Beruflich Dokumente
Kultur Dokumente
Enfoques
MARCO INTEGRADO COSO III: COMPONENTES, PRINCIPIOS Y PUNTOS DE
ENFOQUE
Los componentes del control interno representan el nivel más alto en la jerarquía del
Marco. Los cuales deben ser diseñados e implementados adecuadamente y deben
operar en conjunto y de manera sistémica, para que el control interno sea apropiado.
Los cinco componentes de control interno son:
• AMBIENTE DE CONTROL:
Es la base del control interno. Proporciona disciplina y estructura para apoyar al
personal en la consecución de los objetivos institucionales.
• ADMINISTRACIÓN DE RIESGOS:
Es el proceso que evalúa los riesgos a los que se enfrenta la institución en la
procuración del cumplimiento de sus objetivos. Esta evaluación provee las bases para
identificar los riesgos, analizarlos, catalogarlos, priorizarlos y desarrollar respuestas
que mitiguen su impacto en caso de materialización, incluyendo los riesgos de
corrupción
. • ACTIVIDADES DE CONTROL:
Son aquellas acciones establecidas, a través de políticas y procedimientos, por los
responsables de las unidades administrativas para alcanzar los objetivos
institucionales y responder a sus riesgos asociados, incluidos los de corrupción y los
de sistemas de información.
• INFORMACIÓN Y COMUNICACIÓN:
Es la información de calidad que la Administración y los demás servidores públicos
generan, obtienen, utilizan y comunican para respaldar el sistema de control interno y
dar cumplimiento a su mandato legal.
• SUPERVISIÓN:
Son las actividades establecidas y operadas por las unidades específicas que el Titular
ha designado, con la finalidad de mejorar de manera continua al control interno
mediante una vigilancia y evaluación periódicas a su eficacia, eficiencia y economía.
La supervisión es responsabilidad de la Administración en cada uno de los procesos
que realiza, y se apoya, por lo general, en el área de auditoría interna o unidades
específicas para llevarla a cabo. La supervisión contribuye a la optimización
permanente del control interno y, por lo tanto, a la calidad en el desempeño de las
operaciones, la salvaguarda de los recursos públicos, la prevención de la corrupción,
la oportuna resolución de los hallazgos de auditoría y de otras revisiones, así como a
la idoneidad y suficiencia de los controles implementados.
Los 17 principios respaldan el diseño, implementación y operación de los
componentes asociados de control interno y representan los requerimientos
necesarios para establecer un control interno apropiado, es decir, eficaz, eficiente,
económico y suficiente conforme a la naturaleza, tamaño, disposiciones jurídicas y
mandato de la institución.
A continuación se mencionan cada uno de los 5 componentes de control interno y se
detallan sus 17 principios asociados.
AMBIENTE DE CONTROL PRINCIPIO
PRINCIPIO 1: El Órgano de Gobierno, en su caso, el Titular y la Administración deben
mostrar una actitud de respaldo y compromiso con la integridad, los valores éticos, las
normas de conducta y la prevención de irregularidades administrativas y la corrupción.
PRINCIPIO 2: El Titular y la Administración es responsable de supervisar el
funcionamiento del control interno, a través de las unidades que establezca para tal
efecto.
PRINCIPIO 3: El Titular y la Administración deben autorizar, conforme a las
disposiciones jurídicas y normativas aplicables, la estructura organizacional, asignar
responsabilidades y delegar autoridad para alcanzar los objetivos institucionales,
preservar la integridad, prevenir la corrupción y rendir cuentas de los resultados
alcanzados.
PRINCIPIO 4: El Titular y la Administración, son responsables de promover los medios
necesarios para contratar, capacitar y retener profesionales competentes.
PRINCIPIO 5: La Administración, debe evaluar el desempeño del control interno en la
institución y hacer responsables a todos los servidores públicos por sus obligaciones
específicas en materia de control interno.
ADMINISTRACIÓN DE RIESGOS
PRINCIPIO 6: El Titular, debe formular un plan estratégico que de manera coherente y
ordenada oriente los esfuerzos institucionales hacia la consecución de los objetivos
relativos a su mandato y las disposiciones jurídicas y normativas aplicables,
asegurando además que dicha planeación estratégica contempla la alineación
institucional a los Planes nacionales, regionales, sectoriales y todos los demás
instrumentos y normativas vinculatorias que correspondan. Al elaborar el plan
estratégico de la institución, armonizado con su mandato y con todos los documentos
pertinentes, de acuerdo con las disposiciones legales aplicables, el Titular, deberá
asegurarse de que los objetivos y metas específicas contenidas en el mismo son
claras y que permiten la identificación de riesgos y la definición de la tolerancia a éstos
en los diversos procesos que se realizan en la institución.
PRINCIPIO 7: La Administración, debe identificar, analizar y responder a los riesgos
asociados al cumplimiento de los objetivos institucionales, así como de los procesos
por los que se obtienen los ingresos y se ejerce el gasto, entre otros.
PRINCIPIO 8: La Administración, debe considerar la posibilidad de ocurrencia de
actos de corrupción, fraude, abuso, desperdicio y otras irregularidades relacionadas
con la adecuada salvaguarda de los recursos públicos, al identificar, analizar y
responder a los riesgos, en los diversos procesos que realiza la institución.
PRINCIPIO 9: La Administración, debe identificar, analizar y responder a los cambios
significativos que puedan impactar al control interno.
ACTIVIDADES DE CONTROL
PRINCIPIO 10: La Administración, debe diseñar, actualizar y garantizar la suficiencia e
idoneidad de las actividades de control establecidas para lograr los objetivos
institucionales y responder a los riesgos. En este sentido, la Administración es
responsable de que existan controles apropiados para hacer frente a los riesgos que
se encuentran presentes en cada uno de los procesos que realizan, incluyendo los
riesgos de corrupción.
PRINCIPIO 11: La Administración, debe diseñar los sistemas de información
institucional y las actividades de control relacionadas con dicho sistema, a fin de
alcanzar los objetivos y responder a los riesgos.
INFORMACIÓN Y COMUNICACIÓN
PRINCIPIO 13: La Administración, debe implementar los medios que permitan a cada
unidad administrativa elaborar información pertinente y de calidad para la consecución
de los objetivos institucionales y el cumplimiento de las disposiciones aplicables a la
gestión financiera.
PRINCIPIO 14: La Administración, es responsable de que cada unidad administrativa
comunique internamente, por los canales apropiados y de conformidad con las
disposiciones aplicables, la información de calidad necesaria para contribuir a la
consecución de los objetivos institucionales y la gestión financiera.
PRINCIPIO 15: La Administración, es responsable de que cada unidad administrativa
comunique externamente, por los canales apropiados y de conformidad con las
disposiciones aplicables, la información de calidad necesaria para contribuir a la
consecución de los objetivos institucionales y la gestión financiera.
SUPERVISIÓN
PRINCIPIO 16: La Administración, debe establecer actividades para la adecuada
supervisión del control interno y la evaluación de sus resultados, en todas las unidades
administrativas de la institución. Conforme a las mejores prácticas en la materia, en
dichas actividades de supervisión contribuye generalmente el área de auditoría
interna, la que reporta sus resultados directamente al Titular o, en su caso, el Órgano
de Gobierno.
PRINCIPIO 17: La Administración, es responsable de que se corrijan oportunamente
las deficiencias de control interno detectadas.
A continuación se presenta la relación entre los componentes, los principios y los
puntos de enfoque para cada uno. Los puntos de enfoque representan las
características importantes de cada principio, lo que permite que sean más fáciles de
entender y que la entidad pueda evaluar si el principio está presente y funcionando en
su sistema de control interno.
Para determinar que el Sistema de Control Interno es efectivo se requiere que los
cinco componentes y los principios estén presentes y funcionando:
Establece el tono de la
gerencia: La Junta
Directiva, la Alta Gerencia
y el personal supervisor
están comprometidos con
los valores y principios
éticos y los refuerzan en
sus actuaciones.
Establece estándares de
conducta: La integridad y
los valores éticos son
I. Entorno de control 1. La organización
definidos en los
demuestra compromiso
estándares de conducta de
con la integridad y los
la entidad y entendidos en
valores éticos.
todos los niveles de la
organización y por los
proveedores de servicio
externos y socios de
negocios.
Evalúa la adherencia a
estándares de conducta:
Los procesos están en su
lugar para evaluar el
desempeño de los
individuos y equipos en
relación con los
estándares de conducta
esperados.
Opera de manera
independiente:
La Junta Directiva tiene
suficientes miembros,
quienes son
independientes de la
Administración y objetivos
en evaluaciones y toma de
decisiones.
Brinda supervisión sobre
el Sistema de Control
Interno: La Junta Directiva
conserva la
responsabilidad de
supervisión del diseño,
implementación y
conducción del Control
Interno de la
Administración:
Entorno de Control:
Establece integridad y
valores éticos,
estructuras de
supervisión, autoridad y
responsabilidad,
expectativas de
competencia, y rendición
de cuentas a la Junta.
Evaluación de Riesgos:
Monitorea las
evaluaciones de riesgos
de la administración para
el cumplimiento de los
objetivos, incluyendo el
impacto potencial de los
cambios significativos,
fraude, y la evasión del
control interno por parte
de la administración.
Actividades de Control:
Provee supervisión a la
Alta Dirección en el
desarrollo y
cumplimiento de las
actividades de control.
Información y
Comunicación: Analiza
y discute la información
relacionada con el
cumplimiento de los
objetivos de la entidad.
Actividades de
Supervisión: Evalúa y
supervisa la naturaleza y
alcance de las
actividades de monitoreo
y la evaluación y
mejoramiento de la
administración de las
deficiencias.
Considera todas las
estructuras de la
entidad:
3. La dirección establece
La Administración y la
con la supervisión del
Junta Directiva consideran
Consejo, las estructuras,
las estructuras múltiples
líneas de reporte y los
utilizadas (incluyendo
niveles de autoridad y
unidades operativas,
responsabilidad
entidades legales,
apropiados para la
distribución geográfica, y
consecución de los
proveedores de servicios
objetivos.
externos) para apoyar la
consecución de los
objetivos.
Establece líneas de
reporte: La Administración
diseña y evalúa las líneas
de reporte para cada
estructura de la entidad,
para permitir la ejecución
de autoridades y
responsabilidades, y el
flujo de información para
gestionar las actividades
de la entidad
Define, asigna y delimita
autoridades y
responsabilidades:
La Administración y la
Junta Directiva delegan
autoridad, definen
responsabilidades, y
utilizan procesos y
tecnologías adecuadas
para asignar
responsabilidad, segregar
funciones según sea
necesario en varios niveles
de la organización:
Junta directiva: conserva
autoridad sobre las
decisiones significativas
y revisa las evaluaciones
de la administración y las
limitaciones de
autoridades y
responsabilidades
Alta Dirección: establece
instrucciones, guías, y
control habilitando a la
administración y otro
personal para entender y
llevar a cabo sus
responsabilidades de
control interno.
Administración: Guía y
facilita la ejecución de
las instrucciones de la
Alta Dirección dentro de
la entidad y sus sub-
unidades.
Personal: Entiende los
estándares de conducta
de la entidad, los riesgos
evaluados para los
objetivos, y las
actividades de control
relacionadas con sus
respectivos niveles de la
entidad, la información
esperada y los flujos de
comunicación, así como
las actividades de
monitoreo relevantes
para el cumplimiento de
los objetivos.
Proveedores de servicios
externos: Cumple con la
definición de la
administración del
alcance de la autoridad y
la responsabilidad para
todos los que no sean
empleados
comprometidos.
Establece políticas y
prácticas: Las políticas y
prácticas reflejan las
expectativas de
competencia necesarias
para apoyar el
cumplimiento de los
objetivos.
Evalúa la competencia y
direcciona las
deficiencias:
La Junta Directiva y la
Administración evalúan la
competencia a través de la
organización y en los
proveedores de servicios
externos, de acuerdo con
las políticas y prácticas
establecidas, y actúa
cuando es necesario
direccionando las
deficiencias.
Atrae, desarrolla y
retiene profesionales:
La organización provee la
orientación y la
4. La organización capacitación necesaria
demuestra compromiso para atraer, desarrollar y
para atraer, desarrollar y retener personal suficiente
retener a profesionales y competente y
competentes, en proveedores de servicios
concordancia con los externos para apoyar el
objetivos de la cumplimiento de los
organización objetivos.
Planea y se prepara para
sucesiones: La Alta
Dirección y la Junta
Directiva desarrollan
planes de contingencia
para la asignación de la
responsabilidad importante
para el control interno.
Hace cumplir la
responsabilidad a través
de estructuras,
autoridades y
responsabilidades:
La Administración y la
5. La organización define Junta Directiva establecen
las responsabilidades de los mecanismos para
las personas a nivel de comunicar y mantener
control interno para la profesionales
consecución de los responsables para el
objetivos desempeño de las
responsabilidades de
control interno a través de
la organización, e
implementan acciones
correctivas cuando es
necesario.
Establece medidas de
desempeño, incentivos y
premios:
La Administración y la
Junta Directiva establecen
medidas de desempeño,
incentivos, y otros premios
apropiados para las
responsabilidades en
todos los niveles de la
entidad, reflejando
dimensiones de
desempeño apropiadas y
estándares de conducta
esperados, y considerando
el cumplimiento de
objetivos a corto y largo
plazo.
Evalúa medidas de
desempeño, incentivos y
premios para la
relevancia en curso:
La Administración y la
Junta Directiva alinean
incentivos y premios con el
cumplimiento de las
responsabilidades de
control interno para la
consecución de los
objetivos.
Considera presiones
excesivas:
La administración y la
Junta Directiva evalúan y
ajustan las presiones
asociadas con el
cumplimiento de los
objetivos; asimismo
asignan las
responsabilidades,
desarrollan medidas de
desempeño y evalúan el
desempeño
Evalúa desempeño y
premios o disciplina los
individuos: La Junta
Directiva y la
Administración evalúan el
desempeño de las
responsabilidades de
control interno, incluyendo
la adherencia a los
estándares de conducta y
los niveles de competencia
esperados.
Objetivos Operativos:
II. Evaluación de riesgos 6. La organización define Refleja las elecciones
los objetivos con suficiente de la administración.
claridad para permitir la Considera la tolerancia
identificación y evaluación al riesgo.
de los riesgos relacionado Incluye las metas de
desempeño operativo y
financiero.
Constituye una base
para administrar los
recursos.
Objetivos de Reporte
Financiero Externo:
Incluye la entidad,
sucursales, divisiones,
unidad operativa y niveles
funcionales. La
organización identifica y
evalúa los riesgos a nivel
7. La organización de la entidad, sucursales,
identifica los riesgos para divisiones, unidad
la consecución de sus operativa y niveles
objetivos en todos los funcionales relevantes
niveles de la entidad y los para la consecución de los
analiza como base sobre objetivos.
la cual determina cómo se
deben gestionar
Evalúa la consideración de
factores externos e
internos en la identificación
de los riesgos que puedan
afectar a los objetivos.
Involucra niveles
apropiados de
administración. La
dirección evalúa si existen
mecanismos adecuados
para la identificación y
análisis de riesgos.
Analiza la relevancia
potencial de los riesgos
identificados y entiende la
tolerancia al riesgo de la
organización
Determina la respuesta a
los riesgos. La evaluación
de riesgos incluye la
consideración de cómo el
riesgo debería ser
gestionado y si aceptar,
evitar, reducir o compartir
el riesgo
Evalúa cambios en el
modelo de negocios. La
organización considera
impactos potenciales de
las nuevas líneas del
negocio, composiciones
alteradas dramáticamente
de las líneas existentes de
negocios, operaciones de
negocios adquiridas o de
liquidación en el sistema
de control interno.
Evalúa cambios en
liderazgo. La organización
considera cambios en
administración y
respectivas actitudes y
filosofías en el sistema de
control interno.
Se integra con la
evaluación de riesgos:
Las actividades de control
ayudan a asegurar que las
respuestas a los riesgos
que direccionan y mitigan
10. La organización define los riesgos son llevadas a
y desarrolla actividades de cabo.
control que contribuyen a
la mitigación de los riesgos Considera factores
hasta niveles aceptables específicos de la
para la consecución de los entidad: La administración
objetivos considera cómo el
ambiente, complejidad,
naturaleza y alcance de
sus operaciones, así como
las características
específicas de la
organización, afectan la
selección y desarrollo de
las actividades de control.
Determina la importancia
de los procesos del
negocio:
La administración
determina la importancia
de los procesos del
negocio en las actividades
de control
Evalúa una mezcla de
tipos de actividades de
control:
Las actividades de control
incluyen un rango y una
variedad de controles que
pueden incluir un equilibrio
de enfoques para mitigar
los riesgos teniendo en
cuenta controles manuales
y automatizados, y
controles preventivos y de
detección.
Considera en qué nivel
las actividades son
aplicadas: La
administración considera
las actividades de control
en varios niveles de la
entidad.
Direcciona la
segregación de
funciones:
La administración segrega
funciones incompatibles, y
donde dicha segregación
no es práctica, la
administración selecciona
y desarrolla actividades de
control alternativas
Se comunica con la
Junta directiva:
Existe comunicación entre
la administración y la Junta
Directiva; por lo tanto,
ambas partes tienen la
información necesaria para
cumplir con sus roles con
respecto a los objetivos de
la entidad.
Proporciona líneas de
comunicación
separadas:
Separa canales de
comunicación, como líneas
directas de denuncia de
irregularidades, las cuales
sirven como mecanismos a
prueba de fallos para
permitir la comunicación
anónima o confidencial
cuando los canales
normales son inoperantes
o ineficientes.
Selecciona métodos de
comunicación
relevantes:
Los métodos de
comunicación consideran
tiempo, público y la
naturaleza de la
información.
Establece un punto de
referencia para el
entendimiento:
El diseño y estado actual
del sistema de control
interno son usados para
establecer un punto de
referencia para las
evaluaciones continuas e
independientes.
Uso de personal
capacitado: Los
evaluadores que
desarrollan evaluaciones
continuas e
independientes tienen
suficiente conocimiento
para entender lo que está
siendo evaluado.
Evalúa objetivamente:
Las evaluaciones
independientes son
desarrolladas
periódicamente para
proporcionar una
retroalimentación objetiva
17. La organización evalúa Evalúa resultados: La
y comunica las Administración o la Junta
deficiencias de control Directiva, según
interno de forma oportuna corresponda, evalúa los
a las partes responsables resultados de las
de aplicar medidas evaluaciones continuas e
correctivas, incluyendo la independientes
alta dirección y el consejo,
según corresponda. Comunica deficiencias:
Las deficiencias son
comunicadas a las partes
responsables para tomar
las acciones correctivas y
a la Alta Dirección y la
Junta Directiva, según
corresponda
Supervisa acciones
correctivas:
La administración
monitorea si las
deficiencias son corregidas
oportunamente.
Responsabilidades en el sistema
El Consejo de Administración
Alta Dirección
MARCO INTEGRADO COSO III. RESPONSABILIDADES EN EL SISTEMA
Diversos son los roles y responsabilidades que asumen los participantes internos y
externos en un Sistema de Control Interno. Los participantes internos asumen
responsabilidades, mientras que los externos realizan aportaciones valiosas, tanto
para su eficaz funcionamiento como para su actualización.
EL CONSEJO DE ADMINISTRACIÓN:
Los miembros del Consejo junto con la Alta dirección deben analizar el Sistema de
Control Interno de la entidad y efectuar su supervisión.
La Alta Dirección rinde cuentas por el control interno al Consejo de Administración, y
este debe establecer las políticas y expectativas sobre cómo deben supervisar los
miembros del Consejo el control interno.
El Consejo debe conocer los riesgos para la consecución de los objetivos de la
entidad, las evaluaciones de las deficiencias del control interno, las medidas
adoptadas por la Dirección para mitigar dichos riesgos y deficiencias, y cómo la
Dirección evalúa el sistema de Control Interno.
Así mismo, el Consejo de Administración asume un rol fundamental en la definición de
las expectativas en cuanto a la integridad y los valores éticos, la transparencia y las
responsabilidades, en el marco del funcionamiento del Sistema de Control Interno.
Director administrativo
Director ejecutivo de auditoría
Director de cumplimiento
Director financiero
Director de información
Director legal
Director de operaciones
Director de riesgos
OTROS MIEMBROS DE LA DIRECCIÓN Y DEL PERSONAL
Los directivos y demás personal de la entidad deben revisar los cambios de la nueva
versión del Marco Integrado de Control Interno 2013, y evaluar las implicaciones en el
actual Sistema de Control Interno de la entidad.
AUDITORES INTERNOS:
Deben revisar los planes de auditoría y evaluar los cambios en el Marco para
considerar las posibles consecuencias en los planes de auditoría, en las evaluaciones
y cualquier información generada sobre el Sistema de Control Interno. Las actividades
de auditoría deben ser llevadas a cabo por profesionales competentes y en alineación
con los riesgos relevantes para la entidad.
AUDITORES EXTERNOS:
Cuando un auditor externo es contratado para evaluar el Sistema de Control Interno de
la entidad, puede evaluar el sistema en relación con el Marco Integrado de Control
Interno, centrándose en la manera como la entidad ha seleccionado, desarrollado y
desplegado los controles que incidan en los principios asociados a los componentes
del control interno.
PARTES INTERESADAS:
Las partes interesadas desempeñan un papel muy importante en el diseño e
implementación del Marco Integrado de Control Interno. El Control Interno es
desarrollado por la Dirección, el Consejo de Administración y demás personal de la
entidad.