Universidad Nacional del Sur

Departamento de Ciencias de la Administración

Material didáctico
AUDITORIA

EL SISTEMA DE CONTROL INTERNO

Mg (Cra) Diana Albanese

Contenido:
1. Definición. Principios básicos del CI.
2. Modelos o estructuras de control interno. EL MODELO C.O.S.O.
2.1. Modelo COSO
2.2. MODELO COSO ERM (Enterprise Risk Management)
2.3. Modelo COSO III (ó Modelo COSO actualizado)
2.4. Análisis de los componentes del modelo COSO 2013
3. Evaluación del sistema del sistema de control interno
4. Clasificación de controles

1
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

EL SISTEMA DE CONTROL INTERNO

1. Control interno. Definición. Principios básicos.

Durante la vida de las organizaciones en el desarrollo de sus procesos, surgen eventos de origen interno o
externo, que dificultan o impiden el logro de las metas y objetivos. Dichos eventos se denominan riesgos
que deben ser gestionados por las organizaciones que pretendan subsistir en el contexto en que les toca
desempeñarse. Una de las formas de gestionar esos riesgos es implementar actividades de control que
reduzcan su impacto.
En 1954, Mautz en su libro de Auditoría definió al control interno como una expresión utilizada para describir
todas las medidas tomadas por los propietarios y directores de la empresa para dirigir y controlar a los
empleados
Según Pungitore (2013), el sistema de control interno es un conjunto de normas, controles, consideraciones
y aspectos a tener en cuenta por el propio ente que lo va a adoptar, con el objetivo de: a) evitar la comisión
de errores y fraudes; y b) ganar seguridad en la operatoria de la organización, sin que ello signifique perdidas
en la eficiencia administrativa. El objetivo del control no consiste en detectar anomalías, sino más bien en
prevenirlas y evitarlas.
La implementación de un sistema de control interno eficaz reditúa en el mejoramiento de áreas sensibles de
las organizaciones, atenuando sus probabilidades de vulnerabilidad frente a errores o incluso fraudes
(Pungitore, 2013:54), y acercándola al cumplimiento de sus objetivos.
La administración (dirección, gerencia) es la responsable de establecer y mantener los
controles en cuanto a su diseño y funcionamiento, de manera tal que permitan una correcta
combinación de los recursos humanos y materiales para alcanzar los objetivos de la organización.
El sistema de control interno involucra a la organización en su conjunto y a todos sus integrantes. Cada uno
debe saber cuál es su función y su responsabilidad respecto al sistema de CI

1.1. Principios básicos del CI

Para lograr la eficiencia de los controles se deben cumplir los siguientes principios básicos o normas
generales (Cossio, 1999; Pungitore, 2013; Mantilla Blanco, 2013):
 Separación de funciones: consiste en el control por oposición entre los miembros de la
organización, distribuyendo las tareas de manera tal que se controlen entre sí.
El procesamiento completo de una misma operación debe estar a cargo de diversas personas o
sectores, de modo que ninguna persona tenga a su cargo todas las fases de una operación de
principio a fin. Asignar funciones, evitando las concentraciones incompatibles entre sí que podrían
facilitar la comisión de errores o fraudes.
Se deben separar las funciones de autorización o inicio de una operación, registro/contabilización y
acceso/custodia de activos que son materia de la operación.

 Autorización: de las operaciones de acuerdo al nivel de mando, para que sean consideradas
válidas.

2
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

Debe estar claro quién autoriza cada operación, y –por ejemplo- los rangos de importe para los que
una autorización es válida. En general, los funcionarios de línea solo aprueban operaciones del
sector al que pertenecen. A su vez, se evita la carga de que todas las operaciones sean autorizadas
por funcionarios de nivel jerárquico alto, distrayendo tiempo oneroso que debe estar destinado a
actividades mas estratégicas.
Debe existir evidencia de las autorizaciones otorgadas para un mejor control.

 Verificación y confrontación: comparación de la información con soportes externos

(documentación ajena al ente, por ejemplo un extracto bancario) a efectos de evaluar su
razonabilidad. También se realizan comparaciones entre soportes propios del ente que surgen de la
gestión interna (por ejemplo, comparar las unidades consumidas de materia prima con respecto a
las unidades que salieron de almacenes para producción).

 Revisión: todas las tareas e informes son susceptibles de ser controlados o supervisados, por una
persona distinta a aquella que las ejecutan o preparan, con mayor capacidad técnica y experiencia
en la cuestión a controlar.
 Restricciones de acceso: el ente debe establecer niveles de acceso a diferentes sectores o
información. Tiende a promover la seguridad tanto de bienes como de información estratégica.
 Unidad de mando: todos los miembros de la organización deben tener en claro quién es su
responsable jerárquico superior, a fin de efectuar consultas y someter cualquier decisión de la
organización.
 Secuencia numérica: la documentación y las operaciones deben tener un ordenamiento secuencial
que permita identificarlas.
Originalmente esto se lograba mediante el uso de formularios prenumerados (de imprenta), incluso
en el caso de documentación interna; en la actualidad la numeración suele surgir automáticamente
de los sistemas computadorizados, y el mismo sistema realiza el control del orden de documentación
y transacciones.
Permite evitar salteos de números, dificultar la sustitución de un comprobante original por otro
adulterado, facilitar el control de correlatividad numérico-cronologica y facilitar el seguimiento de
formularios en su curso interno y externo.
El control de correlatividad numérico-cronologica consiste en verificar, ante la emisión de un nuevo
comprobante, que su fecha es similar o posterior a la del numero precedente. Permita detectar
omisiones o reiteraciones en las operaciones y en su registración.
Estos principios son identificados en los diferentes modelos o estructuras de CI vigentes y ampliamente
difundidos (COSO, CoCo, Cadbury, etc.), según se verá más adelante.

2. Modelos o estructuras de control interno. EL MODELO C.O.S.O

A fin de unificar criterios y debido a que en algunos países se obligó a las organizaciones a que informen a
terceros sobre la eficacia de su sistema de Control Interno, se desarrollaron algunas estructuras o modelos
de control interno que luego se difundieron a nivel mundial y que tuvieron dos objetivos fundamentales:
 el primero de ellos fue proveer una definición consensuada de Control Interno.

3
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

 y el segundo brindar un marco de control que permita una evaluación del sistema de control interno
sobre parámetros homogéneos, cualquiera sea el tamaño o tipo de organización.
Los modelos de mayor difusión internacional son el informe COSO desarrollado en Estados Unidos; el
informe CoCo diseñado en Canadá y el informe Cadbury, publicado en el Reino Unido.
2.1. Modelo COSO.
El modelo de mayor difusión dentro del habla hispana fue el Informe C.O.S.O, publicado por primera vez en
EEUU en 1992.
Las siglas que identifican al modelo se relacionan con las organizaciones que lo auspiciaron: “Committee of
Sponsoring Organizations” de la Treadway Comission, National Comission on Fraudulent Financial
Reporting, creada en Estados Unidos en 1985. El grupo de trabajo estuvo conformado por representantes
de la American Accounting Association (AAA), American Institute of Certified Public Accountants (AICPA),
Financial Executive Institute (FAI) Institute of Internal Auditors (IIA) e Institute of Management Accountants
(IMA). El informe se publicó en EEUU en 1992, luego de cinco años de discusión y la redacción del mismo
estuvo a cargo de Coopers & Lybrand (Albanese, 2005)
Como se dijo anteriormente uno de los objetivos de estas estructuras fue consensuar una definición de CI.
El informe COSO lo define como:

“Un proceso efectuado por el consejo de administración (o su equivalente), la

dirección y el resto del personal de una entidad, diseñado con el objeto de proporcionar un
grado de seguridad razonable en cuanto a la consecución de objetivos dentro de las
siguientes categorías:
 Eficacia y eficiencia de las operaciones: se refieren a la eficacia y eficiencia de las
operaciones de la entidad, incluyendo objetivos de rentabilidad y de rendimiento, además
de la protección de los recursos frente a posibles pérdidas.
 Fiabilidad de la información financiera se relacionan con la preparación de estados
financieros confiables y a la prevención de publicación de información financiera falsa.
 Cumplimiento de las leyes y normas aplicables: hacen hincapié en el cumplimiento
de las leyes y normas a las cuales está sujeta la entidad (Coopers & Lybrand, 1997:16)”

Ver video sobre objetivos y principios del control interno

Asimismo, el modelo define cinco componentes relacionados entre sí:
 Ambiente de Control
 Evaluación de Riesgos
 Actividades de control
 Información y comunicación
 Supervisión

4
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

Del análisis de la definición cabe destacar los siguientes conceptos:

 El control no es un acontecimiento aislado sino una serie de acciones extendidas en todos los
procesos de la organización.
 Las personas son los actores fundamentales de este modelo. En todos y cada uno de los procesos
organizacionales las personas establecen objetivos; asignan funciones y responsabilidades;
ejecutan las acciones planificadas implementan los mecanismos de control y adoptan medidas
correctivas.
 Un sistema de control interno, por más eficiente que sea su diseño, solo ayuda a cumplir los
objetivos previamente establecidos con un grado de seguridad razonable. No garantiza el éxito del
negocio.

Cubo del Marco Integrado de Control Interno

2.2. MODELO COSO ERM (Enterprise Risk Management)

Como consecuencia de los fraudes financieros que afectaron a varios países del mundo y el desprestigio
que soportaron grandes firmas internacionales de auditoría, a partir de enero de 2005 se formalizó el
denominado COSO II basado en la administración de riesgos empresariales también denominado COSO
ERM (Enterprise Risk Management)
El control interno según el modelo COSO E.R.M. “es un proceso efectuado por la junta de directores, la
administración y otro personal de la entidad, aplicado en la definición de la estrategia y a través del
emprendimiento, diseñado para identificar los eventos potenciales que pueden afectar la entidad, y para
administrar los riesgos que se encuentran dentro de su aversión al riesgo, para proveer seguridad razonable
en relación con el logro de los objetivos de la entidad” (Estupiñán Gaitán, 2006:66).
Las organizaciones (con o sin fines de lucro; privadas o públicas; grandes o pequeñas) se desenvuelven en
un entorno cada vez más complejo, debiendo enfrentar riesgos que tendrán que gestionar para alcanzar sus
objetivos. El informe COSO es un sistema integrado focalizado en la efectividad del ambiente de control de
una organización, mientras que el modelo COSO E.R.M pone el acento en la evaluación y gestión de los

5
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

riesgos. La metodología propuesta por E.R.M. está orientada al “benchmarking”, es decir la creación de valor
orientada a la permanencia de la organización y de su imagen en el largo plazo.
El nuevo modelo se presenta también como una matriz de categorías de objetivos y componentes. Establece
cuatro categorías de objetivos y 8 compontes según se puede observar en el cuadro siguiente:

Cuadro 1: Modelo COSO ERM

Categorías de objetivos Componentes
Ambiente interno
Estratégicos
Establecimientos de objetivos
Identificación de eventos
Operacionales Evaluación de riesgos (impacto y
probabilidad de ocurrencia)
Respuesta al riesgo
De información
Actividades de control
Información y comunicación
De cumplimiento
Supervisión y monitoreo
Fuente: Elaboración propia.

2.3 Modelo COSO III (ó Modelo COSO actualizado 2013 )

La proliferación de nuevos casos de fraude organizacional (como Enron, Parmalat, Worldcom) y la crisis
financiera del año 2008 pusieron de manifiesto la necesidad de actualizar el marco integrado COSO (1992).
La Treadway Commission tuvo a su cargo la reconversión de la herramienta para que se adapte al entorno
actual de negocios. El14/5/2013 se publicó el llamado Marco COSO III. La nueva versión mantiene las
categorías de objetivos y componentes definidos en el modelo COSO y se incluye una guía con herramientas
(principios y atributos) para la evaluación de la efectividad del sistema de control interno y su relación con
reportes financieros externos.
Se incluyen mejoras para clarificar conceptos proponiendo 17 principios que representan los conceptos
fundamentales asociados con cada componente y todos aplicables a cada categoría de objetivos.
Cada principio se sustenta en atributos relacionados. Puede ser que un principio esté presente y
funcionando, aunque no estén presentes todos los atributos. No obstante, la falta de un atributo siempre
estará señalando una deficiencia de control interno.
El modelo COSO III –a diferencia del modelo original que era más generalista– indica taxativamente cuales
son los 17 principios que componen el marco integrado y su desagregación por cada uno de los componentes
del modelo.

6
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

VIDEO: Modelo COSO 2013

El video propuesto resume conceptos vinculados al modelo COSO III.

2.4 ANALISIS DE LOS COMPONENTES DEL MODELO COSO III

El modelo COSO actualizado define, tal como el original, cinco componentes relacionados entre sí,
integrados en el proceso de dirección y derivados de la manera en que la dirección dirija la empresa, a saber:
I) AMBIENTE (ENTORNO) DE CONTROL: es la base de los demás componentes del control interno y
marca la pauta del funcionamiento de la organización, influyendo en la toma de conciencia de sus empleados
respecto del control. Hay una serie de factores englobados en el entorno de control:
 Integridad y valores éticos
 Compromiso de competencia profesional
 Departamento de auditoría y consejo de administración
 Filosofía y estilo de gestión
 Estructura organizativa
 Asignación de autoridad y responsabilidad
 Políticas y prácticas en materia de recursos humanos
El modelo COSO III define para este componente 5 principios y 21 atributos según se detalla a
continuación:
1. La organización demuestra compromiso con la integridad y los valores éticos
 Se establecen pautas en el nivel superior para demostrar la importancia del respaldo al
funcionamiento del control interno
 Se fijan estándares de conducta comprendidos por todos los niveles de la organización,
proveedores de servicios externos y socios.
 Se evalúa la adherencia a los estándares de conducta (desempeño de individuos)
 Se gestión las desviaciones de manera oportuna.
2. El directorio demuestra independencia de la gerencia y supervisa el desarrollo y desempeño
del control interno.
 El directorio identifica y acepta las responsabilidades de supervisión
 Puede delegar supervisión en la alta gerencia si lo considera necesario.
 Pericia necesaria: evaluación de conocimiento y habilidades de sus integrantes.
 Miembros independientes de la organización en el Directorio para mantener y demostrar
objetividad.
 Se ejerce la supervisión guiando, dirigiendo y revisando el desarrollo y desempeño del control
interno.
3. La gerencia establece estructuras, líneas de información y autoridades y responsabilidades para
el logro de los objetivos.
 Se definen todas las estructuras (incluyendo unidades operativas, entidades legales,
proveedores, etc) para el cumplimiento de los objetivos.
 Líneas de información (flujo de información)
 Se definen, asignan límite de autoridad y responsabilidades.
4.La organización demuestra compromiso para atraer, desarrollar y retener individuos competentes

7
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

 Políticas y prácticas sobre competencias necesarias para los objetivos de la organización

 Entrenamiento para atraer, desarrollar y mantener a los individuos.
 Se evalúan las competencias y se hace frente a los defectos.
 Se planifica la sucesión, estableciendo planes de contingencia.
5.la organización es responsable de que los individuos respondan por su responsabilidad del control
interno.
 Cumplir con la rendición de cuentas (accountability) a través de estructuras, autoridades y
responsabilidades.
 Se establecen medidas de desempeño, incentivos y competencias apropiadas a
responsabilidades.
 Se evalúa relevancia de las medidas de desempeño.
 Se consideran las presiones excesivas.
 Se evalúa el desempeño de los individuos.
 Se evalúa la adhesión de los individuos a los estándares de conducta.

II) EVALUACION DE RIESGO: Toda entidad hace frente a una serie de riesgos internos y externos que
deben evaluar en forma continua. La evaluación del riesgo consiste en la identificación y análisis de los
factores que podrían afectar la consecución de los objetivos de la organización.
 Previo a dicha evaluación es necesario que se establezcan de manera clara y precisa los
objetivos de la organización y que los mismos sean coherentes entre sí.
 Posteriormente se realizará la identificación de los riesgos relevantes para la consecución de los
objetivos,
 Posteriormente se procederá a analizar los riesgos identificados evaluando su probabilidad de
ocurrencia e impacto (estimación de su importancia)
 Finalmente debe determinarse cómo han de ser gestionados dichos riesgos (se aceptan; se
minimizan mediante la implementación de controles, se transfieren. Para eliminarlos se debería dejar
de realizar la actividad)
 Factores externos de riesgos:
 Avances tecnológicos que pueden influir en la evolución de los trabajos de investigación y provocar
cambios en los suministros.
 Necesidades cambiantes o nuevas expectativas de los clientes.
 La competencia
 Nuevas normas y reglamentos
 Desastres naturales
 Cambios económicos

 Factores internos
 Averías en los sistemas informáticos
 Calidad de los empleados y métodos de formación y motivación
 Cambios de responsabilidades de los directivos, que pueden afectar la forma de realizar determinados
controles.

8
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

 La naturaleza de las actividades de la entidad

 El nivel de acceso del personal a los activos
 Debilidad o fortaleza del departamento de auditoría.

El modelo COSO III define para el componente Evaluación de Riesgos (4 principios y 19 atributos):
1. La organización debe especificar claramente los objetivos para poder identificar y evaluar los
riesgos asociados a ellos.
2. Identificación y evaluación de riesgos empresariales como punto de partida para determinar cómo
deberían administrarse.
Se compromete a la gerencia; se analizan factores internos y externos; se estima la significatividad
de los riesgos identificados; se determina cómo responder y administrar los riesgos.
3. La organización considera el potencial de fraude en la evaluación de riesgos.
Se evalúan factores de riesgo que pueden derivar en pérdidas de activos, oportunidades de cometer
irregularidades, incentivos, presiones, oportunidades de accesos no autorizados, etc.
4. Evaluación de cambios relevantes que pueden impactar significativamente en el control interno.
Cambios en el contexto, en el modelo de negocios (nuevas líneas de producción), etc.

III) ACTIVIDADES DE CONTROL: son las políticas y procedimientos que ayudan a asegurar que se cumplan
las instrucciones de la dirección. Abarcan todos los niveles y todas las funciones de la organización.
Existen distintos tipos de actividades de control que van desde controles preventivos hasta detectivos o
controles manuales y controles informáticos. Hay una gama de actividades de control que generalmente
involucran al personal en todos los niveles de la organización.
Ver el tema clasificación de controles en el apartado 4 de este trabajo.

El modelo COSO menciona las siguientes actividades de control:

 Análisis efectuados por la dirección: entre otros: comparación de los resultados obtenidos con los
presupuestos, las previsiones, resultados de ejercicios anteriores y resultados de los competidores.
También el seguimiento de campañas comerciales, programas de mejoras de los procesos de
producción y de reducción de costos. El análisis y seguimiento de dicha información . Todos representan
actividades de control.
 Gestión directa de función por actividades: cada uno de los responsables de las diversas funciones y
actividades revisan los informes sobre los resultados alcanzados en el área a su cargo.
 Proceso de información: se realiza una serie de controles para comprobar la exactitud, totalidad y
autorización de las transacciones. Por ejemplo: punteo manual de información obtenida a través de los
sistemas informáticos, comprobación del límite de crédito aprobado de un cliente antes de autorizar un
pedido, análisis del cumplimiento de las normas vigentes sobre lavado de dinero antes de autorizar
operaciones que superen los montos establecidos

9
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

 Controles físicos: los bienes de uso, la tesorería, los bienes de cambio y otros activos son objeto de
protección y se someten periódicamente a recuentos físicos, comparando sus resultados con las cifras
que surgen de los registros de la empresa.
 Indicadores de rendimiento: el análisis combinado de diferentes conjuntos de datos operativos o
financieros y la aplicación de acciones correctivas, son actividades de control. Entre los indicadores de
rendimiento se incluyen las fluctuaciones de los precios de compras, el porcentaje de devoluciones, el
porcentaje de pedidos urgentes, etc.
 Segregación de funciones: la separación de tareas contribuye a disminuir el riesgo de cometer errores
e irregularidades
El modelo COSO III define para esta componente 3 principios y 16 atributos.
1. Selección y desarrollo de actividades de control que contribuyan a mitigar los riesgos.
Integración de las actividades de control con la evaluación de riesgos a fin de mitigarlos; se
determinan procesos del negocio relevantes, separación de funciones incompatibles.
2. La organización selecciona y desarrolla actividades de control sobre la Tecnología.
Nivel de informatización del ente, actividades relevantes de control de infraestructura y de procesos,
de seguridad de la información.
3. Implementación de actividades de control definidas por las políticas (lo que se debe hacer) y
procedimientos relevantes para cumplir con las políticas.
Para apoyar las directivas gerenciales; rendición de cuentas sobre su cumplimiento; auditoría
interna; acciones correctivas; revisión periódica de las políticas y procedimientos.

IV) INFORMACIÓN Y COMUNICACIÓN: Los sistemas de información manejan datos generados dentro de
la organización, como también información sobre acontecimientos externos, actividades y condiciones
relevantes para la toma de decisiones de gestión y para la presentación de información a terceros.
La información pertinente debe ser identificada, recopilada y comunicada en tiempo y forma, de manera que
permita cumplir a cada integrante de la organización con sus responsabilidades de control y de otras
funciones
Para que los sistemas de información sean eficaces, no deben únicamente identificar y recoger la información
necesaria (financiera y no financiera), sino que también han de procesar dicha información y comunicarla en
un plazo y de una forma que resulte útil para el control de las actividades de la entidad.
Todo el personal, especialmente aquellos con responsabilidades importantes en la gestión de la explotación
y las finanzas, debe recibir el mensaje claro desde la alta Dirección en el sentido en que debe tomar con
seriedad sus funciones las cuales afectan al control interno. De modo que es importante la claridad del
mensaje y la eficacia de la comunicación. Cada persona debe entender los aspectos relevantes del sistema
de control interno, cómo funciona y saber cuál es su papel y responsabilidad en dicho sistema.
Para el componente Información y Comunicación el modelo define 3 principios y 14 atributos.
1. Generación de información relevante.
Identificación de requerimientos de información, procesamiento de datos relevantes, calidad de la
información, se consideran costos y beneficios.
2. La organización se encarga de la comunicación interna de información
Al personal, al directorio, líneas de comunicación separadas (con distintos canales); métodos de
comunicación que consideren la oportunidad y naturaleza de la información.

10
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

3. Comunicación externa.
Líneas de comunicación separadas con clientes, proveedores, consumidores, auditores externos,
reguladores, analistas. Métodos para comunicaciones relevantes.

V) SUPERVISIÓN (MONITOREO): Mediante actividades de supervisión continuada, evaluaciones periódicas

o una combinación de ambas, se comprueba el adecuado funcionamiento del sistema a lo largo del tiempo.
Las deficiencias detectadas deberán ser comunicadas a los niveles superiores y la alta dirección deberá ser
informada de los aspectos significativos observados.
Los sistemas de control interno y la forma en que se aplican esos controles evolucionan con el tiempo, por
lo tanto los procedimientos, que eran eficaces en un momento determinado, pueden no serlo luego. Por esta
cuestión la Dirección tendrá que determinar si el sistema de control interno es en un determinado momento
adecuado y evaluar su capacidad de asimilar los nuevos riesgos.
El proceso de supervisión asegura que el control interno continúe funcionando adecuadamente. Las
actividades de supervisión se materializan en dos formas:
 Actividades de supervisión continua;
 Evaluaciones puntuales.
Cuanto mayor sea la eficacia de la evaluación continua, menor será la necesidad de evaluaciones puntuales,
cuya frecuencia quedará a juicio de la Dirección, de manera tal que la misma tenga una seguridad razonable
de la eficacia del control interno.
Actividades de supervisión continua: permiten efectuar un seguimiento de la eficacia del control interno
en el desarrollo normal del negocio. Las mismas comprenden actividades corrientes de gestión y
supervisión, comparaciones, conciliaciones y otras tareas rutinarias, entre las cuales podemos mencionar
algunos ejemplos como:
 Conciliaciones de los distintos informes de explotación con los informes financieros. El empleo
continuo de dichos informes en las actividades de gestión permitirá identificar de manera rápida los
errores importantes o los desvíos a los resultados previstos.
 Las comunicaciones recibidas de terceros permiten confirmar la información generada internamente
o señalar la existencia de problemas. El pago de las facturas por parte de los clientes corroboran
implícitamente los datos de facturación, mientras un reclamo podría indicar deficiencias en los
controles.
 La segregación de funciones permitirá una verificación recíproca, que servirá además de disuasión
al fraude.
 Comparación de los datos registrados por los sistemas de información con los activos físicos y
comunicación de las diferencias detectadas.
 Seminarios de formación, sesiones de planificación y otro tipo de reuniones, permitirá a la Dirección
obtener información importante acerca del funcionamiento de los controles. En estas reuniones
quedará manifestada la cultura de control de los participantes.
 Con una determinada frecuencia se puede solicitar una manifestación explícita por parte del personal
involucrado en la explotación y en temas financieros, respecto a la realización periódica de

11
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

determinados procedimientos de control, como por ejemplo conciliaciones, procediendo

posteriormente la Dirección o la Auditoría Interna a verificar la veracidad de dichas manifestaciones.
Evaluaciones Puntuales: Los procedimientos de supervisión continua suelen proporcionar información
importante sobre la eficacia de los componentes de control. Sin embargo, resultará útil realizar
periódicamente un replanteo del sistema de control interno, lo cual brindará, además, información sobre la
eficacia de los procedimientos de supervisión continua. El alcance y la frecuencia de la evaluación del control
interno varía según la magnitud de los riesgos objeto de control y la importancia de los controles para la
reducción de los mencionados riesgos
Para este componente el modelo actualizado define 2 principios y 11 atributos.
1. La organización realiza evaluaciones concurrentes y/o separadas para determinar si los
componentes del CI están presentes y funcionando.
Se aplica una mezcla de evaluaciones continuas y puntuales. Personal con conocimiento apropiado.
Se tiene en cuenta cambios en el negocio. Se integran en los procesos de negocio, se ajusta el
alcance y frecuencia en función del riesgo.
2. Evaluación y comunicación de las deficiencias.
Se evalúan resultados, se comunican las deficiencias a la gerencia y al directorio, se monitorean las
acciones correctivas.

Cuadro 2. Resumen de los principios asociados a cada uno de los componentes del modelo COSO III
Ambiente de Valoración de riesgos Actividades de Información y Supervisión o
control control comunicación monitoreo
Compromiso con Especificación clara de Selección y Generación de Realización de
la integridad y los los objetivos desarrollo de información evaluaciones
valores éticos relevantes actividades de relevante continuas e
control individuales
Responsabilidad Identificación y Selección de Comunicación Evaluación y
de supervisión evaluación de riesgos controles interna comunicación de
empresariales generales sobre deficiencias
tecnología
Establecimiento Evaluación de cambios Implementación Comunicación
de estructura, relevantes en el de políticas y externa
autoridad y entorno de la gestión procedimientos
responsabilidades de riesgos
Compromiso con Evaluación del riesgo
la competencia de fraude
Responsabilidad y
actitud de la
máxima autoridad
Fuente: Elaboración propia.

12
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

El modelo COSO III (2013) si bien no difiere demasiado del modelo COSO original, se constituye en una
herramienta adecuada a la realidad actual de las organizaciones. Sin embargo cabe destacar la
incorporación de dos conceptos que son relevantes para el contexto actual:
La evaluación del riesgo de fraude y la consideración del impacto del uso de la tecnología de
información (TI).
a. El fraude y su relación con el control interno: este modelo requiere que las organizaciones consideren
los potenciales fraudes relacionados con la declaración falsa material de informes, inadecuada protección de
los activos y corrupción en la evaluación de riesgos asociados con los objetivos. Un sistema de control
interno eficiente reduce la posibilidad de ocurrencia de fraudes o irregularidades pero no garantiza la no
ocurrencia de los mismos. Las posibles irregularidades vinculadas con el CI son aquellas perpetradas dentro
del marco y alcance del sistema; efectuadas mediante manipulación de los sistemas y procedimientos del CI
y aquellas ejecutadas por niveles situados más allá del CI.

b. La tecnología de información y el control interno: el uso de la TI tiene efectos fundamentales sobre la

estructura del control interno pero NO sobre los objetivos ni su filosofía. En los procesos de TI hay que
distinguir entre:
a) funciones de procesamiento: incluyen tareas como cálculo, comparación, acumulación y validación.
b) controles: acciones realizadas por una persona, un software o un dispositivo para salvaguardar activos
o evitar errores o irregularidades
Ciertas funciones de procesamiento, como por ejemplo validación y comparación, también representan
controles cuando son diseñados para detectar errores o irregularidades.
El informe 15 de la FACPCE manifiesta necesario incluir controles que actúen de manera disuasiva,
preventiva, detectiva o correctiva.

2.5 Actualización del modelo COSO 2017

El Consejo del Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicó el
documento Enterprise Risk Management—Integrating with Strategy and Performance (ERM 2017), una
actualización de la primera versión de 2004.
COSO decidió actualizar su publicación en materia de riesgos. Esto implica un cambio en el análisis y la
gestión de los mismos, abordando expectativas y necesidades de los clientes.
Gobierno y cultura: El gobierno fija el tono de la organización, reforzando la importancia y estableciendo
responsabilidades de supervisión del ERM. La cultura se refiere a los valores éticos, conductas deseadas y
el entendimiento del riesgo en la organización
El marco COSO ERM 2017 está estructurado a partir de cinco componentes y 20 principios, para que el
usuario pueda tener un panorama desde la estrategia hasta la ejecución.
propone beneficios en tres vertientes, conocer la metodología para identificar los riesgos, cómo
documentarlos y dar identificadores específicos con un medidor de desempeño para poder conocer su
impacto en el negocio.
Las estrategias de TI y de seguridad de la información deben alinearse a la estrategia de la organización.
Esta es una tendencia actual en las empresas que permitirá a las áreas de negocio un mayor nivel de
madurez respecto a la gestión de riesgos y cumplimiento.

13
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

video ilustrativo.
https://www.pwc.com/mx/es/coso-erm-framework.html

3. EVALUACION DEL SISTEMA DE CONTROL INTERNO.

El auditor interno evalúa el diseño y funcionamiento de los controles internos a efectos de detectar
deficiencias que posteriormente serán informadas a la Dirección.
Por su parte, el auditor de estados financieros, también evalúa el funcionamiento de los controles con el
propósito de establecer el grado de confianza que puede depositar en los mismos para obtener evidencias
de auditoría
 En primera instancia el auditor debe considerar el ambiente de control y el grado de informatización
del ente
 Posteriormente obtendrá información sobre el funcionamiento teórico de los controles. El auditor
deberá obtener un conocimiento del sistema de control interno aplicando algunas de las técnicas
relevamiento – fundamentalmente las entrevistas a los responsables de la organización, sector,
proceso, utilizando diferentes métodos como: encuestas, cuestionarios, narrativos y flujogramas. Es
relevante además la lectura de organigramas, manuales de procedimiento, plan de cuentas y
manuales de cuenta, etc.
Técnicas de Relevamiento
 La Entrevista personal es la técnica de relevamiento del control interno más utilizada y
consiste en una relación personal en la cual el auditor debe tratar de conocer que está
pasando en el entorno del entrevistado y a través de ese conocimiento aplicar cualquiera de
los métodos de relevamiento
Es importante que la entrevista se lleve a cabo en el lugar físico donde el entrevistado
desarrolla sus funciones logrando analizar al mismo tiempo el ambiente de control, niveles
de seguridad, sus conocimientos, etc.
Un bueno relevamiento no puede prescindir de la entrevista ya que sin este contacto con los
individuos del objeto de análisis (proceso, sector, etc) la tarea sería incompleta.
 Revisión de documentación: además de la entrevista es necesario revisar la
documentación utilizada en las tareas del proceso o ciclo.
 Obtención de la descripción de funciones como lectura de manuales de procedimiento
Métodos de Relevamiento:
Durante la entrevista se utilizan cualquiera de los siguientes método de relevamiento aunque lo más
usual y de mayor utilidad es aplicar una combinación de los mismos.
Métodos de relevamiento del funcionamiento y diseño del control interno.
1) Método de cuestionarios. Consiste en diseñar cuestionarios con preguntas que deben ser
respondidas por funcionarios y personal responsable de las áreas bajo examen mediante una
entrevista. Consiste en una serie de preguntas preestablecidas compuestos por preguntas cerradas
para responder SI-NO-NO APLICA o combinadas con preguntas descriptivas para una mejor
comprensión del relevamiento. Generalmente se utilizan modelos estandarizados adaptados a la

14
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

actividad que se pretende auditar. Las preguntas deben formularse de modo tal que una respuesta
afirmativa indique un punto óptimo en el sistema de control interno y una respuesta negativa, una
ausencia o debilidad. El cuestionario sirve de guía para el relevamiento y la determinación de las
áreas críticas, pero presentan limitaciones, entre ellas: las preguntas no siempre se adaptan a los
procedimientos y la naturaleza de las operaciones de la empresa; pueden no abordar todas las
deficiencias del sistema.
2) Método narrativo o descriptivo: se trata de una descripción de los procesos más importantes y los
controles para las distintas áreas, departamentos, funcionarios, empleados, mencionando registros
y formularios que intervienen. El relevamiento se realiza mediante entrevistas y observaciones y
requiere suficiente experiencia para obtener la información.
3) Método gráfico o diagrama de flujo: Consiste en describir la estructura orgánica de las áreas, las
actividades, los circuitos y ciclos, utilizando símbolos convencionales y explicaciones que den una
idea completa de los procedimientos de la empresa. Este método es un complemento muy útil que
permite una rápida identificación de la existencia o ausencia de controles y facilita la presentación
de recomendaciones.
Es importante destacar que ningún método por si solo resulta eficiente sino que se debe usar
una combinación de los mismos.
 Una vez conocido el funcionamiento teórico deberá comparar el resultado obtenido con el
funcionamiento real de los controles mediante los siguientes procedimientos de auditoría:
- Examen de comprobantes y registros.
- Comprobaciones matemáticas.
- Repeticiones de procesos (reproceso)
- Observaciones.
- Indagaciones

4. CLASIFICACION DE CONTROLES

Resulta útil para la evaluación de un sistema de control interno identificar diferentes tipos de controles que
pueden existir en la organización, a saber:

a) Controles directos y generales

Controles directos: brindan satisfacción de auditoría directa sobre la validez de las afirmaciones
contenidas en los estados contables. Abarcan los siguientes controles:
 Controles gerenciales: son los realizados por el nivel superior y efectuados por individuos que no
participan en el procesamiento de las operaciones. (controles presupuestarios, informes por excepción)
 Controles independientes: realizados por personas o secciones independientes del proceso
(conciliaciones bancarias, conciliaciones de resúmenes de cuenta de proveedores y clientes, recuentos
físicos, verificación de secuencia y de orden cronológico)
 Controles de procesamiento: incorporados en el sistema de procesamiento, realizados por las
personas o por el sistema (informes de recepción, depósito íntegro de cobranzas, aprobación de legajos de
pago)

15
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

 Controles de acceso: custodia y medidas de seguridad para salvaguardar activos (bienes e

información); es decir, destinadas a resguardar la existencia física de los bienes, las restricciones de acceso
a los mismos y los límites de autorización para realizar ciertas operaciones con ellos.

Controles generales: Comprenden la segregación de funciones, que contribuyen a garantizar el correcto

funcionamiento de los controles individuales (control por oposición de intereses). Deberían estar definidas y
segregadas las siguientes tareas:
 Inicio y decisión de las transacciones relevantes
 Registración
 Custodia de activos.

b) Controles preventivos, detectivos y correctivos

Preventivos: buscan disminuir la probabilidad de ocurrencia de un evento negativo (riesgo), evitando los
errores o fraudes que impidan el cumplimiento de objetivos. Por ejemplo, separación de tareas, utilización
de claves de acceso, solicitud de autorizaciones para ejecutar determinadas operaciones.

Detectivos: operan sobre hechos del pasado; permiten descubrir un evento, irregularidad o resultado no
previsto. Incluyen informes de excepción, conciliaciones, inventarios.

Correctivos: actúan para restablecer una situación anterior una vez que se ha producido un evento no
deseado. Por ejemplo, el resguardo de información, planes de contingencias.

c) Controles en ambientes de tecnología de la información

Controles generales: incluyen políticas y procedimientos que se aplican a la totalidad o gran parte de los
sistemas de información de una entidad. Afectan al entorno informatizado en su conjunto, ayudando a
asegurar su correcto funcionamiento. Incluyen (Presa, 2013):
a) control de acceso físico y lógico;
b) administración de cambios en los sistemas;
c) operaciones de computación (redes, resguardo y recupero, etc.);
d) controles organizacionales (ambiente de control, segregación de funciones e independencia
de la función de sistemas respecto de los usuarios).
Controles de las aplicaciones: son específicos para cada aplicación computarizada (remuneraciones,
cuentas a cobrar, etc). Diseñados en los propios sistemas informáticos. Se emplean en el procesamiento de
operaciones individuales mediante validaciones de entrada, procesamiento y salida. Incluyen controles de:
a) totalidad y exactitud;
b) validez, pertinencia y autorización;
c) actualizaciones, acumulación y almacenamiento de información;
d) confidencialidad y disponibilidad de la información.
Los controles generales están diseñados para proteger los controles de aplicación con el fin de asegurar que
tales controles sean efectivos (Arens et al., 2007:348).

Bibliografía.

16
 AUDITORIA
Universidad Nacional del Sur - Departamento de Ciencias de la Administración
Material didáctico “El sistema de control interno”
Diana Albanese, profesora titular

Arens A.,Elder R., Beasley M. (2007) Auditoria, Un enfoque integral. 11º ed, Pearson
Cossio J.J. (1999) Auditoría y Control. Buenos Aires: Su libro.
Estupiñán Gaitán, R. (2006). Control interno y fraudes con base en los ciclos transaccionales. Análisis de
Informe COSO I Y II. (2da edición). Bogotá: Ecoe Ediciones.
Fowler Newton E. (2015). Complemento de libros Análisis de la resolución técnica 37 de la FACPCE.
Laski J. (2013). Actualización del modelo COSO sobre control interno: Análisis sobre las modificaciones,
innovacionesy novedades. Profesional y empresaria (D&G), XIV.p 1225.
Lattuca A. (2014). Auditoría. Concepto y Métodos. Rosario: Foja Cero.
Mantilla Blanco, S.A. (2013). Auditoría del control interno. (3era edición). Bogotá: Ecoe Ediciones.
Presa, R. (coord.) (2013). Cuaderno Profesional Nro. 65: Efectos de la Tecnología de Información sobre el
control interno. (1era ed.). Buenos Aires: Consejo Profesional de Ciencias Económicas de la Ciudad
Autónoma de Buenos Aires.
Pungitore J.S. (2013). Sistemas administrativos y control interno. (2da edición). Buenos Aires: Osmar D.
Buyatti.
PWC (2017) Actualización del modelo COSO. https://www.pwc.com/mx/es.html
Rodriguez de Ramírez M.C. (2012). Avance del proyecto de actualización del COSO “Marco integrado de
control interno” Profesional y Empresaria (D&G) XIII, junio 2012; Errepar.
Slosse C; Gordicz J.,Gamondés S.(2006). Auditoría. Buenos Aires: La Ley.

17