A S S U R A N C E A N D A DV I S O RY

B U S I N E S S S E RV I C E S

!@#

Evaluacin del Control

Interno
Consideraciones para Evaluar el Control
Interno a Nivel de Empresa

a3

A Nuestros Clientes y Amigos

a Sarbanes-Oxley Act of 2002 (el Acta)
hace obligatorios los reportes sobre
controles internos para empresas
registradas ante la SEC y sus auditores
independientes. La Seccin 404 del Acta dirige a
la SEC a que adopte reglas requiriendo que los
reportes anuales de las compaas registradas en
bolsa contengan una evaluacin, al final del ao
fiscal, de la eficacia de los controles internos y
los procedimientos para reportar informacin
financiera. La Seccin 404 tambin requiere que
los auditores independientes de la compaa
atestigen y reporten sobre la evaluacin de la
gerencia. La SEC emiti su propuesta de reglas
en octubre de 2002 y, de ser adoptadas, las reglas
sern aplicables a compaas cuyo perodo fiscal
termina el 15 de septiembre de 2003, o despus.
Por consiguiente, las compaas deben prepararse
desde ahora para la documentacin integral y la
evaluacin de su control interno que sern
necesarias para respaldar la evaluacin de la
gerencia y el reporte de atestiguacin (attestation)
de los auditores. Nuestra publicacin,
Preparacin de Reportes sobre Control Interno
Una Gua para la Evaluacin de la Gerencia
Conforme a la Seccin 404 de Sarbanes-Oxley
Act (la Gua) (Ernst & Young SCORE Retrieval
File No. EE0677), proporciona una metodologa y
estructura para completar la evaluacin.

La metodologa destacada en la Gua incluye cinco fases, a

saber:
1

Comprender la Definicin de Control Interno

Organizar un Equipo para Llevar a Cabo la Evaluacin

Evaluar el Control Interno a Nivel de Empresa

Comprender y Evaluar el Control Interno a Nivel de

Proceso, Transaccin, Aplicacin

Evaluar la Eficacia General, Identificar Asuntos que

Requieren Mejoras y Establecer un Sistema de
Monitoreo

La Gua aporta orientacin adicional sobre las dos primeras

fases de la metodologa. Proporcionaremos ms informacin
sobre la documentacin detallada y la evaluacin las
ltimas dos fasesen publicaciones futuras. Este documento
es una herramienta de ayuda a la gerencia para ejecutar la
tercera fase: evaluar el control interno a nivel de empresa.
Un lugar lgico para comenzar una evaluacin integral de
los controles internos es la cspide los controles a nivel
de empresa que pudieran tener un efecto dominante sobre
la organizacin. Esto incluye una consideracin de los
factores en cada uno de los cinco componentes del control
interno que pueden tener un efecto dominante sobre el
riesgo de errores o fraude. Estos cinco componentes
interrelacionados son:
1

Entorno de Control

Evaluacin de Riesgos

Informacin y Comunicacin

Actividades de Control

Monitoreo

A N U E S T RO S C L I E N T E S

AMIGOS

Una documentacin y evaluacin del control interno a

nivel de empresa por s misma no provee una perspectiva
completa del control interno de una empresa. Sin embargo,
es un punto de partida importante porque la evaluacin de
los controles a nivel de empresa, particularmente cuando
se identifican debilidades, puede tener un efecto
significativo sobre la evaluacin general de la eficacia de
los controles internos y los procedimientos para reportar
informacin financiera.

En muchas companas, la gerencia preparar una sola

evaluacin del control interno de la organizacin a nivel de
empresa. En otros casos, tales como en compaas ms
grandes con varias localidades o lneas de negocios que
operan descentralizadamente, puede ser apropiado ejecutar
una evaluacin separada de los controles a nivel de
empresa para las localidades o lneas de negocios
individuales y usar los resultados para hacer una
evaluacin general a nivel de empresa.

Con el fin de ayudar a la gerencia en la evaluacin del

control interno a nivel de empresa, en este documento
presentamos varios puntos a considerar para cada uno de
los cinco componentes del control interno. Estos puntos no
abarcan todo, y no todos los puntos listados sern
aplicables a todas las compaas. Factores internos y
externos nicos para una empresa en particular pueden dar
como resultado que las compaas desarrollen mecanismos
de control nicos, y esos factores y mecanismos de control
nicos pueden dar lugar a considerar puntos adicionales. Si
bien una respuesta no a un punto individual no significa
necesariamente que todo el componente de control interno
a nivel de empresa es ineficaz, una respuesta no
(especialmente cuando hay varias de estas respuestas) debe
aumentar la percepcin hacia debilidades potenciales en el
control interno e indicar reas sobre las cuales la gerencia
debe enfocar su atencin.

Ernst & Young ha desarrollado la Gua y esta publicacin

suplementaria con base en nuestro amplio conocimiento de
la evaluacin de controles internos sobre los reportes de
informacin financiera en combinacin con auditoras de
estados financieros. Estas publicaciones no pueden
considerar todos los posibles interrogantes relacionados
con una evaluacin del control interno de una compaa,
pero proporcionan una metodologa y estructura tiles para
ayudar a la gerencia en su evaluacin. Tendremos mucho
gusto en discutir con ustedes sobre la evaluacin del
control interno en su compaa. Adems, contamos con los
conocimientos y la experiencia para ayudarle en la
documentacin de sus controles internos.

E VA L UAC I N

DEL

Una versin en plantilla de este documento puede

obtenerse visitando nuestro website en _____________, o
usted puede solicitar una copia a un miembro del equipo
de Ernst & Young.

C O N T RO L I N T E R N O

Entorno de Control
El entorno de control refleja la pauta fijada por la alta gerencia y la actitud general, la conciencia y las acciones de la
junta directiva, la gerencia, los dueos y otros, con respecto a la importancia del control interno y el nfasis puesto sobre
el control en las polticas, procedimientos, mtodos y estructura organizacional de la compaa. Esto es el fundamento
para todos los otros componentes del control interno, que proveen disciplina y estructura.
Puntos a considerar

Respuestas/Comentarios

Integridad, valores ticos, y comportamiento de los ejecutivos clave

1

Muestra la junta directiva inters por la integridad y los

valores ticos? Hay un cdigo de conducta y/o una poltica
de tica, y estos han sido comunicados adecuadamente?

Si

No

Comentarios:

Se ha comunicado eficazmente el compromiso de la

gerencia a la integridad y el comportamiento tico a toda
la compaa, tanto en palabras como en hechos? La
gerencia lidera dando el ejemplo?

Si

No

Comentarios:

Se le pide al personal de la alta gerencia que ha sido

contratado fuera de la compaa que se familiarice con la
importancia de altos valores ticos y controles?

Si

No

Comentarios:

Trata la gerencia de eliminar o reducir los incentivos o

tentaciones que pueden propiciar que el personal se
involucre en actos fraudulentos, ilegales o no ticos?

Si

No

Comentarios:

Otorga la gerencia recompensas, tales como bonos o

acciones de la compaa, fomentando un tono tico
apropiado (p. ej., estas no se otorgan a quienes cumplen
objetivos, sino, en el proceso, evaden las polticas,
procedimientos o controles establecidos)?

Si

No

Comentarios:

Toma la gerencia accin disciplinaria apropiada en

respuesta a las desviaciones de polticas y procedimientos
aprobados o violaciones del cdigo de conducta?

Si

No

Comentarios:

Si

No

Comentarios:

Conciencia de control de la gerencia y estilo operativo

1

Es apropiada la estructura de la gerencia (p. ej., no es

dominada por uno o unos pocos individuos) y existe una
supervisin eficaz por parte de la junta directiva y/o el
comit de auditora?

E N TO R N O

DE

C O N T RO L

Puntos a considerar

Respuestas/Comentarios

Tiende a ser conservadora la filosofa de la gerencia sobre

reportar informacin financiera (financial reporting),
incluyendo su actitud hacia el desarrollo de estimaciones?
Se reducen al mnimo las influencias (bias) que puedan
afectar estimaciones contables significativas y minimizar
otros juicios?

Si

No

Comentarios:

Existe un mecanismo establecido para educar y comunicar

regularmente a la gerencia y a los empleados la
importancia de los controles internos, y elevar el nivel de
entendimiento de los controles?

Si

No

Comentarios:

Presta la gerencia la apropiada atencin al control interno,

incluyendo los efectos del procesamiento de sistemas de
informacin?

Si

No

Comentarios:

Corrige la gerencia oportunamente las deficiencias

identificadas en el control interno?

Si

No

Comentarios:

Estn equilibrados los incentivos a la gerencia (p. ej., la

parte de la compensacin de la gerencia derivada de
bonos, opciones de compra de acciones, u otros incenti
vos no promueve un excesivo nivel de inters en mantener
o aumentar el precio de las acciones o las ganancias de
la empresa)?

Si

No

Comentarios:

Establece la gerencia objetivos financieros y expectativas

reales (p. ej., no excesivamente agresivos) para el personal
operativo?

Si

No

Comentarios:

Compromiso de la gerencia a ser competente

1

Parece el personal tener la capacidad y el entrenamiento

necesarios para su nivel de responsabilidad asignado o la
naturaleza y complejidad del negocio?

Si

No

Comentarios:

Posee la gerencia una amplia experiencia funcional (la

gerencia viene de varias reas funcionales en vez de slo
unas pocas, tales como produccin y ventas)?

Si

No

Comentarios:

Es apropiado el personal departamental, (particularmente

con respecto al conocimiento y experiencia de la gerencia
y los niveles supervisores dentro de las reas de
contabilidad, sistemas de informacin y reporte de
informacin financiera)?

Si

No

Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Muestra la gerencia una voluntad de consultar con los

auditores y tratar asuntos significativos que se relacionan
con el control interno y asuntos de contabilidad?

Si

No

Comentarios:

Demuestra la gerencia un compromiso para proveer

suficiente personal de contabilidad y financiero para
mantener el ritmo de crecimiento y/o complejidad del
negocio?

Si

No

Comentarios:

Participacin de la junta directiva y/o el comit de auditora en el

gobierno (governance)y la vigilancia
1

Es apropiada la estructura de la junta directiva, incluyendo

el nmero de directores, sus antecedentes y experiencia,
dada la naturaleza de la compaa? La independencia de
los miembros externos de la junta directiva ha sido
revisada adecuadamente, incluyendo afiliaciones,
relaciones y transacciones con la compaa?

Si

No

Comentarios:

Son independientes de la gerencia, la junta directiva y el

comit de auditoria, tanto as que con frecuencia indagan
y plantean preguntas segn sea necesario?

Si

No

Comentarios:

Consideran adecuadamente la junta directiva y/o el comit

de auditoria la importancia del entendimiento de los
procesos que la gerencia emplea para monitorear los
riesgos de negocios que afectan a la organizacin?

Si

No

Comentarios:

Representa el comit de auditoria un supervisor informado,

vigilante y eficaz del proceso de reporte de informacin
financiera (financial reporting) y del control interno de la
compaa, incluyendo el procesamiento de sistemas de
informacin y los controles computarizados relacionados?

Si

No

Comentarios:

Incluye el comit de auditoria al menos a un experto

financiero (financial expert)?

Si

No

Comentarios:

Mantiene el comit de auditoria una lnea directa de

comunicacin con los auditores externos e internos de
la empresa?

Si

No

Comentarios:

Tiene el comit de auditora un documento que defina sus

deberes y responsabilidades? Tiene el comit de auditora
los recursos adecuados y la autoridad para ejercer sus
responsabilidades?

Si

No

Comentarios:

E N TO R N O

DE

C O N T RO L

Puntos a considerar

Respuestas/Comentarios

Estructura organizacional y asignacin de autoridad y responsabilidades

1

Es la estructura organizacional adecuada para el tamao,

actividades operacionales, y ubicacin de la compaa?

Si

No

Comentarios:

Es apropiada la estructura organizacional general (es

decir, no demasiado compleja, ni abarca numerosas
empresas jurdicas o poco usuales, lneas administrativas
de autoridad, o convenios contractuales sin propsito
aparente de negocios)?

Si

No

Comentarios:

Existe una estructura apropiada para asignar la propiedad

de la informacin, incluso quines estn autorizados
para iniciar y/o modificar transacciones? Se asigna la
propiedad para cada aplicacin y base de datos dentro
de la infraestructura de IT?

Si

No

Comentarios:

Hay polticas apropiadas para aquellos asuntos como

aceptacin de nuevos negocios, conflictos de inters, y
practicas de seguridad? Son ellas comunicadas
adecuadamente a toda la organizacin?

Si

No

Comentarios:

Hay polticas y procedimientos apropiados para la

autorizacin y aprobacin de transacciones al nivel
adecuado?

Si

No

Comentarios:

Es clara la asignacin de responsabilidades, incluyendo

responsabilidades del procesamiento de sistemas de
informacin y desarrollo de programas?

Si

No

Comentarios:

Revisa y modifica la gerencia la estructura organizacional

de la compaa de acuerdo a los cambios de condiciones?

Si

No

Comentarios:

Hay una adecuada supervisin y monitoreo de las

operaciones descentralizadas (incluyendo personal de
contabilidad y sistemas de informacin)?

Si

No

Comentarios:

Hay una apropiada segregacin de actividades

incompatibles (es decir, la separacin entre la
contabilizacin y el acceso a activos)?

Si

No

Comentarios:

Si

No

Comentarios:

Polticas y practicas de recursos humanos

1

Existen normas y procedimientos para la contratacin,

adiestramiento, motivacin, evaluacin, promocin,
remuneracin, traslados y terminacin de personal que
sean aplicables a todas las reas funcionales (p.ej.,
contabilidad, mercadeo, sistemas de informacin)?

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Existen procedimientos de investigacin para la seleccin

de solicitantes de empleo, particularmente para personal
con acceso a activos susceptibles a sustraccin?

Si

No

Comentarios:

Son claras las polticas y procedimientos y se emiten,

actualizan y modifican oportunamente? Se comunican
eficazmente al personal en localidades descentralizadas
y/o extranjeras?

Si

No

Comentarios:

Hay descripciones de funciones, manuales de referencia u

otras formas de comunicacin que informen al personal
sobre sus obligaciones?

Si

No

Comentarios:

El desempeo del trabajo es evaluado y revisado

peridicamente con cada empleado?

Si

No

Comentarios:

Evaluacin del Entorno de Control:

Eficaz

Ineficaz

Resuma las razones que soportan su evaluacin, a menos que sean obvias:
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
5

E VA L UAC I N

DE

RIESGOS

Evaluacin de Riesgos
La evaluacin de riesgos es la identificacin y anlisis de riesgos relevantes (tanto internos como externos) al logro de
los objetivos, formando una base para determinar cmo los riesgos deben ser administrados.

Puntos a considerar

Respuestas/Comentarios

Se han establecido y comunicado objetivos a nivel de empresa,

incluyendo cmo estn apoyados por planes estratgicos y
complementados a nivel de proceso / aplicacin. Se ha establecido
un proceso de evaluacin de riesgo, incluyendo la estimacin de la
importancia de los riesgos, la evaluacin de la probabilidad de su
ocurrencia, y la determinacin de las acciones necesarias a seguir.
1

Son establecidos, comunicados y monitoreados los

objetivos de negocios? Son comunicados a toda la
empresa los elementos clave del plan estratgico de la
empresa, de manera que los empleados tengan un
entendimiento bsico de la estrategia general de la
compaa? El plan estratgico de la empresa y los
objetivos de negocio se complementan entre si?

Si

No

Comentarios:

Existe un proceso que peridicamente revise y actualice

los planes estratgicos de toda la empresa? El plan
estratgico es revisado y aprobado por la junta directiva?

Si

No

Comentarios:

El plan estratgico de toda la empresa incluye IT o existe

un plan estratgico separado de IT que trate las
necesidades tecnolgicas de la empresa para cumplir con
su plan estratgico eficaz y eficientemente?

Si

No

Comentarios:

Existe un mecanismo adecuado que identifique riesgos de

negocios, incluyendo aquellos que resulten de:
Entrada a nuevos mercados o lneas de negocios?

Si

No

Comentarios:

Ofrecimiento de nuevos productos y servicios?

Si

No

Comentarios:

Cumplimiento de requerimientos de privacidad y

proteccin de informacin?

Si

No

Comentarios:

Si

No

Comentarios:

Otros cambios en el negocio, la economa y el entorno

regulador?

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Realiza la auditora interna (u otro grupo dentro de la

compaa) evaluaciones peridicas de riesgos (al menos
anualmente)? Si la respuestas es si, revisa la alta gerencia
las evaluaciones de riesgos y considera acciones para
mitigar los riesgos significativos identificados?

Si

No

Comentarios:

La gerencia considera cunto riesgo est dispuesto a

aceptar cuando fija la direccin estratgica o la entrada a
nuevos mercados, y se esfuerza por mantener los riesgos
dentro de esos niveles?

Si

No

Comentarios:

Supervisan y monitorean la junta directiva y/o el comit

de auditoria el proceso de evaluacin de riesgo y toman
acciones para tratar los riegos significativos identificados?

Si

No

Comentarios:

Existen mecanismos para anticipar, identificar y reaccionar a los

cambios que pudieran tener un efecto dramtico y dominante en la
empresa (p. ej., el comit de administracin de activos/pasivos en
una institucin financiera, el grupo de administracin de riesgos de
comercializacin de commodities en una empresa manufacturera)
o que pudiera afectar el logro de objetivos de la empresa o de niveles
de procesos/aplicaciones.
1

Estn bien controladas las adquisiciones y ventasdisposiciones de negocios significativas y los activos (p. ej.,
finalizados despus de completar los procedimientos de due
diligence, revisados por un nivel apropiado de la gerencia)?

Si

No

Comentarios:

Existen grupos o individuos que son responsables de

anticipar e identificar cambios que pudieran tener un efecto
significativo sobre la empresa? Existen procesos para
informar a niveles apropiados de la gerencia acerca de
cambios con posibles efectos significativos en la empresa?

Si

No

Comentarios:

Son actualizados durante al ao los presupuestos/

proyecciones para reflejar condiciones cambiantes?

Si

No

Comentarios:

Se hacen revisiones peridicas o existen otros

procedimientos para que, entre otras cosas, se anticipen e
identifiquen eventos o actividades rutinarios que puedan
afectar la capacidad de la empresa de cumplir con sus
objetivos y tratarlos?

Si

No

Comentarios:

La gerencia reporta a la junta directiva y/o el comit de

auditoria acerca de cambios que pudieran tener un efecto
significativo en la empresa?

Si

No

Comentarios:

E VA L UAC I N

DE

RIESGOS

Puntos a considerar

Respuestas/Comentarios

El departamento de contabilidad tiene procesos establecidos para:

(1) identificar cambios en los principios de contabilidad generalmente
aceptados(PCGA) promulgados por los organismos con autoridad
relevantes, (2) notificar al departamento de contabilidad de cambios en
las practicas de negocios de la compaa que puedan afectar el mtodo
o los procesos para registrar transacciones, y (3) identificar cambios
significativos en el control interno o el entorno operativo, incluyendo
cambios que resulten de nuevas regulaciones o cambios en stas.
1

Tiene el departamento de contabilidad un proceso para

identificar y tratar cambios en PCGA, as como tambin
para la aprobacin de modificaciones en la contabilidad
para tratar dichos cambios?

Si

No

Comentarios:

Trabaja la gerencia con los auditores externos u otras

terceras personas expertas para determinar si estn
tratando los cambios complejos de los PCGA
apropiadamente?

Si

No

Comentarios:

Revisan la junta directiva y/o el comit de auditoria los

cambios significativos en las prcticas contables de la
empresa y los aprueban?

Si

No

Comentarios:

Existen procesos para asegurar que el departamento de

contabilidad conozca los cambios en el entorno operativo,
para que luego pueda revisar tales cambios y determinar
los efectos, si es que existe alguno, que los cambios
puedan tener sobre las prcticas contables de la empresa?

Si

No

Comentarios:

Existen canales de comunicacin entre el departamento de

contabilidad y/o individuos a cargo de monitorear las
regulaciones, para que el departamento de contabilidad
conozca los cambios en las regulaciones que podran
afectar las practicas contables de la empresa?

Si

No

Comentarios:

Existen procesos para asegurar que el departamento

de contabilidad (y la junta directiva y/o el comit de
auditoria) conozcan las transacciones significativas
con partes relacionadas, para que luego puedan
determinar si tales transacciones son apropiadamente
contabilizadas y reveladas?

Si

No

Comentarios:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Evaluacin de la Evaluacin de Riesgos:

Eficaz

Ineficaz

Resuma las razones que soportan su evaluacin, a menos que sean obvias:
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________

I N F O R M AC I N

C O M U N I C AC I N

Informacin y Comunicacin
Los sistemas de informacin y comunicacin apoyan la identificacin, captura e intercambio de informacin en una
forma y oportunidad que permiten a la gerencia y a otro personal apropiado cumplir con sus responsabilidades.

Puntos a considerar

Respuestas/Comentarios

Informacin
Los sistemas de informacin proveen a la gerencia los reportes
necesarios sobre el desempeo de la empresa en relacin a los
objetivos establecidos, incluyendo informacin interna y externa
relevante, y proporcionan la informacin a la gente apropiada con
el detalle necesario y a tiempo, para permitirles cumplir con sus
responsabilidades eficaz y eficientemente.
1

Es la empresa capaz de preparar informes financieros

exactos y oportunos, incluyendo informes interinos?

Si

No

Comentarios:

Reciben la junta directiva y la gerencia suficiente informacin

oportuna que les permita cumplir con sus responsabilidades?

Si

No

Comentarios:

Son definidos y medibles los objetivos de la gerencia en

trminos de presupuestos, ganancias, y otros objetivos
financieros y operativos? Son los resultados reales
medidos en relacin a esos objetivos?

Si

No

Comentarios:

Hay un alto nivel de satisfaccin de los usuarios con el

procesamiento de los sistemas de informacin, incluyendo
aspectos como confiabilidad y oportunidad de los informes?

Si

No

Comentarios:

Hay un nivel suficiente de coordinacin entre las

funciones/departamentos de contabilidad y procesamiento
de sistemas de informacin?

Si

No

Comentarios:

Si

No

Comentarios:

Los sistemas de informacin son desarrollados o revisados en base

al plan estratgico que est interrelacionado con los sistemas de
informacin generales de la empresa, y responden al logro de los
objetivos a nivel de empresa y a nivel de procesos/aplicaciones.
1

10

Existen polticas apropiadas para desarrollar y modificar los

sistemas de contabilidad y control (incluyendo cambios y uso
de programas de computacin y/o archivos de computacin)?

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Son los esfuerzos de la gerencia para desarrollar o revisar

los sistemas de informacin (incluyendo sistemas de
contabilidad) congruentes con sus planes estratgicos?

Si

No

Comentarios:

Existen aplicaciones o transacciones importantes que sean

ejecutadas/ procesadas por organizaciones que prestan
servicios (service organizations)? Si la respuesta es si, tiene
la gerencia documentados los controles relevantes
asociados a la organizacin de servicios, la compaa o
ambos que mitiguen el riesgo de error? Hay polticas para
la supervisin peridica de los controles de la organizacin
de servicios o la compaa y se toman acciones apropiadas
para mitigar el potencial de nuevos riesgos?

Si

No

Comentarios:

La gerencia destina los recursos humanos y financieros apropiados

para desarrollar los sistemas de informacin necesarios, y asegura y
supervisa a los usuarios que participan en el desarrollo (incluyendo
revisiones) y prueba de los programas.
1

Participa la junta directiva y/o el comit de auditoria en

los proyectos de monitoreo de los sistemas de informacin
y prioridad de los recursos?

Si

No

Comentarios:

Refleja claramente el diagrama de organizacin de IT

las reas de responsabilidad y las lneas de reporte y
comunicacin?

Si

No

Comentarios:

Existen responsabilidades definidas para los responsables

de implantar, documentar, probar y aprobar cambios en
los programas de computacin que son comprados o
desarrollados por el personal de sistemas de informacin
o los usuarios?

Si

No

Comentarios:

Son bien controladas las conversiones de los sistemas

(p. ej., completadas de acuerdo a procedimientos o planes
escritos)?

Si

No

Comentarios:

Asegura y monitorea la gerencia financiera a los usuarios

involucrados en el desarrollo de programas, incluyendo el
diseo de pruebas del control interno y balances?

Si

No

Comentarios:

Hay un alto grado de cooperacin e interaccin entre

usuarios y el departamento de IT (p. ej., procedimientos para
asegurar el monitoreo continuo por parte del departamento
de IT de la satisfaccin de los usuarios con el procesamiento
y polticas de IT para el desarrollo, modificacin y uso de
los programas y los archivos de datos)?

Si

No

Comentarios:

11

I N F O R M AC I N

C O M U N I C AC I N

Puntos a considerar

Respuestas/Comentarios

La gerencia ha establecido un plan de continuidad del negocio/

recuperacin de desastres para todos los centros primarios de
informacin.
1

Son replicados (backed up) regularmente los programas

de aplicacin y los archivos?

Si

No

Comentarios:

Existe un plan actual de recuperacin de desastres para

componentes importantes de la infraestructura de IT?

Si

No

Comentarios:

Hay un plan de continuidad de negocios que incorpore el

plan de recuperacin de desastres y las necesidades de los
departamentos usuarios para recuperar oportunamente las
funciones criticas, los sistemas, procesos e informacin
del negocio?

Si

No

Comentarios:

Son los planes de recuperacin de desastres y continuidad

de negocios probados peridicamente (al menos una vez
al ao)?

Si

No

Comentarios:

Son los planes de recuperacin de desastres y continuidad

de negocios actualizados de acuerdo a cambios en las
condiciones?

Si

No

Comentarios:

Comunicacin
La gerencia comunica los deberes y responsabilidades de control
de los empleados en una manera eficaz, y ha establecido canales
de comunicacin para que la gente reporte situaciones que se
sospeche son impropias
1

Son claramente definidas y comunicadas las lneas de

autoridad y responsabilidad (incluyendo lneas de
reportes) dentro de la compaa?

Si

No

Comentarios:

Existen descripciones de funciones por escrito y manuales de

referencia que describan las responsabilidades del personal?

Si

No

Comentarios:

Son las polticas y procedimientos establecidos y

comunicados al personal en las localidades descentralizadas
(incluyendo operaciones extranjeras)?

Si

No

Comentarios:

Hay adiestramiento/orientacin para los nuevos empleados,

o empleados que comienzan en una nueva posicin,
para discutir la naturaleza y alcance de sus deberes y
responsabilidades? El adiestramiento/orientacin incluye
una discusin de controles internos especficos de los
cuales son responsables?

Si

No

Comentarios:

12

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Hay un proceso para que los empleados comuniquen

situaciones impropias? Es el proceso bien comunicado a
toda la empresa? El proceso permite guardar la identidad
de quienes reportan posibles situaciones impropias?
Existe un proceso para reportar situaciones impropias, y
acciones tomadas para tratarlas, a la alta gerencia, la junta
directiva y/o el comit de auditoria?

Si

No

Comentarios:

Son revisadas, investigadas y resueltas oportunamente

todas las posibles situaciones impropias reportadas?

Si

No

Comentarios:

Existe una adecuada comunicacin a travs de la organizacin que

permita a la gente cumplir con su responsabilidad eficazmente, y la
gerencia toma acciones de seguimiento oportuna y apropiadamente
sobre las comunicaciones recibidas de clientes, proveedores,
reguladores u otras partes externas.
1

Creen los empleados que tienen informacin adecuada

para cumplir con las responsabilidades de su trabajo?

Si

No

Comentarios:

Hay un proceso que comunique rpidamente la informacin

crtica a toda la compaa cuando sea necesario?

Si

No

Comentarios:

Hay un proceso para recopilar la informacin de los

clientes, proveedores, reguladores y otras partes externas?

Si

No

Comentarios:

Se asigna responsabilidad a un miembro de la gerencia para

ayudar a asegurarse que la empresa responda apropiada,
oportuna y correctamente a las comunicaciones de los
clientes, proveedores, reguladores y otras partes externas?

Si

No

Comentarios:

Evaluacin de Informacin y Comunicacin:

Eficaz

Ineficaz

Resuma las razones que soportan su evaluacin, a menos que sean obvias:
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
13

A C T I V I DA D E S

DE

C O N T RO L

Actividades de Control
Las actividades de control son las polticas y procedimientos que ayudan a asegurar que las directrices de la gerencia
sean cumplidas.

Puntos a considerar

Respuestas/Comentarios

Existen polticas y procedimientos necesarios con respecto a que

cada una de las actividades de la empresa y los controles sealados
por la poltica estn siendo aplicados.
1

Se siguen las prcticas contables y de cierre consistentemente

en fechas interinas (p. ej., trimestral, mensualmente) durante
el ao? Est la gerencia apropiadamente involucrada en la
revisin de las estimaciones contables significativas y apoyo
para las transacciones no usuales significativas y asientos de
diario no estndar?

Si

No

Comentarios:

Hay documentacin oportuna y apropiada para las

transacciones?

Si

No

Comentarios:

Revisa la empresa sus polticas y procedimientos

peridicamente para determinar si continan siendo
apropiados para las actividades de la compaa?

Si

No

Comentarios:

Tienen los miembros de la gerencia responsabilidad

(ownership) sobre las polticas y los procedimientos? La
responsabilidad (ownership) incluye asegurarse que las
polticas y los procedimientos sean apropiadas para las
actividades de la compaa?

Si

No

Comentarios:

Si

No

Comentarios:

La gerencia tiene objetivos claros en trminos de presupuesto,

utilidades y otras metas financieras y de operacin, y estos objetivos
estn claramente escritos, y son comunicados a toda la empresa y
activamente monitoreados. Han sido implantados sistemas de
planificacin y de reporte para identificar variaciones en el
rendimiento planificado y comunicar estas variaciones al nivel
apropiado de la gerencia. El nivel de la gerencia apropiado investiga
las variaciones y toma acciones correctivas apropiadas y oportunas.
1

14

Existe un sistema de presupuesto?

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Revisa la gerencia los indicadores clave de rendimiento

(p. ej., presupuestos, utilidades, metas financieras, metas
operativas) regularmente (p. ej., mensual, trimestralmente)
e identifica variaciones significativas? La gerencia luego
investiga las variaciones significativas y se toman las
acciones correctivas apropiadas?

Si

No

Comentarios:

Son comunicadas y discutidas con la junta directiva y/o el

comit de auditora las variaciones en el rendimiento
planificado por lo menos trimestralmente?

Si

No

Comentarios:

Son entregados los estados financieros a la gerencia

operativa? Estn acompaados de comentarios analticos?

Si

No

Comentarios:

Los deberes son lgicamente divididos o segregados (manualmente

o a travs de la implementacin de aplicaciones de tecnologa de
informacin (IT) apropiadas) entre diferentes personas para reducir
el riesgo de fraude o de acciones impropias.
1

Hay una apropiada segregacin de actividades

incompatibles (p. ej., separacin entre contabilizacin de
activos y acceso a los mismos; la funcin de operaciones
IT separada de los sistemas y de la programacin; la
funcin de administracin de la base de datos separada de
la programacin de aplicaciones y de la programacin de
sistemas)? Son revisados los organigramas para asegurar
que existe una segregacin apropiada de deberes?

Si

No

Comentarios:

Se requieren aprobaciones apropiadas de parte de la

gerencia antes de permitir acceso a un individuo a
aplicaciones y bases de datos especficas?

Si

No

Comentarios:

Existe prohibicin para que el personal de IT tenga

responsabilidades o deberes incompatibles en
departamentos usuarios?

Si

No

Comentarios:

Hay procesos para revisar peridicamente (p. ej. trimestral,

semestralmente) los privilegios del sistema y controles de
acceso a las diferentes aplicaciones y bases de datos dentro
de la infraestructura de IT para determinar si los privilegios
del sistema y accesos de control son apropiados?

Si

No

Comentarios:

15

A C T I V I DA D E S

DE

C O N T RO L

Puntos a considerar

Respuestas/Comentarios

Se realizan comparaciones peridicas de montos registrados en el

sistema de contabilidad con activos fsicos. Existen adecuados
resguardos para prevenir acceso no autorizado o la destruccin de
documentos, registros y activos.
1

Ha establecido la gerencia procedimientos para conciliar

peridicamente activos fsicos (p. ej., efectivo, cuentas por
cobrar, inventarios, activo fijo) con los registros contables
relacionados?

Si

No

Comentarios:

Se toman inventarios fsicos /conteos cclicos en forma

peridica y se ajusta de acuerdo el sistema perpetuo de
inventario? Son investigados los ajustes significativos o
recurrentes para determinar la razn del ajuste y se toman las
acciones apropiadas para tratar las razones de los ajustes?

Si

No

Comentarios:

Ha establecido la gerencia procedimientos para prevenir

acceso no autorizado a, o la destruccin de, documentos,
registros (incluyendo programas de computacin y
archivos de datos), y activos?

Si

No

Comentarios:

Est restringido el acceso de procesamiento de datos a los

activos que no son de procesamiento de datos (p. ej.,
cheques en blanco)?

Si

No

Comentarios:

Informacin y-datos?

Si

No

Comentarios:

Capacidad funcional de programas (p. ej., ejecutar,

actualizar, modificar parmetros, solamente leer)?

Si

No

Comentarios:

Es razonable la seguridad fsica sobre los activos de

tecnologa de informacin (tanto el departamento IT y
usuarios), dada la naturaleza del negocio de la compaa?

Si

No

Comentarios:

La informacin electrnica crtica es respaldada

diariamente y guardada fuera de las instalaciones?

Si

No

Comentarios:

Se han establecido polticas para controlar el acceso a programas y

archivos de datos. Se usa software de seguridad de acceso, software
de sistema operativo, y/o software de aplicaciones para controlar el
acceso a programas de datos. Existe una funcin de seguridad de
informacin y es responsable de monitorear el cumplimiento de las
polticas y procedimientos de seguridad de informacin.
1

16

Son usados el software de seguridad de acceso, software de

sistemas operativos, y software de aplicaciones para
controlar ambos accesos centralizados y descentralizados a:

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Existen controles para acceso por telfono a los recursos de

computacin de la compaa (p. ej., firewalls; directorios
centralizados para guardar y manejar identidades de
usuarios y privilegios de recursos; solicitud, aprobacin y
proceso de cumplimiento para acceso a la empresa
automatizado y basado en la poltica)?

Si

No

Comentarios:

Hay una funcin dedicada de ejecutivo de seguridad

(security officer) que monitorea las actividades de
procesamiento de IT y existen informes peridicos para la
junta directiva y/o el comit de auditoria sobre el estado
actual de la seguridad de IT en la compaa?

Si

No

Comentarios:

Existen sistemas para monitorear y responder a

interrupciones potenciales del negocio debido a incidentes
de intrusin maliciosa, y para actualizar los protocolos de
seguridad para prevenirlos? Son las violaciones de seguridad
y otros incidentes automticamente registrados y revisados?

Si

No

Comentarios:

Realiza la compaa revisiones /auditorias peridicas de la

seguridad de IT? Si la respuesta es afirmativa, son los
resultados de esta revisin /auditora reportados a la junta
directiva y/o al comit de auditora?

Si

No

Comentarios:

Evaluacin de Actividades de Control:

Eficaz

Ineficaz

Resuma las razones que soportan su evaluacin, a menos que sean obvias:
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
17

M O N I TO R E O

Monitoreo
Monitoreo es un proceso que evala la calidad de desempeo del control interno a travs del tiempo.

Puntos a considerar

Respuestas/Comentarios

Se realizan evaluaciones peridicas del control interno y el personal,

mientras realiza sus deberes regulares, obtiene evidencia de que el
sistema de control interno sigue funcionando.
1

Requieren los procedimientos que la gerencia revise los

procesos de control para asegurarse que los controles
estn siendo aplicados tal como se esperaba?

Si

No

Comentarios:

Existen procedimientos para monitorear cundo los

controles son omitidos (overriden) y para determinar si la
omisin (overide) fue apropiada?

Si

No

Comentarios:

Existen polticas / procedimientos para asegurar que se

toman acciones correctivas de forma oportuna cuando
ocurren excepciones en los controles?

Si

No

Comentarios:

La gerencia: (1) implementa las recomendaciones de control interno

de los auditores internos e independientes, (2) corrige las deficiencias
conocidas en forma oportuna, y (3)responde apropiadamente a los
informes y las recomendaciones de los reguladores.
1

Toma la gerencia acciones adecuadas y oportunas para

corregir deficiencias reportadas por la funcin de
auditora interna?

Si

No

Comentarios:

Responde la gerencia en forma oportuna y apropiada a las

observaciones de los auditores independientes y a sus
recomendaciones en relacin al control interno y a las
polticas y procedimientos de la Compaa?

Si

No

Comentarios:

Recibe la compaa hallazgos y recomendaciones de los

reguladores? Si la respuesta es afirmativa, trata los
hallazgos adecuada y oportunamente?

Si

No

Comentarios:

Existen otras funciones de semi-auditora (p. ej., revisin

de crdito en una institucin financiera o administracin
de riesgos en una compaa de seguros) que reportan a la
gerencia y afectan el entorno de control general?

Si

No

Comentarios:

18

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Puntos a considerar

Respuestas/Comentarios

Hay una funcin de auditora interna que la gerencia utiliza para

asistirle en sus actividades de monitoreo.
1

Es adecuado el nivel de personal, adiestramiento, y

habilidades especializadas dado el entorno (p. ej., el uso
de auditores de sistemas con experiencia y capacitacin en
ambientes altamente automatizados y complejos)?

Si

No

Comentarios:

Es independiente la funcin de auditora interna (en

trminos de autoridad y relaciones de reporte) de las
actividades que auditan?

Si

No

Comentarios:

Se prohbe a los auditores internos tener responsabilidades

operativas que tengan conflictos con su funcin de
monitorear?

Si

No

Comentarios:

Tenen acceso directo los auditores internos a la junta

directiva y/o al comit de auditora?

Si

No

Comentarios:

Se adhiere la funcin de auditora interna a las normas

profesionales, tales como las normas emitidas por el
Instituto de Auditora Interna?

Si

No

Comentarios:

Ha habido una reciente revisin de calidad en la funcin

de auditora interna por terceros tales como los auditores
independientes de la compaa?

Si

No

Comentarios:

Es apropiado el alcance de las actividades de auditora

interna (p. ej., balance entre las auditorias financieras y
operacionales, cobertura y rotacin de operaciones
descentralizadas) dada la naturaleza, el tamao y la
estructura de la compaa?

Si

No

Comentarios:

El alcance de las actividades planificadas de auditora

interna es revisado en forma anticipada con:
La alta gerencia?

Si

No

Comentarios:

La junta directiva y/o el comit de auditora?

Si

No

Comentarios:

Los auditores independientes?

Si

No

Comentarios:

Desarrolla el departamento de auditora interna un plan

anual que considera el riesgo en la determinacin de la
asignacin de recursos?

Si

No

Comentarios:

Tienen los auditores internos autoridad para examinar

cualquier aspecto de las operaciones de la empresa?

Si

No

Comentarios:

19

M O N I TO R E O

Puntos a considerar
1

Respuestas/Comentarios

Son reportados los resultados de las actividades de la

auditora interna a:
La alta gerencia?

Si

No

Comentarios:

La junta directiva y/o el comit de auditora?

Si

No

Comentarios:

Los auditores independientes?

Si

No

Comentarios:

Eficaz

Evaluacin de Control de Monitoreo:

Ineficaz

Resuma las razones que soportan su evaluacin, a menos que sean obvias:
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
20

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

Evaluacin General del Control Interno a Nivel de Empresa:

Eficaz

Ineficaz

Basado en factores documentados en las secciones previas y en cualquier factor adicional (documentado a continuacin
o en un memorando separado) concluya sobre la eficacia general del control interno a nivel de empresa (proveer una
base para la conclusin de la gerencia, si no es obvia).
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________
_________________________________________________________________________________________________

21

22

E VA L UAC I N

DEL

C O N T RO L I N T E R N O

E R N S T & Y O U N G LLP

2003 Ernst & Young LLP.

All Rights Reserved.
Ernst & Young is
a registered trademark.
SCORE Retrieval File
No. EE0687

www.ey.com