COSO 2013: PRINCIPIOS

Las empresas deben implementar un sistema de control interno eficiente que les permita
enfrentarse a los rápidos cambios del mundo de hoy. Es responsabilidad de la
administración y directivos desarrollar un sistema que garantice el cumplimiento de los
objetivos de la empresa y se convierta en una parte esencial de la cultura organizacional. El
Marco integrado de control interno propuesto por COSO provee un enfoque integral y
herramientas para la implementación de un sistema de control interno efectivo y en pro de
mejora continua. Un sistema de control interno efectivo reduce a un nivel aceptable el riesgo
de no alcanzar un objetivo de la entidad.

El modelo de control interno COSO 2013 actualizado está compuesto por los cinco
componentes, establecidos en el Marco anterior y 17 principios que la administración de
toda organización debería implementar.

Entorno de control

Principio 1: Demuestra compromiso con la integridad y los valores éticos

El control debe basarse en la integridad y los valores éticos de las directivas y accionistas
para apoyar el funcionamiento del Sistema de Control Interno.

La Integridad y los valores éticos son esenciales para el bienestar de la organización de

todos los componentes y del público en general. Esto contribuye en forma significativa a la
eficacia de las políticas y los sistemas de control de las entidades ya que permite influir sobre
los comportamientos que no están sujetos ni a los sistemas de control más elaborados.

La dificultad de establecer valores éticos radica en la necesidad de atender intereses de las

distintas partes que pueden ser contrapuestos. Por esto es una tarea fundamental lograr
equilibrio entre los intereses de cada una de las entidades como son sus empleados, los
proveedores, clientes, competidores y el público.

Los estándares de conducta de las entidades deben ser debidamente comunicados no solo
a nivel de la organización sino también a los proveedores de servicios externos.

Principio 2: Ejerce responsabilidad de supervisión

Esto hace referencia a la supervisión del desarrollo y desempeño del Control Interno
Además entiende el negocio y expectativas de los accionistas, clientes, empleados,
inversionistas y demás partes estas expectativas y requerimientos nos ayuda a determinar
los objetivos de la organización supervisar las responsabilidades de la Junta Directiva y
administrar los recursos necesarios.

Esta supervisión es apoyada por las estructuras y procesos establecidos en los niveles de
ejecución del negocio como es el Director Ejecutivo y la Alta Dirección ellos tienen la
responsabilidad del desarrollo e implementación del sistema de control interno.

Principio 3: Establece estructura, autoridad, y responsabilidad

La Administración establece los niveles apropiados de autoridad y responsabilidad para la

consecución de los objetivos.

Cada una de estas dimensiones proporciona una evaluación diferente del sistema de control
interno a través de la propiedad y responsabilidad de cada nivel que se desarrolle una
revisión y análisis multidimensional que puede identificar cualquier riesgo y tener un
conocimiento completo e integral del sistema de control interno.
Principio 4: Demuestra compromiso para la competencia

Demuestra su compromiso de reclutar, capacitar y tener personas competentes.

El principio de compromiso y competente nos da entender que la organización busca

personas competentes capaces de desarrollar funciones que les asignes así mismo buscar
y dar compromiso con los trabajadores, es decir: tener objetivos claros tanto en la entidad y
los trabajadores poder así cumplir las metas de las organizaciones y determinar acciones
correctivas cuando sea necesarios.

La competencia también se hace referencia por que la organización busca profesionales

competente capaces de salir y sobresalir hacías la metas, también tener habilidades
relevantes, actitudes, conocimientos y aptitudes sobre todo que tengan responsabilidades.

Principio 5: Hace cumplir con la responsabilidad

La organización mantiene responsabilidad con el alto mando, es decir que hay un control de
responsabilidad y delegaciones de tares especificas se puede decir que en este principio
abarca las responsabilidades que tienes las accionista y alto mando de dirigir y controlar lo
que se establezca en la entidad en donde cada estructura organizacional tienes sus
diferentes funciones que deben ser desarrollada por cada departamento que se ejecuten las
tares correspondientes.

Evaluación de riesgos

Principio 6: Especifica objetivos relevantes

Se mide los objetivos específicos que tiene cada organización y que deben ser cumplidos a
un corto plazo. Se puede establecer que la organización mide sus riesgos analizando
factores que pueda influir en el mercado y analizando si se tiene un buen control interno
como externo.

Principio 7: Identifica y analiza los riesgos

Identifica los riesgos de los objetivos de dichas entidades y analiza los riesgos para
determinar cómo se los deben gestionar.

La administración considera los riesgos en todos los niveles de la organización y a su vez

toma decisiones necesarias para dar la solución al problema.

Principio 8: Evalúa el riesgo de fraude

La organización se dará cuenta del fraude y de los riesgos que serán evaluados para las
consecuencias de los objetivos. Esto considera la corrupción sea de las personas de la
entidad u organización.

Se la da a conoces cuando los estados financieros son preparados inadecuadamente con

omisiones y declaraciones erróneas y falsas. El Control Interno debe prevenir o detectar
oportunamente cualquier omisión o información errónea en los estados financieros por
fraude o error.

Principio 9: Identifica y analiza cambios importantes

La organización identifica y evalúa cambios que podrían impactar significativamente el

Sistema de Control Interno. Este proceso se desarrolla y evalúa los riesgos que requiere
que se establezcan controles para identificar y comunicar los cambios que puedan afectar
los objetivos de la entidad.
Actividades de control

Principio 10: Selecciona y desarrolla actividades de control

La organización selecciona y desarrolla actividades de control a la mitigación de riesgos

hasta niveles aceptables para la consecución de los objetivos.

Las actividades de control apoyan todos los componentes del Sistema de Control Interno
particularmente el componente de Evaluación de Riesgos.

Al seleccionar y desarrollar las actividades de control también podemos Identificar e

implementar acciones necesarias para llevar a cabo las respuestas a los riesgos y asegurar
que dichas respuestas son apropiadas y oportunas como son los Sistemas de información
más sofisticados, Estructuras de las entidades y los Tipos de actividades de control.

Principio 11: Selecciona y desarrolla controles generales sobre tecnología

Este principio Establece la utilización de las tecnologías en los procedimientos y controles

que se crean en los negocios. Porque para que se cree un buen procedimiento se necesita
de mucha tecnología e innovación, porque sin tecnología los procedimientos no son actos
para un negocio ya que toda gira en torno a la tecnología y más que todo los negocios que
van cogidos de la mano.

Este principio también ayuda a que la empresa cree controles y procedimientos que ayuden
la organización en las diferentes áreas o departamentos como a la administración o a la
misma empresa en su infraestructura.

También se crean procedimientos de control que ayuden a la seguridad de la administración

y protección de los activos de las competencias, para que no se filtre la información y no
puedan sacar ventajas

Se elaboran procedimientos para saber si la tecnología que se está utilizando en la

organización es la más acta y si no cambiarla por una que sea más eficiente.

Principio 12: Se implementa a través de políticas y procedimientos

En las organizaciones se crean procedimientos de acuerdo a las políticas para lograr los
objetivos y metas de las empresas, en estas políticas se establece los procedimientos para
realizar los procedimientos.

Estas políticas deben de constar en algún documento de manera explícita e implícita y debe
de comunicarse a todo el personal de la organización.

Principio 13: Usa información Relevante

La organización visualiza cual es la información necesaria y requerida para ayudar en la

ejecución de los otros componentes del control interno, porque si una organización tiene un
buen control puede alcanzar sus metas y objetivos.

Se debe adquirir la información de a dentro de la organización para saber los problemas o

beneficios que esta tiene, así como también se debe de obtener información de manera
externa para saber cuál es la competencia en el mercado, cuáles son las nuevas tecnologías
y de acuerdo a los datos obtenidos analizarlos a través del proceso establecido en la
organización para que este lo convierta en información que sea útil para la organización y
sacar ventaja.
La gerencia debe de crear controles que detecten la información más importante que
verifique si los componentes están funcionando de la manera apropiada.

La información interna se puede adquirir a través de correos, minutas o notas, sistemas de

reporte del personal, líneas directas para informantes, entre otras y esta información puede
ocasionar cambios internos para la mejora de la organización como, cambios
organizacionales, tiempo que se demoran en las actividades, entre otras

La información externa se puede adquirir de fuentes como, datos recibidos de los

proveedores, reportes de investigaciones de las industrias, medios sociales, entre otras,
estos datos externos ocasionan en la organización, requerimientos nuevos o ampliaciones,
opciones acerca de la entidad, declaraciones de usos incorrectos de fondos, entre otras.

Sistemas de información

Principio 14: Comunica internamente

Hoy en día las organizaciones se comunican internamente ya que la información incluye,

objetivos y responsabilidades para que se puede efectuar un control interno es necesario el
apoyo para que se puede efectuar de manera rápida ya que la administración establece
políticas y procedimientos el cual se facilita una comunicación interna Efectiva.

Ya que el rango mayor de la organización comunica sus objetivos a través de la

administración del personal, empresarios para que entiendan sus roles con cada
responsabilidad para la organización con sus diferentes departamentos.

Principio 15: Comunica externamente

Las organizaciones se comunican con los de interés externo en relación con los que trabajan
y afecta las actividades del control interno.

Dicha organización debe desarrollar y realiza control y se efectué la comunicación externa

este incluye políticas para así obtener información y compartir dicha información
internamente.

La comunicación con terceras partes permite que estas entiendan eventos, actividades y
circunstancias que puedan afectar su interacción con la entidad. Al mismo tiempo, la
información que la entidad pueda recibir de terceras partes puede proporcionar información
importante sobre el sistema de control interno.

Supervisión del sistema de control - Monitoreo

Principio 16: Conduce evaluaciones continuas y/o independientes

Este es un proceso de monitorio el cuan incorpora el concepto de Condiciones reportables.

Este es un Mejoramiento continuo del Sistema de Control Interno debe ser flexible para
Reaccionar ágilmente y adaptarse a las circunstancias.

Dichas actividades de monitoreo y supervisión evalúan si los componentes y principios están

los sistemas de control interno.

Las organizaciones seleccionan, desarrollan y lleva a cabo evaluaciones continuas e

independientes para determinar si los componentes del sistema de control interno están
presentes y funcionamiento.
En los procesos de negocio en los diferentes niveles de la entidad y suministran información
oportuna, debido a que permiten una supervisión en tiempo real y gran rapidez de
adaptación. El uso de la tecnología apoya las evaluaciones Continuas, tienen un alto
estándar de objetividad y permiten una revisión eficiente de grandes cantidades de datos a
un bajo costo.

Las evaluaciones independientes se ejecutan periódicamente y pueden variar en Alcance y

frecuencia dependiendo de la evaluación de riesgos, la efectividad de las evaluaciones estas
son continuas, y otras consideraciones de la Dirección, pero permiten determinar si cada
uno de los componentes está presente y funcionando.

La Administración selecciona, desarrolla y lleva a cabo una combinación de las evaluaciones

continuas e independientes de acuerdo con el alcance y naturaleza de las operaciones de
la entidad, cambios en factores internos y externos, y los riesgos asociados a las
evaluaciones. Para llevar a cabo las evaluaciones, la administración debe considerar el
índice de cambios, lo cual determina qué tipo de evaluación es apropiado realizar.

Principio 17: Evalúa y comunica deficiencias

La organización que evalúa y comunica las deficiencias de control interno de forma Oportuna
a las partes responsables de aplicar medidas correctivas, incluyendo la alta Dirección y el
Consejo, según corresponda.

Las ausencias o rendimientos encontrados en el Sistema de Control Interno deben ser

notificadas a las partes convenientes en la organización y oportunamente para que se
adopten las medidas necesarias.

Este proceso se denomina Informe de deficiencias, y le permite a la Dirección estar enterada

de lo que no está funcionando en forma adecuada. Una deficiencia es definida como un
defecto en uno o más componentes y principios relevantes que reduce la probabilidad de
que la entidad logre sus objetivos. Cuando se determina que existe una deficiencia grave
respecto a la presencia y funcionamiento de un componente o principio del Sistema de
Control Interno, la organización no puede concluir que ha cumplido con los requisitos de un
sistema de control interno efectivo.
 COBIT 5

Control Objectives for Information and related Technology o COBIT 5 también se puede
definir como un conjunto de herramientas de soporte empleadas por los gerentes para
reducir la brecha entre los requerimientos de control, los temas técnicos y los riesgos del
negocio.

Así, mediante COBIT 5 se puede desarrollar una política clara que permite el control de las
TI (Tecnologías de Información) en la organización. La aplicación de este marco incide
especialmente en el cumplimiento regulatorio y ayuda a incrementar el valor asociado al
área de TI de la organización. Desde su inicio, COBIT 5 ha evolucionado desde su uso para
la auditoría de TI, para luego pasar por el control, la gestión de TI, el gobierno de TI, llegando
a su versión actual que es un enfoque holístico de gobierno corporativo de TI.

Este marco de trabajo cuenta con cinco principios que una organización debe seguir para
adoptar la gestión de TI:

Satisfacción de las necesidades de los accionistas: se alinean las necesidades de los

accionistas con los objetivos empresariales específicos, objetivos de TI y objetivos
habilitadores. Se optimiza el uso de recursos cuando se obtienen beneficios con un nivel
aceptable de riesgo.

Considerar la empresa de punta a punta: el gobierno de TI y la gestión de TI son asumidos

desde una perspectiva global, de tal modo que se cubren todas las necesidades corporativas
de TI. Esto se aplica desde una perspectiva "de punta a punta" basada en los 7 habilitadores
de COBIT.

Aplicar un único modelo de referencia integrado: COBIT 5 integra los mejores marcos
de Information Systems Audit and Control Association (ISACA) como Val IT, que relaciona
los procesos de COBIT con los de la gerencia requeridos para conseguir un buen valor de
las inversiones en TI. También se relaciona con Risk IT, lanzado por ISACA para ayudar a
organizaciones a equilibrar los riesgos con los beneficios.

Se considera el uso de Business Model for Information Security (BMIS) e IT Assurance

Framework (ITAF). Además permite alinearse con los principales estándares o marcos como
Information Technology Infrastructure Library (ITIL), The Open Group Architecture Forum
(TOGAF), Project Management Body of Knowledge (PMBOK), PRojects IN Controlled
Environments 2 (PRINCE2), Committee of Sponsoring Organizations of the Treadway
Commission (COSO) y estándares ISO.

Posibilitar un enfoque holístico: los habilitadores de COBIT 5 están identificados en siete

categorías que abarcan la empresa de punta a punta. Individual y colectivamente, estos
factores influyen para que el gobierno de TI y la gestión de TI operen en función de las
necesidades del negocio.

Separar el gobierno de la gestión: COBIT 5 distingue con claridad los ámbitos del gobierno
de TI y la gestión de TI. Se entiende por gobierno de TI las funciones relacionadas con la
evaluación, la dirección y el monitoreo de las TI. El gobierno busca asegurar el logro de los
objetivos empresariales y también evalúa las necesidades de los accionistas, así como las
condiciones y las opciones existentes. La dirección se concreta mediante la priorización y la
toma efectiva de decisiones. Y el monitoreo abarca el desempeño, el cumplimiento y el
progreso en función con los objetivos acordados. La gestión está más relacionada con la
planificación, la construcción, la ejecución y el monitoreo de las actividades alineadas con la
dirección establecida por el organismo de gobierno para el logro de los objetivos
empresariales.