives and assigns ownership for IT-enabled business opportunities ✔ ✔
Developing and applying control practices that increase transparency, reduce complexity, promote
learning and provide flexibility ✔ ✔ ✔
Establishing an IT balanced scorecard (including its approval by key stakeholders) to measure IT
performance along different dimensions: financial aspects, customer satisfaction, process effectiveness
and future capability, and reward IT management based on measures that usually include: scheduled
uptime, service levels, transaction throughput and response times and application availability ✔
Instituting control practices that avoid breakdowns in internal control and oversight, increase efficient
and optimal use of resources and increase the effectiveness of IT processes ✔ ✔✔
Integrating and providing smooth interoperability of the more complex IT processes such as problem,
change and configuration management ✔
Having a general manager (CEO) who mediates/reconciles between imperatives of the business and of
the technology ✔
Managing supplier risk through relationship management, escrow, second sourcing or by acquiring
an interest in the supplier organisation ✔✔
Using extensive automated monitoring practices, leveraging IT to measure its own performance; tracking
performance measures, effectiveness of internal control systems and status of improvement activities ✔ ✔ ✔
Embedding clear accountabilities for control over IT and for risk management into the organisation,
balancing disciplinary action and reward, enabling fast and professional response to IT governance issues ✔ ✔ ✔
Cascading business and IT goals down into the organisation and translating them into actions for the
people at each level in their terms of responsibility, all the way down to the individual ✔ ✔
Taking co-responsibility of business and IT for success and return of business value of IT endeavors ✔ ✔ ✔
Providing an infrastructure to facilitate the creation and sharing of business information that:
• Is flexible and able to be integrated and maintained
• Is functional, cost-effective, timely, secure and resilient to failure
• Logically extends, maintains and manages disparate legacy systems and new applications
• Ensures standard, reusable and modular applications and components ✔ ✔
V = IT Value Delivery; A = IT Strategic Alignment; M = IT Resource Management; R = Risk Management; P = Performance
Critical Success Factors
Management that is goal-focused and has the appropriate information on markets, customers and internal processes
A business culture that establishes accountability, encourages cross-divisional co-operation and teamwork, promotes
continuous process improvement and handles failure well
Organisational practices that enable sound oversight, a control culture, risk assessment as standard practice and appropriate
adherence to established standards
Rigorous monitoring of and follow-up on control deficiencies and risks
User involvement in IT initiatives and IT managers’involvement in business initiatives
Ability to work well with outside parties
Understanding that building complex systems is very hard and prone to failure
IT managers with a “compulsion for sucessful completion”
Cognisance that value chains do not remain static, that components do not “plug and play”and that bandwidth is not free
Sensitivity to the fact that IT architectures remain inflexible and difficult to integrate
Awareness that skilled IT resources are the working capital of successful IT operations and that IT skills demand and supply
frequently will not be in balance
Ability to acquire and manage knowledge about customers, products, channels, services, competitors, complementors and
processes
Understanding of the complexity of IT, especially for the extended enterprise operating in the networked economy
 IT Governance Institute 47

IT Governance Subjects
The objectives of IT—how it:
• Improves cost-efficiencies
• Creates revenue enhancement
• Supports the building of new capabilities
• Enables core business processes (typically, those that differentiate and add value over products and services in
the marketplace and over time)
• Enables new business models
The opportunities and risks of new technology:
• Internet and intranet
• E-commerce
• Mobile computing
• Workflow technology
• Knowledge systems, etc.
The key processes and core competencies:
• The return on investment of IT projects and initiatives, and how they deliver against expectations
• Performance of IT services against service level agreements
• IT risks, asset protection and information security
• IT acquisition and outsourcing strategies
• Important IT processes such as change, application and problem management
• Core IT competencies: planning, support, operations, project management, knowledge management
• Ethical behavior, data privacy and fraud prevention

Outcome Measures
Actual availability of systems and services and increasing level of service delivery
Absence of integrity and confidentiality risks
Confirmation of reliability and effectiveness
Adherence to development cost and schedule
Deviation between estimated and actual costs
Staff productivity and morale
Number of timely changes to processes and systems
Increased satisfaction of IT users and stakeholders
Improved productivity (e.g., delivery of value per employee, number of customers and cost per
customer served)
Number of noncompliance reports
Cost-efficiency of processes and operations

Performance Drivers
System downtime
Throughput and response times
Amount of errors and rework
Availability of appropriate bandwidth, computing power and IT delivery mechanisms
Number of staff trained in new technology and customer service skills
Benchmark comparisons
Reduction in development and processing time
Increased number of IT action plans for process improvement initiatives
Improved performance measurement process by use of IT balanced scorecards
48 Board Briefing on IT Governance IT Governance Institute 48

Appendix D—IT Governance Maturity Model

Non-
existent Initial Repeatable Defined Managed Optimised

0 1 2 3 4 5

LEGEND FOR SYMBOLS USED LEGEND FOR RANKINGS USED

Enterprise current status 0 Nonexistent – Management processes are not applied at all
1 Initial – Processes are ad hoc and disorganised
International standard 2 Repeatable – Processes follow a regular pattern
guidelines
3 Defined – Processes are documented and communicated
Industry best practice
4 Managed – Processes are monitored and measured
Enterprise strategy 5 Optimised – Best practices are followed and automated

0 Nonexistent
There is no senior management oversight of IT-related activities to ensure
that the enterprise’s IT goals add value to the organisation and to ensure that
IT-related risks are appropriately managed.

1 Initial/Ad Hoc
The concept of IT governance does not exist formally and oversight is based
mostly on management’s consideration of IT-related issues on a case-by-case
basis. The governance of IT depends on the initiative and experience of the
IT management team, with limited input from the rest of the organisation.
Upper management is involved only when there are major problems or
successes. The measurement of IT performance is typically limited to
technical measures and only within the IT function.

2 Repeatable but Intuitive

There is a realisation that more formalised oversight of IT is required and it
needs to be a shared management responsibility requiring the support of top
management. Regular governance practices such as review meetings,
creation of performance reports, and investigation into problems take place,
but rely mostly on the initiative of the IT management team, with voluntary
or co-opted participation by key business stakeholders, depending on current
IT projects and priorities. Problems identified are tackled on a project basis
with teams formed as necessary to undertake improvements.

3 Defined Process
An organisational and process framework has been defined for oversight and
management of IT activities and is being introduced to the organisation as
the basis for IT governance. The board has issued guidance, which has been
 IT Governance Institute 49

developed into specific procedures for management covering key governance

activities. These include regular target-setting, reviews of performance,
assessments of capability against planned needs, and project planning and
funding for any necessary IT improvements. Previous informal but
successful practices have been institutionalised and the techniques followed
are relatively simple and unsophisticated.

4 Managed and Measurable

Target-setting has developed to a fairly sophisticated stage with relationships
between outcome goals in business terms, and IT process improvement
measures now well understood. Real results have been communicated to
management in the form of a balanced scorecard. The enterprise’s
management team is now working together for the common goal of
maximising IT value delivery and managing IT-related risks. There have
been regular assessments of IT capabilities and projects have been completed
that have delivered real improvements to IT’s performance. Relationships
among the IT function, its users in the business community and external
service providers are now based on service definitions and service
agreements.

5 Optimised
The IT governance practices have developed into a sophisticated approach
using effective and efficient techniques. There is true transparency of IT
activities, and the board feels in control of the IT strategy. IT activities have
been optimally directed toward real business priorities, and the value being
delivered to the enterprise can be measured and steps taken on a timely basis
to correct significant deviations or problems. The balanced scorecard
approach has evolved into one that is focused on the most important
measures relevant to the enterprise’s overall business strategy. The effort
spent on risk management (and on IT management activities generally) has
been streamlined through adoption of standardised and, where possible,
automated processes. The practice of continuous improvement of IT
capability is embedded in the culture and this includes regular external
benchmarking and independent audits providing positive assurance to
management. Overall, the cost of IT is monitored effectively and the
organisation is able to achieve optimal IT spending through continuous
internal improvements, the effective outsourcing of selected services and
effective negotiation with vendors. When dealing with external business
partners or service providers, the organisation is able to demonstrate
first-class performance and demand best practices from others.
 50

1. Board of directors

Strategic Alignment Value Delivery IT Resource Management Risk Management Performance Management

Board of • Ensure management has put in place • Ascertain that management has put • Monitor how management • Be aware about IT risk exposures • Assess senior management’s
an effective strategic planning processes and practices in place that determines what IT resources are and their containment performance on IT strategies in
Directors process ensure IT delivers provable value to needed to achieve strategic goals • Evaluate the effectiveness of operation
Board Briefing on IT Governance

• Ratify the aligned business and IT the business • Ensure a proper balance of IT management’s monitoring of IT • Work with the executive to define
strategy • Ensure IT investments represent a investments for sustaining and risks and monitor high-level IT
• Ensure the IT organisational balance of risk and benefit and that growing the enterprise performance
structure complements the business budgets are acceptable
model and direction

IT Strategy • Provide strategy direction and the • Confirm that the IT/business • Provide high-level direction for • Ascertain that management has • Verify strategy compliance, i.e.,
alignment of IT and the business architecture is designed to drive sourcing and use of IT resources, resources in place to ensure proper achievement of strategic IT
Committee
• Issue high-level policy guidance maximum business value from IT e.g., strategic alliances management of IT risks objectives
(e.g., risk, funding, sourcing, • Oversee the delivery of value by IT • Oversee the aggregate funding of IT • Take into account risk aspects of IT • Review the measurement of IT
partnering) to the enterprise at the enterprise level investments performance and the contribution
• Verify strategy compliance (e.g., • Take into account return and • Confirm that critical risks have been of IT to the business (i.e., delivering
achievement of strategic goals and competitive aspects of IT managed the promised business value)
objectives) investments
Appendix E—Roles and Responsibilities for IT Governance
2. Executive management

Strategic Alignment Value Delivery IT Resource Management Risk Management Performance Management
CEO • Align and integrate IT strategy • Direct the optimisation of IT costs • Ensure the organisation is in the • Adopt a risk, control and • Obtain assurance of the
with business goals • Establish co-responsibility between best position to capitalise on its governance framework performance, control and risks of
• Align IT operations with business the business and IT for IT information and knowledge • Embed responsibilities for risk IT and independent comfort about
operations investments • Establish business priorities and management in the organisation major IT decisions
• Cascade strategy and goals down • Ensure the IT budget and allocate resources to enable effective • Monitor IT risk and accept residual • Work with the CIO on developing
into the organisation investment plan is realistic and IT performance IT risks an IT balanced scorecard ensuring it
• Mediate between imperatives of integrate into the overall financial • Set up organisational structures and is properly linked to business goals
the business and of the technology plan responsibilities that facilitate IT
• Ensure that financial reporting has strategy implementation
accurate accounting of IT • Define and support the CIO’s role,
ensuring the CIO is a key business
player and part of executive
decision-making

Business • Understand the enterprise’s IT • Approve and control service levels • Allocate business resources required • Provide business impact assessments • Sign off on the IT balanced
organisation, infrastructure and • Act as customer for available IT to ensure effective IT governance to the enterprise risk management scorecard
Executives
capabilities services over projects and operations process • Monitor service levels
• Drive the definition of business • Identify and acquire new IT services • Provide priorities for addressing IT
requirements and own them • Assess and publish operational performance problems and
• Act as sponsor for major IT projects benefits of owned IT investments corrective actions

CIO • Drive IT strategy development and • Clarify and demonstrate the value • Provide IT infrastructures that • Assess risks, mitigate efficiently and • Ensure the day-to-day management
execute against it, ensuring of IT facilitate creation and sharing of make risks transparent to the and verification of IT processes and
measurable value is delivered on • Proactively seek ways to increase IT business information at optimal cost stakeholders controls
time and budget, currently and in value contribution • Ensure the availability of suitable • Implement an IT control framework • Implement an IT balanced scorecard
the future • Link IT budgets to strategic aims IT resources, skills and • Ensure that roles critical for with few but precise performance
• Implement IT standards and policies and objectives infrastructure to meet the strategic managing IT risks are appropriately measures directly and demonstrably
• Educate executives on dependence • Manage business and executive objectives defined and staffed linked to the strategy
on IT, IT-related costs, technology expectations relative to IT • Ensure that roles critical for driving
issues and insights, and IT • Establish strong IT project maximum value from IT are
capabilities management disciplines appropriately defined and staffed
• Standardise architectures and
IT Governance Institute 51

technology
 52

3. Committees supporting the executives and the CIO, usually coordinated by the CIO project office,9 chief architect,
chief technology officer, etc.

Strategic Alignment Value Delivery IT Resource Management Risk Management Performance Management

IT Steering • Define project priorities • Review, approve and fund initiatives, • Balance investments between • Ensure all projects have a project • Define project success measures
• Assess strategic fit of proposals assessing how they improve business supporting and growing the risk management component • Follow progress on major IT
Committee
• Perform portfolio reviews for processes enterprise • Act as sponsor of the control, risk projects
continuing strategic relevance • Ensure identification of all costs and governance framework • Monitor and direct key IT
and fulfillment of cost/benefit • Make key IT governance decisions governance processes
Board Briefing on IT Governance

analysis
• Perform portfolio reviews for cost
optimisation

Technology • Provide technology guidelines • Consult/advise on the selection of • Advise on infrastructure products • Ensure vulnerability assessments of • Verify compliance with technology
• Monitor relevance of latest technology within standards • Direct technology standards and new technology occur standards and guidelines
Council
developments in IT from a business • Assist in variance review practices
perspective

IT • Provide architecture guidelines • Consult/advise on the application of • Direct IT architecture design • Ensure that the IT architecture • Verify compliance with architecture
architecture guidelines reflects the need for legislative and guidelines
Architecture
regulatory compliance, the ethical
Review use of information and business
Board continuity

9
The project office (PO) is a staff function supporting the CIO, developed in response to complex project managment requirements in larger organisations. The PO
manages the project portfolio and the project managers, sets and enforces project management standards, manages priority and resource conflicts, reviews project
deliverables and reports on consolidated project results.
 IT Governance Institute 53

Appendix F—IT Strategy Committee

Many boards carry out their governance duties through committees that oversee critical
areas such as audit, compensation and acquisitions. Boards also need to assess the
criticality of IT in the enterprise for which they are responsible. One of the most effective
mechanisms for establishing governance over IT is the IT strategy committee. This
committee is charged with considering how the board should become involved in IT
governance, how to integrate the board’s role in IT and business strategy, and the extent to
which the committee has an ongoing role in IT governance.

However, boards and executive management may be reluctant to deploy an IT strategy

committee for a variety of reasons:
• Top management is not as well versed in technical issues as it is in other aspects of
the business.
• IT is seen only as an expense and there is insufficient awareness of the actual
importance/criticality of IT.
• Budget and/or time restrictions exist, i.e., there is reluctance to participate in “yet
another” committee.
• CEOs may wish to avoid inviting additional board involvement in enterprise affairs.
• Boards may not wish to undermine the authority of the CEO and CIO.

The establishment of a well-balanced IT strategy committee with ex-officio representation

of key executives and composed of informed members of the board, assisted as necessary
with external expertise, will help overcome these obstacles.

How To Get Started

IT strategy committees often limit their scope to providing direction to ensure that IT is
aligned with current and future business strategies. However, the IT strategy committee is
well placed to assist the board on all aspects of IT governance, notably the monitoring of
the successful implementation of the strategic plans. This is best achieved by performance
measurement—for example, through an IT balanced scorecard—enabling management
and the board to correct deviations and adjust the strategy as needed.

The following pages describe—through a charter, a generic approach and some

guidelines—how to initiate an effective IT strategy committee.
54 Board Briefing on IT Governance

IT Strategy Committee Charter

Name
IT Strategy Committee of the Board of Directors

Purpose
To assist the board in governing and overseeing the enterprise’s IT-related
matters

Goal
The committee needs to ensure that IT is a regular item on the board’s
agenda and that it is addressed in a structured manner. In addition, the
committee must ensure that the board has the information it needs to make
informed decisions that are essential to achieve the ultimate objectives of IT
governance. Those objectives are:10
• The alignment of IT and the business
• The delivery of value by IT to the business
• The sourcing and use of IT resources
• The management of IT-related risks
• The measurement of IT performance

These goals are interdependent and complementary. Achievement of one can

be undone by failure on another.

Responsibility
The board must receive sound information to make informed decisions.
While it is the responsibility of management to provide that information, it is
the responsibility of the IT strategy committee to ensure that management is
following through on its obligation. More specifically, the committee needs
to offer expert insight into and timely advice and direction on topics such as:
• The relevance of the latest developments in IT from a business
perspective
• The alignment of IT with the business direction
• The achievement of strategic IT objectives
• The availability of suitable IT resources, skills and infrastructure to
meet the strategic objectives
• Optimisation of IT costs
• The role and the value delivery of external IT sourcing
• Risk, return and competitive aspects of IT investments
• Progress on major IT projects
• The contribution of IT to the business (i.e., delivering the promised
business value)
• Exposure to IT risks, including compliance risks
• Containment of risks

10
The IT governance framework, as addressed by the IT Governance Institute in the Board Briefing on IT
Governance, June 2001
 IT Governance Institute 55

Authority
The IT strategy committee operates at the board level but neither assumes
the board’s governance accountability nor makes final decisions. Neither
does it play a role in day-to-day management. It acts solely as an advisor to
the board and management on current and future IT-related issues.

The IT strategy committee must work in partnership with the other board
committees and management to provide input to, review and amend the
aligned corporate and IT strategies. Possible partnerships are with:
• The audit committee, on major IT risks
• The business strategy committee, on value delivery and alignment
• The compensation committee, on performance measurement
• The finance committee, for major IT resource investments

Executive management drives strategy development and takes responsibility

for implementing the strategy after obtaining input and approval from the
board and the relevant committees.

The detailed implementation of the IT strategy is the responsibility of

executive management, assisted by one or more IT steering committees.
Typically, such steering committees have the specific responsibility for
overseeing a major project or managing IT priorities and IT resource
allocation. To illustrate the important distinctions between the IT strategy
committee and IT steering committees, see table 1, Comparison of Typical
IT Strategy Committee and IT Steering Committee Responsibilities.

The responsibilities of these committees need to be aligned and integrated

with:
• The overall responsibility of the board for approving the strategy and
overseeing management’s execution of it
• The overall management responsibilities for strategy development,
management of IT risks and the evaluation of IT performance

Also, in practice, the distribution of responsibilities among these committees,

the board of directors, executive management and the CIO may differ
depending on the organisation’s culture, history and structure, as well as
particular circumstances.
56 Board Briefing on IT Governance

Membership
The IT strategy committee is composed of a chairman, several board and
nonboard members and ex-officio representation of key executives. The
chairman should be a board member. The members should be selected on the
basis of their knowledge and expertise in understanding the business impacts
of information and related technology. (The selection criteria need to be
customised depending on the business context in which the enterprise
operates.)

To ensure that there is enough technical expertise in the committee, the

board may choose to select IT experts to serve as external advisors.
Regardless of the number of specialist members, it is important that at least
two board members remain active in the committee so the board is
adequately represented.

The success of the IT strategy committee depends on an objective and

business-oriented understanding of the organisation’s IT issues. An effective
mix of members who understand the business operations and can challenge
IT assumptions is likely to increase the IT strategy committee’s success in
achieving its goals. For this reason, the committee should be encouraged to
seek and capitalise on external expertise while remaining mindful of
confidentiality requirements.

Meetings
The IT strategy committee should meet when needed and as often as needed
to accomplish its duties. The committee should report its findings and
recommendations to the board. In addition, the committee’s meeting agenda,
minutes and supporting documents should be provided to the board so that
board members not sitting on the committee may submit their comments to
the committee chairman.
 IT Governance Institute 57

Table 1: Comparison of Typical IT Strategy Committee and IT Steering Committee

Responsibilities

IT Strategy Committee IT Steering Committee

Level • Board level • Executive level

• Provides insight and advice to the • Decides the overall level of IT

board on topics such as: spending and how costs will be
— The relevance of developments in allocated
IT from a business perspective • Aligns and approves the enterprise
— The alignment of IT with the IT architecture
business direction • Approves project plans and budgets,
— The achievement of strategic IT setting priorities and milestones
objectives • Acquires and assigns appropriate
— The availability of suitable IT resources
resources, skills and • Ensures projects continuously meet
infrastructure to meet the business requirements, including
strategic objectives reevaluation of the business case
— Optimisation of IT costs, • Monitors project plans for delivery
including the role and value of expected value and desired
Responsibility delivery of external IT sourcing outcomes, on time and within budget
— Risk, return and competitive • Monitors resource and priority
aspects of IT investments conflict between enterprise divisions
— Progress on major IT projects and the IT function, and between
— The contribution of IT to the projects
business (i.e., delivering the • Makes recommendations and
promised business value) requests for changes to strategic
— Exposure to IT risks, including plans (priorities, funding, technology
compliance risks approaches, resources, etc.)
— Containment of IT risks • Communicates strategic goals to
• Provides direction to management project teams
relative to IT strategy • Is a major contributor to
• Is driver and catalyst for the board’s management’s IT governance
IT governance practices responsibilities

• Advises the board and management • Assists the executive in the delivery
on IT strategy of the IT strategy
• Is delegated by the board to provide • Oversees day-to-day management of
input to the strategy and prepare its IT service delivery and IT projects
Authority approval • Focuses on implementation
• Focuses on current and future
strategic IT issues

• Board members and (specialist) • Sponsoring executive

nonboard members • Business executive (key users)
• CIO
Membership • Key advisors as required (IT, audit,
legal, finance)
58 Board Briefing on IT Governance

Appendix G—Regulatory Reports and Emerging Standards on Governance

Committee of Sponsoring Organisations of the Treadway Commission (COSO)
The National Commission on Fraudulent Financial Reporting, known as the Treadway
Commission, was created in 1985 by the joint sponsorship of the American Institute of
Certified Public Accountants (AICPA), American Accounting Association, Financial
Executives International (FEI), Institute of Internal Auditors (IIA) and Institute of
Management Accountants (IMA, formerly the National Association of Accountants). The
Treadway Commission had as its major objectives to identify the causal factors of
fraudulent financial reporting and make recommendations to reduce its incidence.

Based on the Treadway recommendations, a task force under the auspices of the
Committee of Sponsoring Organisations of the Treadway Commission (COSO) undertook
a project to provide practical, broadly accepted criteria for establishing internal control and
evaluating its effectiveness. In 1992 Internal Control—Integrated Framework was issued.
This report is commonly referred to as the COSO framework.

COSO broadly defines internal control as a process, effected by an entity’s board of

directors, management and other personnel, designed to provide reasonable assurance
regarding the achievement of objectives in the following categories:
• Effectiveness and efficiency of operations
• Reliability of financial reporting
• Compliance with applicable laws and regulations

The COSO framework has been adopted by many private sector and government
organisations. The framework has also influenced the development of other control and
management frameworks, such as COBIT.

Most recently, the COSO framework has been identified as meeting the framework
requirements of Section 404 of the Sarbanes-Oxley Act. Under these rules, management
must disclose any material weakness and is unable to conclude that the company’s internal
control over financial reporting is effective if there are one or more material weaknesses in
such control. Furthermore, the framework on which management’s evaluation is based
must be a suitable, recognised control framework that is established by a body or group
that has followed due process procedures, including the broad distribution of the
framework for public comment.
 IT Governance Institute 59

Report of the Committee on the Financial Aspects of Corporate

Governance (Cadbury Report, 1992)
The Cadbury Report makes recommendations on good practice covering the
responsibilities of executive and nonexecutive directors in reviewing and
reporting information to shareholders. It covers the rationale for and
composition of audit committees, the responsibilities of auditors and the
extent and value of the audit, and the links between shareholders, boards and
auditors.

It recommends a code of best practice based on openness, integrity and

accountability to improve standards of corporate behaviour and strengthen
controls over businesses and their public accountability while retaining the
essential spirit of the enterprise. It identifies board responsibilities for
governance, including setting strategic aims, providing leadership,
supervising management and reporting to shareholders on their stewardship.
The audit role defined is to provide an effective external and objective check
on the reporting to shareholders. All entities are encouraged to have an audit
committee. The report stresses the need for balanced and understandable
reporting of present and future prospects in both numerical and explanatory
terms.

The recommendations in this report have been of profound influence in

establishing corporate governance in the UK and many other countries, and
while the report was aimed at financial reporting and auditing, it alludes to
wider concepts of governance.

Internal Control: Guidance for Directors on the Combined Code (Turnbull

Report, 1999)
The Turnbull Report calls for increasing emphasis on a broader corporate
governance role for audit committees. It reiterates that the board should
maintain a sound system of internal control to safeguard the shareholders’
investments in the company’s assets.

This system of internal control is all the policies and practices that together
support a company’s effective and efficient operation. It also enables the
organisation to respond to significant risks (operational, financial,
compliance, etc.). Even though it is delegated to management, the board is
ultimately responsible for this system of internal control.

To exercise that responsibility, the board should assure that (1) there are
appropriate and effective processes to monitor risks and (2) the system of
internal control is effective in reducing those risks to an acceptable level. In
doing so, the board has to determine what is acceptable and not acceptable
risk; what is likely and less likely to happen; what is the company’s ability to
deal with it if it does happen; and what is the cost/benefit of risk mitigation.
60 Board Briefing on IT Governance

Organisation for Economic Co-operation and Development, Principles of

Corporate Governance (1998)
The Organisation for Economic Co-operation and Development’s principles
draw heavily on governance concepts currently in the literature and are
presented in five areas:
• The rights of shareholders
• The equitable treatment of shareholders
• The role of stakeholders
• Disclosure and transparency
• The responsibilities of the board

The last area should be of interest to board members and also has
applicability to IT governance as illustrated by the following excerpts from
the OECD principles:

The corporate governance framework should ensure the strategic guidance

of the company, the effective monitoring of management by the Board, and
the Board’s accountability to the company and the shareholders.

The Board should ensure compliance with applicable law and take into
account the interests of stakeholders.

The Board should fulfill certain key functions, including:

• Reviewing and guiding corporate strategy, major plans of action, risk
policy, annual budgets and business plans; setting performance
objectives; monitoring implementation and corporate performance; and
overseeing major capital expenditures, acquisitions and divestitures.
• Ensuring the integrity of the corporation’s accounting and financial
reporting systems, including the independent audit, and that
appropriate systems of control are in place, in particular, systems for
monitoring risk, financial control, and compliance with the law.

In order to fulfill their responsibilities, Board members should have access

to accurate, relevant and timely information.

Bank for International Settlements, Enhancing Corporate Governance in

Banking Organisations (1999)
The BIS, representing the Central Banks of the G10, establishes policy and
guidelines for the financial industry and particularly focuses on systemic and
operational risk. The BIS states that for highly critical systems, governance
arrangements should be effective, accountable and transparent. While not all
enterprises face this type of IT criticality, these guidelines are instructive
about good governance practices relative to IT systems and services.
 IT Governance Institute 61

The BIS defines the governance arrangements as encompassing the set of

relationships among the entity’s management and its governing body, its
owners and its other stakeholders and providing the structure through which
the entity’s overall objectives are set, the method of attainment is outlined
and the measures of performance are defined.

The BIS maintains that effective governance provides proper incentives for
management to pursue objectives that are in the interests of the entity and its
stakeholders. It also ensures that management has the appropriate tools and
abilities to achieve the entity’s objectives. Governance arrangements should
provide accountability to stakeholders, so that they can influence its overall
objectives and performance. An essential aspect of achieving accountability
is to ensure that governance arrangements are transparent, so that all affected
parties have access to information about decisions affecting the entity and
how they are taken.

The BIS also suggests the use of commonly available governance tools for
high-risk systems:
• Written strategic objectives and plans for achieving them
• Reporting arrangements that assess the actions of senior management
against the strategic objectives
• Clear lines of responsibility and accountability within the organisation
and appropriate management controls together with arrangements for
their enforcement
• Requirements that management at all levels be appropriately qualified
and supervise the system and its operations competently
• Risk management and audit functions independent of those responsible
for day-to-day operations

To achieve transparency, the BIS recommends disclosure to the stakeholders

of the enterprise’s:
• Governance, senior management and basic organisational structure
• Design of risk management (policies, rules, etc.)
• Design of the internal control system
and recommends that:
• Major decisions be made promptly, with proper consultation, and
communicated clearly
• Relevant information about the system and its performance be made
readily available
62 Board Briefing on IT Governance

IT Governance Institute, Control Objectives for Information and related

Technology (COBIT)
Developed by the IT Governance Institute, COBIT starts from the premise
that IT needs to deliver the information that the enterprise needs to achieve
its objectives. In addition to promoting process focus and process ownership,
COBIT looks at fiduciary, quality and security needs of enterprises and
provides seven information criteria that can be used to define generically
what the business requires from IT: effectiveness, efficiency, availability,
integrity, confidentiality, reliability and compliance.

COBIT further divides IT into 34 processes belonging to four domains

(plan and organise, acquire and implement, deliver and support, monitor
and evaluate). For each of these 34 IT processes, a high-level control
objective is defined:
• Identifying which information criteria are most important in that
IT process
• Listing which resources will usually be leveraged
• Providing considerations on what is important for controlling that
IT process

The more detailed elements of COBIT provide some 300 detailed control
objectives for management and IT practitioners who are looking for best
practices in control implementation, and extensive audit guidelines building
on these objectives. The latter are geared toward those needing to evaluate
and audit the degree of control and governance over IT processes.

Recent COBIT developments added a management and governance layer,

providing management with a toolbox containing:
• Performance measurement elements (outcome measures and
performance drivers for each IT process)
• A list of critical success factors that provides succinct nontechnical best
practices for each IT process
• A maturity model to assist in benchmarking and decision-making for
control over each IT process
 IT Governance Institute 63

Appendix H—The Emerging Enterprise Model

The new and fast-moving economy requires agile and adaptable enterprises:
enterprises that sense what is happening in the market; use knowledge assets
to learn from that and innovate new products, services, channels and
processes; then mutate rapidly to bring innovation to market or to repel
challenges; and measure results and performance. At the heart of this
emerging model is knowledge. IT is the enabling factor to collect, build and
distribute knowledge.

• Culture
Learn • Measurements
• Rewards
• Processes
• Architectures
• Applications
• Technologies
• Products
• Channels
• Services
Sense Knowledge Innovate • Pricing
• Competitors
• Strategic partners
• Customers
• Complementors
• Resource markets
• Suppliers
• Equity markets
• Product/service markets
• Government markets
• Internal processes Mutate
• Value chain processes

Successful enterprises monitor their environment on a continuous basis.

They then leverage the information and knowledge they gain from their
monitoring to adapt and innovate. This even further stresses the need for
boards and management to effectively direct and control IT.
64 Board Briefing on IT Governance
IT Governance Institute
3701 Algonquin Road, Suite 1010
Rolling Meadows, IL 60008 USA
Phone: +1.847.590.7491
Fax: +1.847.253.1443
E-mail: info@[Link]
Web site: [Link]