Introducción

El control interno es un componente fundamental en la estructura organizacional de cualquier

empresa, ya que no solo asegura la eficacia y eficiencia de las operaciones, sino que también
salvaguarda los activos, promueve la integridad de la información financiera y garantiza el
cumplimiento de leyes y regulaciones aplicables. En un entorno empresarial cada vez más
complejo y dinámico, la importancia de establecer un sistema robusto de control interno se ha
vuelto crucial para la sostenibilidad y el éxito a largo plazo de las organizaciones.

Desde la publicación del marco COSO (Committee of Sponsoring Organizations of the Treadway
Commission) en 1992, y su posterior actualización con el Enterprise Risk Management –
Integrated Framework en 2004, las organizaciones han tenido acceso a herramientas y
directrices que les permiten gestionar el riesgo de manera integral. COSO amplía el concepto
tradicional de control interno al integrar la gestión de riesgos en el proceso de toma de
decisiones, destacando que el control interno no es solo responsabilidad de la alta dirección,
sino un esfuerzo colectivo que involucra a todos los niveles de la organización, desde el consejo
de administración hasta el último empleado.

Además, en la era digital actual, las empresas enfrentan desafíos sin precedentes, como la
ciberseguridad y la protección de datos, que requieren un enfoque proactivo y adaptativo en la
gestión de riesgos. La adopción de tecnologías avanzadas y la digitalización de procesos han
transformado la manera en que las organizaciones operan, lo que hace que la implementación
de controles internos sea aún más crítica para mitigar riesgos y aprovechar oportunidades.

Este trabajo se centra en analizar la relevancia del marco COSO en la evaluación del desempeño
y el control administrativo, explorando sus objetivos, ventajas y limitaciones. Asimismo, se
presentarán ejemplos prácticos de su aplicación en diferentes sectores, con el fin de ilustrar
cómo un sistema de control interno efectivo puede mejorar la eficiencia operativa, garantizar la
transparencia y fomentar una cultura organizacional de responsabilidad y ética. Al final, se
ofrecerán recomendaciones para fortalecer el control interno, adaptándolo a las necesidades
cambiantes del entorno empresarial actual.
COSO II
Hacia fines de septiembre de 2004, como respuesta a una serie de escándalos, e irregularidades
que provocaron pérdidas importantes a inversionistas, empleados y otros grupos de interés.

Nuevamente el Committee of Sponsoring Organizations of the Treadway Commission, publicó el

Enterprise Risk Management – Integrated Framework y sus aplicaciones técnicas asociadas.

Amplía el concepto de control interno, proporcionando un foco más robusto y extenso sobre la
identificación, evaluación y gestión integral de riesgo.

En septiembre de 2004 se publica el estudio ERM (Enterprice Risk Management) como una
ampliación de Coso 1, de acuerdo a las conclusiones de los servicios de Pricewaterhouse a la
comisión.

Control interno es un proceso llevado a cabo por el Consejo de Administración, la Gerencia y

otro personal de la Organización, diseñado para proporcionar una garantía razonable sobre el
logro de objetivos relacionados con operaciones, soportes y cumplimientos.

OBJETIVOS DE CONTROL INTERNO

Relacionados con la misión y visión de la entidad. Varían en función de las decisiones de la

conducción relacionadas con el modelo de operaciones, consideraciones de la industria y
rendimiento. Se abren en sub-objetivos para los distintos componentes de la estructura de la
entidad. Incluyen el resguardo de activos

OBJETIVOS DE REPORTES
 Reportes Financieros Externos
 Estados contables
 Cuenta de inversión
 Reportes no Financieros externos
 Reportes de sustentabilidad
 Información al publico
 Reportes internos financieros y no financieros
 Ejecución presupuestaria
 Informes sobre nivel de actividades

OBJETIVOS DE CONTROL INTERNO

Objetivos de cumplimiento
Objetivos relacionados con el cumplimiento de leyes y relaciones el cumplimiento de políticas y
procedimientos de la entidad a los efectos del marco, correspondiente a objetivos de
operaciones.
Que se puede obtener a través de COSO?

Proporciona un marco de referencia aplicable a cualquier organización. Para COSO, este proceso
debe estar integrado con el negocio, de tal manera que ayude a conseguir los resultados
esperados en materia de rentabilidad y rendimiento. Transmitir el concepto de que el esfuerzo
involucra a toda la organización: desde la alta dirección hasta el ultimo empleado.

Ventajas de COSO

 Permite a la dirección de la empresa poseer una visión global del riesgo y accionar los
planes para su correcta gestión.

 Posibilita la priorización de los objetivos, riesgos clave del negocio, y de los controles
implementados, los que permite su adecuada gestión toma de decisiones mas segura,
facilitando la asignación del capital.

 Alinea los objetivos del grupo con los objetivos de las diferentes unidades de negocio, así
como los riesgos asumidos y de los controles puestos en acción.

 Permite cumplir con los nuevos marcos regulatorios y demanda de nuevas practicas de
gobierno corporativo

 Fomenta que la gestión de riesgos pase a formar parte de la cultura del grupo.

LIMITACIONES DEL CONTROL INTERNO

 Establecimiento de adecuados objetivos, como precondición para el control interno.

 El juicio humano en la toma de decisiones puede ser equivocado o sujeto a

parcialidades.

 Errores productos del error humano

 Posibilidad de anulación del controles por la gerencia.

 Posibilidad de burlar controles por la colusión entre distintos actores.

 Factores externos mas allá del control de la entidad.

ROLES Y RESPONSABILIDADES
Partes responsables internas

• Directorio y sus comités

• Alta gerencia (CEO) (CAO, CAE, CCO, CFO, CIO, CLO, COO, CRO, otros)
• Funciones de soporte
• Personal de áreas de control y riesgo
• Personal de áreas jurídicas y cumplimiento
• Otro personal
• Auditores Internos

Partes externas

• Proveedores de servicios
• Otros que interactúan con la entidad
• Auditores externos
• Revisores externos
• Legisladores y reguladores
• Analistas financieros
• Prensa

RELACIÓN OBJETIVOS Y COMPONENTES

 COMPONENTE DE COSO AMBIENTE DE CONTROL

AMBIENTE DE CONTROL
• Es el conjunto de normas, procesos y estructuras que proveen las bases para llevar a cabo el
Control Interno a través de la organización. El directorio y la alta gerencia establecen el ejemplo
en relación con la importancia del Control Interno y las normas de conducta esperada.
• Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal.
• Es la base del resto de los componentes y provee disciplina y estructura Ambiente de Control
Principio 1: La organización demuestra compromiso con la integridad y valores éticos
•Se da el ejemplo.
•Se establecen estándar de conducta.
•Se evalúa la adhesión a los estándar de conducta.
•Se tratan los desvíos a los standard en forma oportuna.

AMBIENTE DE CONTROL
• Se da el ejemplo. o El directorio y la administración, a todos los niveles de la entidad
demuestran a través de sus directivas, acciones y comportamiento la importancia de la
integridad y valores éticos para soportar el funcionamientos de sistema de control interno.
• Se establecen estándar de conducta. o Las expectativas del directorio y la administración
sobre la integridad y los valores éticos están definidas en las normas de conducta de la entidad y
son entendidos a todos los niveles de la organización y por los proveedores de servicios
externos y socios de negocio.
• Se evalúa la adhesión a los estándar de conducta. o Hay procesos establecidos para evaluar
el desempeño de individuos y grupos de trabajo en función de los estándar de conducta
esperados de la organización.
• Se tratan los desvíos a los estándar en forma oportuna. o Las desviaciones de los estándar de
conducta esperados de la organización son identificadas y remediadas en tiempo y forma.

Principio 2: El directorio demuestra independencia de la gerencia y vigila el desarrollo y

funcionamiento del Control Interno
• El directorio establece sus responsabilidades de supervisión.
• Aplica los conocimientos especializados pertinentes.
• Opera independientemente.
• Supervisa el funcionamiento del sistema de Control Interno.
• El directorio establece sus responsabilidades de supervisión. o El directorio identifica y
acepta sus responsabilidades de supervisión en relación con el establecimiento de
requerimientos y expectativas.
• Aplica los conocimientos especializados pertinentes. o El directorio define, mantiene y
periódicamente evalúa las habilidades y experiencia necesarios entre sus miembros para
permitirle sondear a la administración y tomar medidas acordes.
• Opera independientemente. o El directorio tiene suficientes miembros que son
independientes de la administración y objetivos en la evaluación y toma de decisiones.

• Supervisa el funcionamiento del sistema de Control Interno.

o El directorio retiene responsabilidad de supervisión sobre el diseño, la implementación y
ejecución del control interno realizado por la administración.
• Ambiente de Control – Estableciendo la integridad y valores éticos, supervisando
estructuras, autoridad y responsabilidad, expectativas de competencia, y rendición de
cuentas al directorio.
• Evaluación de Riesgos - Supervisando la evaluación de riesgos para el logro de
objetivos efectuada por la administración, incluido el potencial impacto de cambios
significativos, fraude y elusión del control interno.
• Actividades de Control – Proveyendo supervisión de la alta administración en el
desarrollo y ejecución del control interno.
• Información y Comunicación – Analizando y discutiendo información relacionada con
el logro de los objetivos de la organización.
• Actividades de Monitoreo - Evaluando y supervisando la naturaleza y alcance de las
actividades de monitoreo y la evaluación y remediación de las deficiencias efectuada por
la administración.

Principio 3: La gerencia establece, con la vigilancia del directorio, estructuras, líneas de

reporte y una apropiada asignación de autoridad y responsabilidad para la
consecución de los objetivos
• Considera todas las estructuras de la entidad.
• Establece líneas de reporte.
• Define, asigna y fija los límites de las autoridades y responsabilidades.

• Considera todas las estructuras de la entidad. El directorio y la administración

consideran las múltiples estructuras utilizadas para soportar el logro de objetivos
(incluidas operativas, jurídicas, distribución geográfica y de proveedores de servicios
externos).
• Establece líneas de reporte. La administración diseña y evalúa líneas de reporte para
cada estructura de la entidad para permitir la ejecución de la autoridad y
responsabilidad y flujo de la información para gestionar las actividades de la entidad.
• Define, asigna y fija los límites de las autoridades y responsabilidades. El directorio y
la administración delegan autoridad, definen responsabilidades, y uso de procesos y
tecnología apropiados para asignar responsabilidad y segregación de funciones como
sea necesario a diferentes niveles de la organización.
• Directorio – Retiene autoridad ante decisiones significativas y revisa la asignación y
limitación de autoridad y responsabilidad a la administración.
• Administración Superior – Establece directivas, guías y control para permitir a la
administración y otro personal comprender y llevar a cabo las responsabilidades de
control interno.
• Administración – Guía y facilita la ejecución de las directivas en la entidad y
subunidades.
• Personal – Comprende las normas de conducta de la entidad, evalúa riesgos y las
actividades de control correspondientes a sus respectivos niveles de la entidad, la
información esperada y el flujo de información y comunicación, y monitorea las
actividades relevantes para el logro de sus objetivos.
• Terceros Proveedores de Servicios – Adhieren l la definición del alcance de autoridad y
responsabilidad para todo no-empleado involucrado.

Principio 4: La organización demuestra compromiso para reclutar, desarrollar y retener

individuos competentes en función de los objetivos
• Establece políticas y prácticas.
• Evalúa competencias y encara las deficiencias detectadas.
• Recluta, desarrolla y retiene capacidades suficientes y competentes.
• Planifica y prepara la sucesión.

Establece políticas y prácticas. Políticas y prácticas reflejan las expectativas de

competencia necesaria para soportar el logro de objetivos.
• Evalúa competencias y encara las deficiencias detectadas. El directorio y la
administración evalúan la competencia a través de la organización y de los proveedores
de servicios tercerizados en relación a las políticas y prácticas establecidas, y actúan si es
necesario para resolver las deficiencias.
• Recluta, desarrolla y retiene capacidades suficientes y competentes. La organización
proporciona el apoyo y la entrenamiento necesario para atraer, desarrollar y retener
personal y proveedores de servicios tercerizados suficiente y competente para apoyar el
logro de los objetivos.
• Planifica y prepara la sucesión. El directorio y la alta administración desarrollan
planes de contingencia para las asignaciones de responsabilidad importantes en el
control interno.

Principio 5: La organización tiene personas responsables por las responsabilidades de

Control Interno en función de los objetivos
• Exige el cumplimiento de la rendición de cuentas a través de las estructuras,
autoridades y responsabilidades.
• Establece medidas de rendimiento, incentivos y recompensas.
• Evalúa la las medidas del rendimiento, los incentivos y recompensas de acuerdo a la
pertinencia de las mismas.
• Considera la presión sobre el logro de objetivos.
• Evalúa el rendimiento y recompensas o la aplicación de medidas disciplinarias.
• Exige el cumplimiento de la rendición de cuentas a través de las estructuras,
autoridades y responsabilidades.
El directorio y la administración establecen los mecanismos para comunicar y mantener
individuos responsables por el desempeño de las responsabilidades de control interno
de la organización y aplicar medidas correctivas cuando sea necesario.
• Establece medidas de rendimiento, incentivos y recompensas.
El directorio y la administración establecen medidas de desempeño, incentivos y otros
beneficios apropiados para responsabilidades en todos los niveles de la entidad,
reflejando las dimensiones apropiados de desempeño y normas de conducta esperadas,
y teniendo en cuenta la consecución de los objetivos de corto y largo plazo .
• Evalúa la las medidas del rendimiento, los incentivos y recompensas de acuerdo a la
pertinencia de las mismas. El directorio y la administración alinean los incentivos y las
recompensas con el cumplimiento de las responsabilidades de control interno en el
logro de los objetivos.
• Considera la presión sobre el logro de objetivos. El directorio y la administración
evalúan y ajustan las presiones asociadas con el logro de los objetivos al asignar
responsabilidades, desarrollar medidas de desempeño y evaluar el desempeño.
• Evalúa el rendimiento y recompensas o la aplicación de medidas disciplinarias. El
directorio y la administración evalúan el desempeño de las responsabilidades de control
interno, incluida la observancia de las normas de conducta y los niveles esperados de
competencia y ofrecen recompensas o ejercen acción disciplinaria, según proceda.

COMPONENTE DE COSO EVALUACIÓN DE RIESGOS

EVALUACIÓN DE RIESGOS
La evaluación de riesgos involucra un proceso dinámico e interactivo para identificar y
analizar riesgos que afectan el logro de objetivos de la entidad, dando la base para
determinar cómo los riesgos deben ser administrados. La gerencia considera posibles
cambios en el contexto y en el propio modelo de negocio que impidan su posibilidad de
alcanzar sus objetivos.
• Cada entidad enfrenta una variedad de riesgos tanto externos como internos que
deben ser evaluados.
• Una precondición para la evaluación de riesgos es el establecimiento de objetivos
asociados a los diferentes niveles de la organización e internamente consistentes.
• La evaluación de riesgos es la identificación y análisis de los riesgos relevantes para el
logro de los objetivos, como base para determinar la forma de administrarlos.
• Se requieren mecanismos particulares para identificar y administrar los riesgos
asociados al cambio.
Principio 6: La organización define objetivos con la suficiente claridad para permitir la
identificación y evaluación de riesgos relacionados con estos objetivos
• Objetivos Operacionales
• Objetivos de Reporte Financiero externo
• Objetivos de Reporte no Financiero externo
• Objetivos de Reporte Interno
• Objetivos de Cumplimiento

FIJACIÓN DE OBJETIVOS - CONSIDERACIONES

• Alinear los objetivos con las prioridades de la estrategia.
• Articular la tolerancia al riesgo con los objetivos.
• Alinear los objetivos con las leyes, regulaciones, reglas y normas aplicables a la
actividad.
• Articular los objetivos en términos que sean específicos, medibles u observables,
atendibles, relevantes y con una duración determinada.
• Cascada de objetivos a través de la entidad y sus subunidades.
• Alinear los objetivos con toda otra circunstancia que requiera atención por parte de la
entidad. • Confirmación que los objetivos son adecuados dentro del proceso de
establecimiento de objetivos antes de que esos objetivos sean utilizados como base para
la evaluación de riesgos.

OBJETIVOS OPERACIONALES
• Reflejan la elección de la gerencia.
• Consideran la Tolerancia al Riesgo .
• Incluyen Metas operativas y financieras.
• Forman una base para la asignación de recursos.
 OBJETIVOS DE REPORTE FINANCIERO EXTERNO
• Cumplen con las normas contables aplicables.
• Consideran la materialidad-significatividad.
• Reflejan las actividades de la entidad.

OBJETIVOS DE REPORTE NO FINANCIERO EXTERNO

• Cumplen con normas externas a la entidad o marcos reconocidos.
• Consideran el nivel de precisión requerido.
• Reflejan las actividades de la entidad.

OBJETIVOS DE REPORTE INTERNO

• Reflejan las elecciones de la gerencia.
• Consideran el nivel de precisión requerido.
• Reflejan las actividades de la entidad.

OBJETIVOS DE CUMPLIMIENTO
• Reflejan las leyes y regulaciones aplicables.
• Consideran la Tolerancia al Riesgo.

Principio 7: La organización identifica riesgos para el logro de sus objetivos a través de

la entidad y los analiza como base para determinar cómo deben ser administrados
• Incluye entidad, subsidiaria, división, unidad operativa y funcional.
• Analiza factores internos y externos.
• Involucra a los niveles adecuados de gestión.
• Estima la importancia de los riesgos identificados.
• Determina cómo responder a los riesgos.
 • Incluye entidad, subsidiaria, división, unidad operativa y funcional. La organización
identifica y evalúa riesgos a nivel de entidad, subsidiaria, división, unidad operativa y
funcional, relevantes para el logro de los objetivos.
• Analiza factores internos y externos. La identificación de riesgos considera tanto
factores internos como externos y su impacto en el logros de los objetivos.
• Involucra a los niveles adecuados de gestión. La organización pone en su lugar
mecanismos de evaluación de riesgos efectivos que involucran a los niveles adecuados
de la administración.
• Estima la importancia de los riesgos identificados. Los riesgos identificados son
analizados a través de un proceso que incluye la estimación de la potencial
significatividad de los riesgos.
• Determina cómo responder a los riesgos. La evaluación de riesgos incluye considerar
cómo los riesgos deben ser manejados y si deben ser aceptados, evitados, reducidos o
compartidos.

EVALUACIÓN DE RIESGOS

Principio 8: La organización considera la posibilidad de fraude en la evaluación de riesgos para

el logro de objetivos
•Considera distintos tipos de fraude.
•Evalúa incentivos y presiones para cometer fraude.
•Evalúa oportunidades para cometer fraude.
•Evalúa actitudes y racionalizaciones.
 • Considera distintos tipos de fraude. La evaluación de fraude considera reporte
fraudulento, posible pérdida de activos y corrupción resultantes de las diversas formas en que el
fraude puede ocurrir.
• Evalúa incentivos y presiones para cometer fraude. La evaluación de riesgos de fraude
considera incentivos y presiones.
• Evalúa oportunidades para cometer fraude. La evaluación de riesgos de fraude considera
oportunidades para adquisición, uso o disposición no autorizada de activos, alteración de los
registros de la entidad o comisión de otros actos inapropiados.
• Evalúa actitudes y racionalizaciones. La evaluación de riesgos de fraude considera como la
administración y otro personal puede involucrarse en o justificarse actos inapropiados.
Principio 9: La organización identifica y evalúa cambios que pueden impactar
significativamente el sistema de Control Interno
• Evalúa cambios en el contexto.
• Evalúa cambios en el modelo de negocio.
• Evalúa cambios en el liderazgo.
• Evalúa cambios en el contexto. El proceso de identificación de riesgos considera cambios en
el ambiente regulatorio, económico y físico en que opera.
• Evalúa cambios en el modelo de negocio. La organización considera el impacto potencial en
el control interno producidos por cambios en el modelo de negocio, por nuevas actividades o
variación significativa de las existentes, fusiones y escisiones, operaciones en el exterior, rápido
crecimiento o nuevas tecnologías, entre otras.
• Evalúa cambios en el liderazgo. La organización considera cambios en la administración y las
respectivas actitudes y filosofías sobre el sistema de control interno.
 COMPONENTE DE COSO ACTIVIDADES DE CONTROL

ACTIVIDADES DE CONTROL
Actividades de Control son las acciones establecidas por políticas y procedimientos para ayudar
asegurar que las directivas de la administración para mitigar riesgos al logro de objetivos son
llevadas a cabo. La Actividades de Control son realizadas a todos los niveles de la entidad y en
varias etapas del proceso de negocio, y sobre el ambiente de tecnología.

Principio 10: La organización selecciona y desarrolla actividades de control que contribuyen

en la mitigación de riesgos al logro de objetivos, a un nivel aceptable
• Integradas con la Evaluación de Riesgos.
• Consideran factores específicos de la entidad.
• Determinadas por los procesos de negocio relevantes.
• Considera una combinación de distintos tipos de actividades de control. (preventivos y/o
detectivos)
• Considera a que nivel aplicar las actividades de control.
• Aborda la separación de funciones. (Registro, autorización, aprobación)

• integradas con la evaluación de riesgos. las actividades de control ayudan asegurar que las
respuesta al riesgo que encaran y reducen los riesgos se llevan a cabo.
• consideran factores específicos de la entidad. la administración considera como el contexto,
complejidad, naturaleza y alcance de sus operaciones, como las características específicas de la
organización, afectan la selección y desarrollo de las actividades de control.
• determinadas por los procesos de negocio relevantes. la administración determina cuáles
procesos de negocio relevantes requieren actividades de control.

• considera una combinación de distintos tipos de actividades de control (preventivos y/o

detectivos). las actividades de control incluyen un rango y variedad de controles y pueden
incluir un conjunto de enfoques para mitigar los riesgos, considerando tanto controles manuales
como automatizados, preventivos como detectivos.
• considera a que nivel aplicar las actividades de control. la administración considera
actividades de control a distintos niveles de la organización.
• ABORDA LA SEPARACIÓN DE FUNCIONES. (REGISTRO, AUTORIZACIÓN, APROBACIÓN). La
administración segrega funciones incompatibles ente sí, y, donde dicha segregación no es
práctica selecciona y desarrolla controles alternativos.

Principio 11: La organización selecciona y desarrolla actividades generales de control sobre la

tecnología para soportar el logro de objetivos
• Determina la vinculación entre el uso de la tecnología en los procesos de negocio y los
controles generales de tecnología.
• Establece las actividades de control de infraestructura de tecnología pertinentes.
• Establece actividades de control pertinentes sobre los procesos de administración de
seguridad.
• Establece actividades de control pertinentes sobre la adquisición, desarrollo y mantenimiento
de tecnología.
• determina la vinculación entre el uso de la tecnología en los procesos de negocio y los
controles generales de tecnología. la administración comprehende y determina la dependencia
y vinculación entre los procesos de negocios, las actividades de control automatizadas y los
controles generales de tecnología.
• establece las actividades de control de infraestructura de tecnología pertinentes. la
administración selecciona y desarrolla actividades de control sobre la infraestructura de
tecnología, las que son diseñadas e implementadas para ayudar a asegurar la integridad,
exactitud y disponibilidad de la tecnología de procesamiento.
• establece actividades de control pertinentes sobre los procesos de administración de
seguridad. la administración selecciona y desarrolla actividades de control que son diseñadas e
implementadas para restringir el acceso a la tecnología a usuarios autorizados, adecuados a sus
responsabilidades y para proteger los activos de la entidad de amenazas externas.
• establece actividades de control pertinentes sobre la adquisición, desarrollo y
mantenimiento de tecnología. la administración selecciona y desarrolla actividades de control
sobre la adquisición, desarrollo y mantenimiento de tecnología y su infraestructura para
alcanzar los objetivos.
principio 12: la organización implementa actividades de control a través de políticas que
establezcan que es esperado y procedimientos que pongan estas políticas en acción
• Establece políticas y procedimientos para soportar la implementación de las directivas de la
gerencia
• Establece responsabilidad y rendición de cuentas por la ejecución de las políticas y
procedimientos.
• Desarrolla – las actividades de control – en forma oportuna.
• Toma acciones correctivas.
• Desarrolla - las actividades de control – utilizando personal competente.
• Reevalúa las políticas y los procedimientos.

• establece políticas y procedimientos para soportar la implementación de las directivas de la

gerencia. la administración establece actividades de control que son parte integrante de los
procesos de negocio y actividades diarias del personal, a través de políticas que establecen que
es los esperado y procedimientos pertinentes que especifican las acciones a realizar.
• establece responsabilidad y rendición de cuentas por la ejecución de las políticas y
procedimientos. la administración establece responsabilidad y rendición de cuentas por las
actividades de control con la administración (u otro personal designado) de la unidad de
negocio o función en la que los riesgos relevantes residen.
• desarrolla – las actividades de control – en forma oportuna. el personal responsable
desarrolla las actividades de control en forma oportuna y como es definido por las políticas y
procedimientos.
• toma acciones correctivas. el personal responsable investiga y actúa en las cuestiones
identificadas como resultado de la ejecución de las actividades de control.
• desarrolla - las actividades de control – utilizando personal competente. personal
competente, con suficiente autoridad desarrolla las actividades de control con diligencia y
enfoque continuo.
• revalúa las políticas y los procedimientos. la administración periódicamente revisa las
actividades de control para determinar su continua relevancia, y las actualiza de ser necesario,
 COMPONENTE DE COSO INFORMACIÓN Y COMUNICACIÓN

INFORMACIÓN Y COMUNICACIÓN
La Información es necesaria en la entidad para ejercer las responsabilidades de Control Interno
en soporte del logro de objetivos. La Comunicación ocurre tanto interna como externamente y
provee a la organización con la información necesaria para la realización de los controles
diariamente. La Comunicación permite al personal comprender las responsabilidades del
Control Interno y su importancia para el logro de los objetivos.
Principio 13: La organización obtiene o genera y utiliza información relevante y de calidad para
soportar el funcionamiento del Control Interno • Identifica los requerimientos de información. •
Captura fuentes internas y externas de datos. • Transforma datos relevantes en información. •
Mantiene la calidad en todo el procesamiento. • Considera la relación costo beneficio.
principio 13: la organización obtiene o genera y utiliza información relevante y de calidad para
soportar el funcionamiento del control interno
• Identifica los requerimientos de información.
• Captura fuentes internas y externas de datos.
• Transforma datos relevantes en información.
• Mantiene la calidad en todo el procesamiento.
• Considera la relación costo beneficio.

• identifica los requerimientos de información. existe un proceso para identificar la

información requerida y esperada para soportar el funcionamiento de los demás componentes
del control interno y el logro de los objetivos.
• captura fuentes internas y externas de datos. los sistemas de información utilizan fuentes de
datos internas y externas.
• transforma datos en información relevante. los sistemas de información procesan y
transforman datos en información relevante.
• mantiene la calidad en todo el procesamiento. ver siguiente
• considera la relación costo beneficio. la naturaleza, cantidad y precisión de la información
comunicada se conmensura con y para soportar el logro de los objetivos

calidad de la información:
• Accesible
• Correcta
• Actualizada
• Protegida
• Retenida
• Suficiente
• Oportuna
• Valida
• Verificable
Principio 14: La organización comunica internamente información, incluido objetivos y
responsabilidades sobre el Control Interno, necesaria para soportar el funcionamiento del
Control Interno
• Comunica la información de Control Interno.
• Comunica entre la administración y el directorio.
• Provee líneas de comunicación separadas.
• Selecciona los métodos de comunicación relevantes.
• Comunica la información de Control Interno. Existe un proceso para comunicar la
información requerida para permitir a todo el personal comprender y ejecutar sus
responsabilidades de Control Interno.
Políticas y procedimientos
Objetivos específicos
Importancia, relevancia y beneficios de un Control Interno efectivo.
Roles y responsabilidades de la administración y otro personal en la ejecución del Control
Interno.
Expectativas de la organización para comunicar en forma ascendente, descendente y
horizontalmente cualquier asunto significativo relativo con el Control Interno, incluido
debilidades, deterioro o incumplimientos.

• comunica entre la administración y el directorio. existe una comunicación entre la

conducción superior y la administración de tal manera que ambos cuenten con la información
necesaria para cumplir sus roles en relación con el logro de los objetivos de la entidad.
• provee líneas de comunicación separadas. canales de comunicación separados, como líneas
de denuncia, existen como mecanismos de salvaguarda para permitir comunicaciones anónimas
o confidenciales, cuando los canales normales son inoperantes o inefectivos
• selecciona los métodos de comunicación relevantes. los métodos de comunicación
consideran la oportunidad, audiencia y naturaleza de la información.
cuadros de control
Mails
Entrenamiento personal en línea
Memorandos
Discusiones personales
Evaluaciones de rendimiento
Políticas y procedimientos
Presentaciones
Medios de comunicación social.
Publicaciones
Mensajes de texto
Presentaciones en video, webcast
Sitios web o colaborativos.
Etc.
Principio 15: La organización comunica a terceros con respecto a asuntos que afectan el
funcionamiento del Control Interno
•Comunica a terceras partes.
•Permite canales de comunicación entrantes.
•Comunica con el directorio.
•Provee líneas de comunicación separadas.
•Selecciona los métodos de comunicación relevantes.

• comunica a terceras partes. existen procesos para comunicar información relevante y

oportuna a terceros incluidos accionistas, socios, dueños, reguladores, clientes, analistas
financieros y otros terceros.
• permite canales de comunicación entrantes. canales de comunicación abiertos permiten
obtener información de clientes, consumidores, proveedores, auditores externos, reguladores,
analistas financieros y otros brindando a la administración y el directorio información relevante.
• comunica con el directorio. la información relevante resultante de evaluaciones externas es
comunicada al directorio.

• provee líneas de comunicación separadas. canales de comunicación separados, como líneas

de denuncia, existen como mecanismos de salvaguarda para permitir comunicaciones anónimas
o confidenciales, cuando los canales normales son inoperantes o inefectivos
• selecciona los métodos de comunicación relevantes. los métodos de comunicación
consideran la oportunidad, audiencia y naturaleza de la comunicación y los requerimientos y
expectativas legales, regulatorias y fiduciarias

COMPONENTE DE COSO MONITOREO

 MONITOREO
Evaluaciones concurrentes o separadas, o una combinación de ambas es utilizada para
determinar si cada uno de los componentes del Control Interno, incluidos los controles para
efectivizar los principios dentro de cada componente, está presente y funcionando. Los
hallazgos son evaluados y las deficiencias son comunicadas oportunamente, las significativas
son comunicadas a la alta gerencia y al directorio.
Principio 16: La organización selecciona, desarrolla y realiza evaluaciones concurrentes o
separadas para determinar si los componentes de control interno están presentes y
funcionando
•Considera una combinación de evaluaciones concurrentes y separadas.
•Considera la tasa de cambio.
•Establece una base de entendimiento.
•Usa personal con conocimiento de lo evaluado.
•Integrada a los procesos de negocio.
•Ajusta el alcance y la frecuencia.
•Evaluaciones objetivas.

• considera una combinación de evaluaciones concurrentes y separadas. la administración

incluye un balance de evaluaciones concurrentes y separadas
• considera la tasa de cambio. la administración considera la velocidad del cambio en la
actividad y en los procesos al seleccionar evaluaciones concurrentes o separadas
• establece una base de entendimiento. el diseño y estado actual del sistema de control
interno es utilizado como base de las evaluaciones concurrentes y separadas.
• usa personal con conocimiento de lo evaluado. el personal que efectúa evaluaciones
concurrentes o separadas debe tener suficiente conocimiento para comprender qué es
evaluado

• integrada a los procesos de negocio. las evaluaciones concurrentes están integradas en los
procesos de negocio y se ajustan a las condiciones cambiantes
• ajusta el alcance y la frecuencia. la administración varía el alcance y frecuencia de las
evaluaciones separadas dependiendo del riesgo.
• evaluaciones objetivas. las evaluaciones separadas se realizan periódicamente para proveer
una retroalimentación objetiva

EVALUACIONES SEPARADAS
• Evaluaciones de Auditoría Interna
• Otras evaluaciones objetivas (Cumplimiento, Riesgo, Seguridad TI, etc.)
• Evaluaciones funcionales inter áreas.
• Benchmarks, evaluaciones de pares.
• Autoevaluaciones.
• Evaluaciones de proveedores de servicios externos.
Principio 17: La organización evalúa y comunica las deficiencias de control interno de manera
oportuna a los responsables de tomar acción correctiva, incluida la alta gerencia y el
directorio si correspondiese
• Evalúa los resultados de las evaluaciones.
• Comunica las deficiencias.
• Monitorea las acciones correctivas.

• evalúa los resultados de las evaluaciones.

La administración y el directorio, según corresponda, evalúan los resultados de las evaluaciones
concurrentes y separadas.
• comunica las deficiencias. Las deficiencias son comunicadas a los responsables de tomar
acciones correctivas y a la administración superior y el directorio según corresponda.
• monitorea las acciones correctivas. La administración sigue la remediación de las deficiencias
en forma oportuna.
COMPARACIÓN COSO VS. ERM
Importancia del Control Interno en la Era Digital

Con el avance de la tecnología, las organizaciones enfrentan nuevos desafíos

en la gestión de riesgos. La digitalización ha transformado la manera en que
se realizan las operaciones, lo que hace que la implementación de controles
internos sea aún más crítica. El uso de sistemas automatizados y la gestión
de datos sensibles requieren un enfoque proactivo para proteger la
información y garantizar la integridad de los procesos.

Ejemplo:

Una empresa de comercio electrónico debe implementar controles para

proteger la información de pago de sus clientes. Esto incluye la encriptación
de datos y la autorización de transacciones a través de múltiples capas de
seguridad.

Integración de la Gestión de Riesgos y el Control Interno

La integración de la gestión de riesgos con el control interno permite a las

organizaciones abordar amenazas de manera más efectiva. Al identificar
riesgos potenciales y establecer controles específicos para mitigarlos, las
empresas pueden crear un entorno más seguro y eficiente.

Ejemplo:

Una compañía de seguros puede utilizar un análisis de riesgos para

identificar las áreas más vulnerables a fraudes. Al implementar controles
específicos, como la verificación de antecedentes de los solicitantes, puede
reducir significativamente sus pérdidas.

Evaluación del Desempeño del Control Interno

La efectividad del control interno debe evaluarse regularmente para

asegurarse de que esté funcionando como se espera. Esto no solo implica
auditorías internas, sino también la recopilación de feedback de los
empleados sobre la funcionalidad de los controles establecidos.

Ejemplo:
Una organización puede realizar encuestas anuales para recopilar la
percepción de los empleados sobre la efectividad de los controles internos.
Esto puede ayudar a identificar áreas donde los controles pueden ser
demasiado restrictivos o ineficaces.

El Rol de la Alta Dirección en el Control Interno

La alta dirección juega un papel crucial en el establecimiento de una cultura

de control interno. Su compromiso y ejemplo son fundamentales para
fomentar la adherencia a las políticas y procedimientos establecidos.

Ejemplo:

El CEO de una empresa puede llevar a cabo reuniones regulares para discutir
la importancia del control interno y reconocer públicamente a los empleados
que demuestran un compromiso excepcional con la ética y la integridad.

Desafíos en la Implementación del Control Interno

A pesar de su importancia, la implementación de controles internos enfrenta

varios obstáculos, como la resistencia al cambio, la falta de recursos o la
falta de comprensión del personal sobre su importancia. Abordar estos
desafíos es esencial para el éxito del control interno.

Ejemplo:

Una organización puede encontrar resistencia al implementar un nuevo

sistema de control. Para superar esto, puede ofrecer talleres y sesiones de
capacitación para explicar los beneficios y la necesidad del cambio.

Importancia de la Tecnología en el Control Interno

Las herramientas tecnológicas pueden mejorar significativamente el control

interno. Desde software de gestión de riesgos hasta sistemas de auditoría
automatizados, la tecnología puede aumentar la eficiencia y la precisión de
los controles.

Ejemplo:
Una empresa puede implementar un software de gestión de riesgos que
analice automáticamente las transacciones en busca de patrones
irregulares, alertando a los responsables de inmediato.

Este contenido adicional proporciona una visión más completa sobre la

implementación y la importancia del control interno en el contexto actual,
resaltando cómo la tecnología, la cultura organizacional y la gestión de
riesgos son factores clave en su éxito.

Otros Ejemplos de Implementación de COSO

1. Industria Financiera: Un banco que adopta el marco COSO puede

establecer políticas de control interno que incluyan la segregación de
funciones entre el personal que autoriza transacciones y el que las
registra. Esto ayuda a prevenir fraudes y errores.

2. Manufactura: Una empresa de manufactura puede utilizar el marco

COSO para implementar controles en su cadena de suministro,
asegurando que todos los proveedores cumplan con estándares de
calidad y regulaciones ambientales. Esto se traduce en menos
desperdicios y un mejor cumplimiento normativo.

3. Sector Público: Un organismo gubernamental puede aplicar el marco

COSO para mejorar la transparencia y la rendición de cuentas,
asegurando que los fondos públicos se utilicen de manera eficiente y
efectiva, lo que genera confianza en la ciudadanía.
Conclusiones

1. Mejora en la Gestión del Riesgo: La implementación del marco COSO ha demostrado

ser fundamental para que las organizaciones identifiquen y gestionen riesgos de manera
más eficaz. Al integrar un enfoque de gestión de riesgos dentro del control interno, las
empresas pueden anticiparse a posibles amenazas y minimizar su impacto. Esto no solo
contribuye a la estabilidad operativa, sino que también fortalece la confianza de los
inversionistas y otras partes interesadas, lo que es esencial en un entorno competitivo.

2. Cumplimiento Normativo: Un control interno bien estructurado facilita el cumplimiento

de normativas y regulaciones, evitando sanciones y preservando la reputación de la
organización. La capacidad de adaptarse a cambios regulatorios y de mercado es vital
para la sostenibilidad. Las empresas que logran establecer controles efectivos no solo
cumplen con los requisitos legales, sino que también pueden mejorar su imagen ante los
clientes y socios comerciales, lo que puede traducirse en mayores oportunidades de
negocio.

3. Cultura Organizacional: Fomentar una cultura de control interno dentro de la

organización es crucial para el éxito a largo plazo. Esto implica que todos los empleados,
desde la alta dirección hasta el personal operativo, comprendan la importancia de los
controles internos y actúen con responsabilidad y ética. Una cultura sólida de control
interno no solo mejora el desempeño, sino que también promueve la transparencia y la
confianza, elementos esenciales para el trabajo en equipo y la colaboración en todos los
niveles.
Recomendaciones

1. Capacitación Continua: Es fundamental que las organizaciones inviertan en la

capacitación continua de su personal sobre el marco COSO y las prácticas de control
interno. Esto no solo asegura que todos los empleados entiendan su rol en el sistema de
control, sino que también fomenta un sentido de pertenencia y responsabilidad. La
capacitación puede incluir talleres, seminarios y cursos en línea que aborden temas
como la identificación de riesgos, la ética empresarial y la importancia del cumplimiento
normativo. Al empoderar a los empleados con conocimiento, las organizaciones pueden
mejorar significativamente la eficacia de sus controles internos.

2. Evaluación Regular: Realizar evaluaciones periódicas del sistema de control interno es

crucial para identificar áreas de mejora y para asegurarse de que los controles siguen
siendo relevantes y efectivos. Estas evaluaciones deben incluir auditorías internas,
revisiones de procesos y la recopilación de comentarios de los empleados sobre la
funcionalidad de los controles establecidos. Las organizaciones deben establecer un
calendario de revisiones y asignar recursos adecuados para llevar a cabo estas
evaluaciones. De esta manera, se pueden realizar ajustes proactivos en la estrategia de
control, adaptándola a las condiciones cambiantes del entorno operativo.

3. Fomentar la Comunicación Abierta: Establecer canales de comunicación efectivos

dentro de la organización es esencial para que los empleados puedan informar sobre
irregularidades o debilidades en el control interno sin temor a represalias. Esto puede
incluir líneas de denuncia anónimas, reuniones regulares de equipo y foros de discusión
donde los empleados puedan expresar sus preocupaciones y sugerencias. Al fomentar
un ambiente de comunicación abierta, las empresas pueden detectar problemas más
rápidamente y actuar en consecuencia, lo que contribuye a un entorno de trabajo más
seguro y confiable para todos.