Sistema de Control

en el Sector Público
REV27022019

Módulo 3
Control interno bajo el
enfoque COSO
 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Contenido
INTRODUCCIÓN ..................................................................................................................................... 5

OBJETIVOS DEL MÓDULO ....................................................................................................................... 6

1. COSO.................................................................................................................................................. 7

1.1. SURGIMIENTO DE COSO ......................................................................................................................... 7

1.2. MISIÓN DE COSO.................................................................................................................................. 9
1.3. PRINCIPALES PUBLICACIONES DE COSO .................................................................................................... 10

2. DEFINICIÓN DE CONTROL INTERNO BAJO EL ENFOQUE COSO .......................................................... 11

2.1. CONTROL Y CONTROLAR ........................................................................................................................ 11

2.2. CONTROL INTERNO ............................................................................................................................... 12
2.3. CONCEPTOS CLAVE RELACIONADOS CON LAS DEFINICIONES DE CONTROL INTERNO DE COSO ............................... 13
2.3.1. Proceso .................................................................................................................................... 14
2.3.2. Efectuado por personas .......................................................................................................... 14
2.3.3. Adaptable a la estructura de la entidad.................................................................................. 15
2.3.4. Capaz de brindar seguridad razonable ................................................................................... 16
2.3.5. Engranado para el logro de objetivos ..................................................................................... 16

3. COMPONENTES DEL CONTROL INTERNO BAJO EL ENFOQUE COSO .................................................. 19

3.1. ENTORNO DEL CONTROL ........................................................................................................................ 21

3.1.1. Conceptualización de entorno de control................................................................................ 21
3.1.2. Principios relativos al entorno del control ............................................................................... 22
3.2. VALORACIÓN DE RIESGOS ...................................................................................................................... 23
3.2.1. Enfoques para conceptualizar el riesgo .................................................................................. 23
3.2.1.1. Riesgo bajo un enfoque de adversidad ........................................................................................... 24
3.2.1.2. Riesgo bajo un enfoque de bipolaridad ........................................................................................... 24
3.2.2. Eventos, oportunidades y riesgos según COSO ....................................................................... 25
3.2.2.1. Evento ............................................................................................................................................. 25
3.2.2.2. Oportunidad y riesgo ....................................................................................................................... 26
3.2.2.3. Perspectivas para evaluar posibles eventos .................................................................................... 26
3.2.3.4. Monto de riesgo (amount of risk) .................................................................................................... 29
3.2.3.5. Apetito de riesgo (risk appetite) ...................................................................................................... 30
3.2.3.6. Categorías de respuesta al riesgo .................................................................................................... 33
3.2.3.7. Riesgo inherente y riesgo residual .................................................................................................. 34
3.2.3. Evaluación / valoración de riesgos como un proceso.............................................................. 37
3.2.4. Principios relativos con la valoración de riesgos ..................................................................... 38
3.3. ACTIVIDADES DE CONTROL ..................................................................................................................... 39
3.3.1. Conceptualización de las actividades de control ..................................................................... 39
3.3.2. Tipos de actividades de control transaccional ........................................................................ 40
3.3.3. Actividades de control preventivas y detectivas ..................................................................... 41
3.3.4. Principios relativos a las actividades de control ...................................................................... 42
3.4. INFORMACIÓN Y COMUNICACIÓN ............................................................................................................ 42
3.4.1. Conceptualización de información .......................................................................................... 42
3.4.2. Conceptualización de comunicación ....................................................................................... 43
3.4.2.1. Comunicación interna y externa...................................................................................................... 43
3.4.3. Principios relativos con la información y la comunicación ...................................................... 44

MAESTRÍA EN GESTIÓN PÚBLICA 2 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.5. ACTIVIDADES DE MONITOREO ................................................................................................................. 44

3.5.1. Conceptualización de actividades de monitoreo ..................................................................... 44
3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas ....................................................... 45
3.5.2. Principios relativos a las actividades de monitoreo ................................................................ 46

CONCLUSIONES .................................................................................................................................... 47

BIBLIOGRAFÍA ...................................................................................................................................... 49

Figuras
Figura 1. James Treadway Jr. (a la derecha) en una foto de 1984 ............................................................... 8
Figura 2. Esquematización gráfica de la misión de COSO ............................................................................. 9
Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013. ...................... 14
Figura 4. Grupos de personas en la organización (esquematización basada en COSO [2013]). ................ 15
Figura 5. Categorías de objetivos de control interno basadas en el ICIF 1992 ........................................... 16
Figura 6. Categorías de objetivos de control interno basadas en el ICIF 2013. .......................................... 18
Figura 7. Componentes del control interno en ICIF 1992 ........................................................................... 21
Figura 8. Relación entre objetivos, componentes y la entidad .................................................................. 21
Figura 9. Entorno del control ...................................................................................................................... 22
Figura 10. Enfoques para conceptualizar el riesgo ..................................................................................... 23
Figura 11. Esquematización del concepto de evento basado en el ERMIF 2004. ...................................... 25
Figura 12. Contraste entre los conceptos de oportunidad y riesgo ........................................................... 26
Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas. El
mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables. .................................................................................................................................................... 28
Figura 14. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un
evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. El
mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables: .................................................................................................................................................... 28
Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres valores
hipotéticos discretos y cualitativos. ........................................................................................................... 29
Figura 16. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables verosimilitud
y adversidad son numéricas continuas....................................................................................................... 31
Figura 17. Curva de apetito de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un
evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. 32
Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de
verosimilitud y adversidad. ........................................................................................................................ 32
Figura 19. Categorías de respuesta al riesgo según el ICIF 2013. ............................................................... 34
Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual. ........... 34
Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas ............................................................................................................................ 36
Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas. .................................................................................. 37
Figura 23. Valoración de riesgos ................................................................................................................. 38
Figura 24. Actividades de control ............................................................................................................... 40
Figura 25. Controles detectivo y preventivo basados en el ICIF 2013 ........................................................ 41
Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013) .. 43
Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización
basada en el ICIF 2013) ............................................................................................................................... 43

MAESTRÍA EN GESTIÓN PÚBLICA 3 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 28. Tipología de comunicaciones (basada en ICIF 2013). ................................................................ 44

Figura 29. Actividades de monitoreo ......................................................................................................... 45
Figura 30. Formas de monitorear basada en ICIF-COSO (2013) ................................................................. 45

Tablas
Tabla 1. Componentes del control interno en las dos versiones del ICIF ................................................... 19
Tabla 2. Descripción de componentes del control interno basada en el ICIF 2013.................................... 20
Tabla 3. Algunos tipos de actividades de control transaccional señalados en el ICIF 2013 ....................... 40

MAESTRÍA EN GESTIÓN PÚBLICA 4 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Introducción
En este curso, el término enfoque COSO de control interno o control interno
bajo el enfoque COSO (abreviadamente, enfoque COSO) designa al abordaje
que en diversos estudios y publicaciones patrocinados por el denominado
Committee of Sponsoring Organizations of the Treadway Commission (Comité
de Organizaciones Patrocinantes de la Comisión Treadway, conocido como
COSO, por sus siglas en inglés), se le da a un tipo de proceso de control de la
gestión organizacional que en dichas publicaciones ha sido etiquetado como
control interno.

En este capítulo, se pone en contexto el surgimiento de COSO. Se analiza,

además, bajo el enfoque COSO, el concepto de control interno. Por último, se
desarrolla los cinco componentes de control interno bajo el mismo enfoque:
entorno del control, evaluación de riesgos, actividades de control, información y
comunicación y actividades de monitoreo.

MAESTRÍA EN GESTIÓN PÚBLICA 5 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Objetivos del módulo

MAESTRÍA EN GESTIÓN PÚBLICA 6 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

1. COSO
Una de las instituciones más influyentes en una temática que ha sido
denominada convencionalmente como control interno es el Committee of
Sponsoring Organizations of the Treadway Commission (Comité de
Organizaciones Patrocinantes de la Comisión Treadway), conocido
internacionalmente como COSO, por su sigla en inglés. En esta sección, se
aborda el surgimiento de COSO y su misión, así como algunas de las principales
publicaciones que ha patrocinado.

1.1. Surgimiento de COSO

En junio de 1985 se estableció en Estados Unidos la National Commission on

Fraudulent Financial Reporting (Comisión Nacional sobre Reporteo Financiero
Fraudulento), una iniciativa independiente. Desde octubre de 1985 hasta
septiembre de 1987, dicha Comisión estudió el sistema de reporteo financiero
en los Estados Unidos. Su misión era identificar (National Commission on
Fraudulent Financial Reporting, 1987, p. 1) lo siguiente:

MAESTRÍA EN GESTIÓN PÚBLICA 7 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 Los factores causales que pueden conllevar al reporteo financiero

fraudulento.
 Los pasos para reducir su incidencia.

Dicha comisión tuvo como primer chairman al abogado James C. Treadway Jr.
De ello deriva que fuera conocida como la Treadway Commission. Treadway Jr.
era General Counsel de Pain Weber Inc. y anteriormente fue miembro de la U.
S. Securities and Exchange Commission.

Figura 1. James Treadway Jr. (a la derecha) en una foto de 1984 1

La referida Comisión fue patrocinada y financiada conjuntamente por cinco

instituciones (National Commission on Fraudulent Financial Reporting, 1987, p.
1):

 American Institute of Certified Public Accountants (AICPA).

 American Accounting Association (AAA).
 Financial Executives Institute (FEI).
 Institute of Internal Auditors (IIA).

1 Foto recuperada el 1 de abril de 2013, de

http://www.sechistorical.org/collection/photos/full/1984_0101_sec_4.jpg

MAESTRÍA EN GESTIÓN PÚBLICA 8 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 National Association of Accountants (NAA), que actualmente es The

Association for Accountants and Financial Professionals in Business
(IMA).

La iniciativa formada por las cinco instituciones del sector privado

patrocinadoras de la citada comisión fue denominada Committee of Sponsoring
Organizations of the Treadway Commission (Comité de Organizaciones
Patrocinantes de la Comisión Treadway). Es referida usualmente mediante sus
siglas en inglés: COSO.

1.2. Misión de COSO

La misión de COSO está formulada en los siguientes términos:

«The Committee of Sponsoring «La misión del Comité de

Organizations’ (COSO) mission is to
provide thought leadership through
the development of comprehensive
frameworks and guidance on
enterprise risk management, internal
control and fraud deterrence designed
to improve organizational performance
and governance and to reduce the
extent of fraud in organizations»
(COSO, 2011b)
Organizaciones Patrocinadoras (COSO)
es brindar liderazgo de ideas a través
del desarrollo de marcos comprensivos
y orientación en manejo de riesgos
empresariales, control interno y
disuasión de fraude, diseñados para
mejorar [la] performance y [la]
gobernanza organizacional y reducir la
extensión de[l] fraude en [las]
organizaciones».

Figura 2. Esquematización gráfica de la misión de COSO

Manejo de riesgos
Marcos empresariales
BRINDAR exhaustivos
a través del sobre
THOUGHT desarrollo de
Control interno
LEADERSHIP
Orientación Disuasión de
fraudes

diseñados para

Mejorar Reducir

Performance Extensión de fraude

Gobernanza
organizacional en las organizaciones

MAESTRÍA EN GESTIÓN PÚBLICA 9 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

1.3. Principales publicaciones de COSO

Entre las principales publicaciones de COSO se encuentran:

 Report of the National Commission on Fraudulent Financial Reporting,

publicado en 1987.
 Internal Control-Integrated Framework (ICIF), versión de 1992,
desarrollado por Coopers & Lybrand2.
 Enterprise Risk Management-Integrated Framework (ERMIF), versión de
septiembre de 2004, desarrollado por Pricewaterhouse Coopers LLP.
 Risk Assessment in Practice, versión de 2012, desarrollado por Patchin
Curtis y Mark Carey.
 Internal Control-Integrated Framework (ICIF), versión de mayo de 2013,
desarrollado por PwC3.

El presente módulo aborda el concepto de control interno y sus componentes

tomando como referencias principales las versiones de 1992 y de 2013 del ICIF.

2 COOPERS & LYBRAND fue la denominación de una firma establecida en 1957, resultante de la fusión
realizada de COOPER BROTHERS & CO (Reino Unido), MCDONALD, CURRIE AND CO (Canadá) and LYBRAND, ROSS
BROS & MONTGOMERY (Estados Unidos de América) (PwC, 2013).
3 PRICEWATERHOUSECOOPERS fue la denominación de la firma establecida en 1998 resultante de la fusión a

escala global de PRICE WATERHOUSE y COOPERS & LYBRAND. En el año 2010, PRICEWATERHOUSECOOPERS adoptó
formalmente el nombre comercial PwC, aunque la denominación PRICEWATERHOUSECOOPERS se mantiene
como nombre completo de la organización a nivel global para fines legales (PwC, 2013).

MAESTRÍA EN GESTIÓN PÚBLICA 10 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

2. Definición de control interno bajo el

enfoque COSO
2.1. Control y controlar

Bajo el enfoque COSO y en el marco del ICIF 2013, el sustantivo control hace
referencia a una política o procedimiento que es parte del control interno
mientras que el verbo controlar hace referencia a establecer o implementar una
política o procedimiento que lleva a efecto un principio. En efecto, en la referida
publicación se incluye la siguiente definición:

“Control (1) A noun (i.e., existence of a control), a policy or procedure that is part of
internal control. Controls exist within each of the five components. (2) A verb (i.e., to
control), to establish or implement a policy or procedure that effects a principle.” (COSO,
2013)

MAESTRÍA EN GESTIÓN PÚBLICA 11 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

enunciado Que forma

parte del
control
acción interno

Según el ICIF 2013, una política es un enunciado de un miembro de la gerencia

o del consejo respecto a qué se debería hacer para llevar a efecto el control
interno. Un procedimiento es una acción que implementa una política.

Se aprecia entonces que el concepto de control, además de estar asociado a los

conceptos de política y procedimiento anteriormente referidos, está relacionado
con el concepto de control interno, con sus cinco componentes y con sus
principios.

Al respecto, es pertinente señalar que el concepto de control interno se

desarrolla en la subsección 2.2. Asimismo, los cinco componentes del control
interno y los principios asociados a cada uno de estos componentes se
desarrollan en la sección 3.

2.2. Control interno

Bajo el enfoque COSO, el control interno, del cual forman parte los controles, el
está conceptualizado como un proceso. En efecto, las versiones de los años
1992 y 2013 del ICIF definen control interno en un sentido procesal, tal como
se indica a continuación:

MAESTRÍA EN GESTIÓN PÚBLICA 12 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

COSO (1992, p. 13)

«Internal control is a process, «[El] control interno es un proceso,

effected by an entity’s board of
directors, management, and other
personnel, designed to provide
reasonable assurance regarding the
achievement of objectives in the
following categories:
• Effectiveness and efficiency of
operations.
• Reliability of financial reporting.
• Compliance with applicable laws
and regulations.»
efectuado por [el] consejo de directores,
[la] gerencia y otro personal, diseñado
para proveer seguridad razonable
respecto al logro de objetivos de las
siguientes categorías
• Efectividad y eficiencia de
operaciones.
• Fiabilidad de[l] reporting financiero.
• Cumplimiento de leyes y regulaciones
aplicables.»

COSO (2013, p. 1)

«Internal control is a process, «El control interno es un proceso llevado

effected by an entity’s board of
directors, management, and other
personnel, designed to provide
reasonable assurance regarding the
achievement of objectives relating
to operations, reporting, and
compliance.»
a cabo por el consejo de administración,
la dirección y el resto del personal,
diseñado con el objeto de proporcionar
un grado de seguridad razonable en
cuanto a la consecución de objetivos
relacionados con las operaciones, la
información y el cumplimiento.»4

2.3. Conceptos clave relacionados con las definiciones de

control interno de COSO

Cuatro conceptos clave implícitamente señalados en las definiciones de control

interno, anteriormente citadas, son proceso, personal, aseguramiento
razonable, objetivos. Otro concepto clave es el de adaptabilidad, el cual,
aunque no es señalado explícitamente en las definiciones citadas, sí está
vinculado implícitamente con tales definiciones. En efecto, según COSO (2013,
p. 3), el control interno es

4 Traducción del Instituto de Auditores Internos (IAI) de España. Una traducción alternativa, más literal,
sería la siguiente: «[El] control interno es un proceso, efectuado por [el] consejo de directores, [la]
gerencia y otro [o el resto del] personal, diseñado para brindar seguridad razonable respecto al logro de
objetivos relativos a operaciones, reporteo (producción de reportes) y cumplimiento.»

MAESTRÍA EN GESTIÓN PÚBLICA 13 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 un proceso,
 efectuado por personas,
 adaptable a la estructura de la entidad,
 capaz de brindar seguridad razonable,
 engranado para el logro de objetivos.

Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013.

Efectuado
por Personal

Adaptable a la
Proceso estructura de
la entidad

Para Aseguramiento respecto a

lograr Objetivos
razonable

2.3.1. Proceso

Según COSO (2013, p. 3), el control interno no es un evento o circunstancia

única. Es un proceso dinámico e iterativo. Consiste en tareas y actividades en
marcha. Es un medio para un fin, y no un fin en sí mismo.

Según COSO (2013, pp. 3, 145), incorporado dentro de este proceso están los
controles. Como se mencionó, un control es aquello que es parte del control
interno sea como:

 una política (policy), es decir, un enunciado de un miembro de la gerencia o

del consejo respecto a qué se debería hacer para llevar a efecto el control
interno; o

 un procedimiento (procedure), es decir, una acción que implementa una

política.

2.3.2. Efectuado por personas

Según COSO (2013, p. 1), el control interno no es no es meramente acerca de

manuales de política y de procedimientos, sistemas y formularios, sino acerca

MAESTRÍA EN GESTIÓN PÚBLICA 14 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

de personas y de las acciones que toman a todo nivel de una organización para
efectuar el control interno.

Las personas que efectúan el control interno son

 El consejo de directores (board of directors5), cuyas responsabilidades

incluyen brindar consejo y dirección a la gerencia, desafiar
constructivamente a la gerencia, aprobar políticas y transacciones y
monitorear las actividades de la gerencia,
 la gerencia (management6), que juntamente con el consejo de directores
marcan la pauta para la organización respecto a la importancia del control
interno y los estándares esperados de conducta en la entidad y
 el resto del personal (other personnel).

Figura 4. Grupos de personas en la organización (esquematización basada en COSO [2013]).

Consejo de Board of Consejo de

directores directors Administración (*)

PERSONAS DE LA
Gerencia Management Dirección (*)
ORGANIZACIÓN

Resto del Other Resto del

personal personnel personal (*)

(*) Los términos en inglés son los que aparecen en la versión original del ICIF 2013. Los términos señalados con
asterisco corresponden a la traducción efectuada por el IAI de España. Los términos consignados en los recuadros
amarillos corresponden a una traducción más literal.

2.3.3. Adaptable a la estructura de la entidad

El ICIF 2013 considera que el control interno es flexible en aplicación (COSO,

2013, p. 1) para la entidad entera o para una subsidiaria, división, unidad
operativa o proceso de negocio particular.

5 El IAI de España traduce board of directors como consejo de administración.

6 El IAI de España traduce managemente como dirección.

MAESTRÍA EN GESTIÓN PÚBLICA 15 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

2.3.4. Capaz de brindar seguridad razonable

El ICIF 2013 considera que el control interno es capaz de brindar seguridad

razonable, pero no absoluta a la alta gerencia y al consejo de directores de la
entidad respecto al logro de determinados objetivos (COSO, 2013, pp. 1, 4). La
expresión seguridad razonable, en vez de seguridad absoluta, reconoce que
existen limitaciones en todos los sistemas de control interno, y que pueden
existir incertidumbres y riesgos que nadie puede confiablemente predecir con
precisión (COSO, 2013, p. 4).

2.3.5. Engranado para el logro de objetivos

El tema de los objetivos de control interno es un punto relevante en las dos

versiones del ICIF. Ambas puntualizan tres categorías de objetivos de control
interno distintos, pero traslapados. En la versión 1992, estas categorías son:

 Operaciones. Relacionado con el uso efectivo y eficiente de los recursos

de la entidad.
 Reporting financiero. Relacionado con la preparación de confiables
estados financieros publicados.
 Cumplimiento. Relacionado con el cumplimiento por parte de la entidad
de leyes y regulaciones que le sean aplicables.

Estos objetivos pueden vincularse respectivamente con resultados evaluados en

tres dimensiones, las cuales por razones didácticas pueden ser designadas
(empleando una terminología alternativa a la de COSO) como desempeño,
transparencia financiera y juridicidad. La relación entre los objetivos citados y
las dimensiones mencionadas están representadas en la figura siguiente.

Figura 5. Categorías de objetivos de control interno basadas en el ICIF 1992

Relacionados Efectivo
con el uso de
Operaciones recursos Desempeño
Eficiente

CATEGORÍAS DE
Relacionado Estados
OBJETIVOS DEL Reporting con la Transparencia
preparación de financieros
CONTROL INTERNO financiero confiables
financiera
SEGÚN ICIF 1992
Relacionados Leyes
con el
Cumplimiento cumplimiento Juridicidad
de
Regulaciones

MAESTRÍA EN GESTIÓN PÚBLICA 16 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

La versión 2013 también establece tres categorías de objetivos del control

interno distintas pero traslapadas. Ello queda reflejado en la cita siguiente:

«The Framework sets forth three «El Marco establece tres categorías
categories of objectives, which de objetivos, que permiten a las
allow organizations to focus on organizaciones centrarse en
separate aspects of internal diferentes aspectos del control
control: interno:

• Operations Objectives. These • Objetivos operativos-Hacen

pertain to effectiveness and referencia a la efectividad y la
efficiency of the entity’s eficiencia de las operaciones de la
operations, including operational entidad, incluidos sus objetivos
and financial performance goals, de rendimiento financiero y
and safeguarding assets against operacional y la protección de sus
loss. activos frente a posibles pérdidas

• Reporting Objectives. These • Objetivos de información-Hacen

pertain to internal and external referencia a la información
financial and non-financial financiera y no financiera interna
reporting and may encompass y externa y pueden abarcar
reliability, timeliness, aspectos de confiabilidad,
transparency, or other terms as oportunidad, transparencia u
set forth by regulators, standard otros conceptos establecidos por
setters, or the entity’s policies. los reguladores, organismos
reconocidos o políticas de la
• Compliance Objectives. These propia entidad.
pertain to adherence to laws and
regulations to which the entity is • Objetivos de cumplimiento-Hacen
subject» (COSO, 2013, p. 2). referencia al cumplimiento de las
leyes y regulaciones a las que
está sujeta la entidad.7

7 Traducción según el IAI de España. Una traducción más literal sería la siguiente:
«El Marco establece tres categorías de objetivos, que permiten a [las] organizaciones enfocarse en aspectos separados de control
interno:

• Objetivos de operaciones. Estos se refieren a [la] efectividad y [la] eficiencia de [las] operaciones de la entidad, incluyendo metas de
desempeño operacional y financiero y [la] salvaguarda de activos contra pérdidas

• Objetivos de reporting. Estos se refieren al reporting financiero y no financiero interno y externo y pueden abarcar confiabilidad,
oportunidad, transparencia u otros términos estipulados por reguladores, fijadores de estándares u las políticas de la entidad.

• Objetivos de cumplimiento / conformidad. Estos se refieren a la adherencia a leyes y regulaciones a la cual la entidad está sujeta.»

Téngase presente que reporting hace referencia a producción o emisión de informes o reportes.

MAESTRÍA EN GESTIÓN PÚBLICA 17 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 6. Categorías de objetivos de control interno basadas en el ICIF 2013.

Efectividad y
Objetivos de eficiencia
Pertinentes a
Incluido
operaciones
Salvaguarda de
activos

Financiero
CATEGORÍAS DE
Objetivos de No financiero
OBJETIVOS DEL Pertinentes a
información reporting
CONTROL INTERNO Interno
(reporting)
SEGÚN ICIF 2013
Externo

Leyes
Objetivos de Pertinentes a
adherencia a
cumplimiento Regulaciones

De la cita anterior, se aprecia que existe una importante diferencia cualitativa

en la segunda categoría de objetivos. Mientras que en la versión 1992 está
referido al reporting financiero en particular, en la versión 2013 está referido al
reporting en general, sea financiero o no, y tanto al interno como al externo.

MAESTRÍA EN GESTIÓN PÚBLICA 18 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3. Componentes del control interno

bajo el enfoque COSO
Las dos versiones del ICIF consideran que el control interno tiene cinco
componentes. En ambas versiones, los nombres de los componentes coinciden,
salvo en el quinto, tal como se indica en la siguiente tabla.

Tabla 1. Componentes del control interno en las dos versiones del ICIF

Nombre de componente
N°
En ICIF 1992 En ICIF 2013
1 Control environment Control environment
2 Risk assessment Risk assessment
3 Control activities Control activities
4 Information and Information and
communication communication
5 Monitoring Monitoring activities

MAESTRÍA EN GESTIÓN PÚBLICA 19 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

La siguiente tabla presenta una breve descripción de los cinco componentes de

control interno basada en la versión 2013 del ICIF. Cabe indicar que una
novedad en esta versión es la asociación explícita de cada componente con dos
o más principios, sumando en total 17 principios.

Tabla 2. Descripción de componentes del control interno basada en el ICIF 2013

Nombre de Traducción Traducción N° de

Detalle
componente aproximada oficial (*) principios
Es el conjunto de estándares,
Entorno del procesos y estructuras que
Control control / Entorno de brindan la base para llevar a
5
environment Ambiente de control cabo control interno a través de
control la organización (COSO, 2013, p.
12).
Involucra un proceso dinámico e
iterativo para identificar y
analizar riesgos para el logro de
Determinación
Risk Evaluación los objetivos de la entidad,
/ valoración 4
assessment de riesgos formando una base para
de riesgos
determinar cómo deberían
manejarse los riesgos (COSO,
2013, p. 13).
Son las acciones establecidas por
políticas y procedimientos para
ayudar a asegurar que las
Control Actividades de Actividades
directivas de la gerencia para 3
activities control de control
mitigar riesgos para el logro de
objetivos sean llevadas a cabo
(COSO, 2013, p. 13).
Información es la data que está
combinada y sumarizada con
base en relevancia para los
requerimientos de información,
los cuales son determinados por
el funcionamiento de otros
Information Información componentes de control interno
Información y
and y tomando en consideración las 3
comunicación
communication comunicación expectativas de todos los
usuarios, tanto internos como
externos (COSO, 2013, p. 106).
Comunicación es el proceso
continuo e iterativo de proveer,
compartir y obtener información
necesaria (COSO, 2013, p. 105).
Las actividades de monitoreo
determinan si cada uno de los
Actividades
Monitoring Actividades de cinco componentes de control
de 2
activities monitoreo interno y principios relevantes
supervisión
está presente y funcionando
(COSO, 2013, p. 124).
(*) Según el Instituto de Auditores Internos de España.

MAESTRÍA EN GESTIÓN PÚBLICA 20 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 7. Componentes del control interno en ICIF 1992

MONI TOREO

&
N
N

IÓ
CIÓ
ACTIV D E OL

AC
ID

N
&
ADES R

ICA
NT

RM
COMUNICACIÓ
INFORMACIÓN
C O

UN

FO
IN
M
CO
S
VALO GO
RACIÓ IES
N D ER

OL
NTR
ENT O
ORN LC
O DE

Gráfico adaptado de COSO (1992, p. 17).

Figura 8. Relación entre objetivos, componentes y la entidad

s ad
ne o id
cio rte rm
r a po fo
Op
e Re on
C
Unidad Operativa
Función

Entorno del control

Nivel de Entidad

Valoración de riesgos
División

Actividades de control

Información y comunicación

Actividades de monitoreo

Gráfico adaptado de COSO (2013, p. 5).

3.1. Entorno del control

3.1.1. Conceptualización de entorno de control

De acuerdo con COSO (2013, pp. 12, 31):

 El entorno del control es el conjunto de estándares, procesos y estructuras

que proveen la base para llevar a cabo [el] control interno a través de la
organización.

MAESTRÍA EN GESTIÓN PÚBLICA 21 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 El consejo directivo y la alta gerencia marcan desde el alto nivel la pauta

acerca de la importancia del control interno, incluidos los estándares
esperados de conducta.

Figura 9. Entorno del control

El control interno a través de la organización

para llevar a cabo

Proveen la base
CONJUNTO DE

Estándares Procesos Estructuras

Esquematización basada en COSO (2013, pp. 12, 31)

De acuerdo con COSO (2013, p. 31), el entorno del control comprende:

 La integridad y valores éticos de la organización.

 Los parámetros que permiten al consejo de directores llevar a cabo sus
responsabilidades de supervisión.
 La estructura organizacional y la asignación de autoridad y
responsabilidad.
 El proceso para atraer, desarrollar y retener individuos competentes.
 El rigor alrededor de las medidas de performance, incentivos y premios
para conducir la accountability para [la] performance.

3.1.2. Principios relativos al entorno del control

COSO (2013, p. 31) señala cinco principios relativos con este componente. A
continuación, citamos a dichos principios, así como su traducción aproximada:

«1. The organization 1. La organización demuestra un

demonstrates a commitment to compromiso con [la] integridad
integrity and ethical values. y [los] valores éticos.

2. The board of directors 2. El consejo de directores

demonstrates independence demuestra independencia de[l]

MAESTRÍA EN GESTIÓN PÚBLICA 22 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

from management and management y ejerce

exercises oversight of the supervisión del desarrollo y [la]
development and performance performance de[l] control
of internal control. interno.

3. Management establishes, with 3. [La] gerencia establece, con

board oversight, structures,
reporting lines, and appropriate
authorities and responsibilities
in the pursuit of objectives.
4. The organization demonstrates
a commitment to attract,
develop, and retain competent
individuals in alignment with
objectives.
5. The organization holds
individuals accountable for their
internal control responsibilities
in the pursuit objectives».
supervisión de[l] consejo [de
directores], líneas de reporte (*)
y autoridades y
responsabilidades apropiadas en
la persecución de objetivos.
4. La organización demuestra un
compromiso para atraer,
desarrollar y retener individuos
competentes en alineación a los
objetivos.
5. La organización atribuye a [los]
individuos la rentabilidad de
cuentas por sus
responsabilidades [de] control
interno en la persecución de
objetivos.

(*) Líneas de reporte, traducción de reporting lines, puede ser interpretado

como línea de mando, cadena de mando, línea jerárquica o vía jerárquica.

3.2. Valoración de riesgos

3.2.1. Enfoques para conceptualizar el riesgo

El concepto de riesgo tiene diferentes definiciones en la bibliografía

especializada. Dos enfoques conceptuales referenciales para definir dicho
concepto en relación con el efecto que la materialización del riesgo causaría en
una persona determinada son el de adversidad y el de bipolaridad.

Figura 10. Enfoques para conceptualizar el riesgo

De adversidad
ENFOQUES PARA
CONCEPTUALIZAR
EL RIESGO
De bipolaridad

MAESTRÍA EN GESTIÓN PÚBLICA 23 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.1.1. Riesgo bajo un enfoque de adversidad

Bajo un enfoque de adversidad, para una persona P en particular, un curso de

acción c es un riesgo si se cumple las tres condiciones siguientes:

 C no está bajo el dominio de P.

 P no conoce si c se dará.
 de darse c, ello conllevaría a un efecto adverso para P.

Bajo este enfoque, el riesgo es subjetivo en el sentido de que un curso de

acción podría ser considerado una situación de riesgo por una persona, y como
una situación fuera de riesgo para otra. Por ejemplo, si en un país determinado
la subida futura del tipo de cambio se considera posible, pero no se sabe si se
producirá o no, dicho curso de acción significaría un riesgo para un arrendatario
que paga alquiler en moneda extranjera pero no para el arrendador que, en vez
de riesgo, podría verlo como una oportunidad.

3.2.1.2. Riesgo bajo un enfoque de bipolaridad

Sea una variable x y una persona P. Pueden presentarse los siguientes casos:

(a) P no decide directamente el valor de x (es decir, dicha x no es una

variable de elección para dicha persona).
(b) P no conoce el valor de x.
(c) P conoce la distribución de probabilidades de valores de x.

Bajo un enfoque de bipolaridad, P está en sentido amplio en una situación de

riesgo o incertidumbre respecto a x cuando ocurre conjuntamente (a) y (b). Si
ocurre (a) y (b), se tiene que:

 Si ocurre (c), P estará en una situación de riesgo puro respecto a x.

 Si no ocurre (c), P estará en una situación de incertidumbre pura
respecto a x.

Con este enfoque, de manera similar al anterior, el riesgo (en términos amplios
o en términos puros) es subjetivo. En efecto, respecto a una variable
determinada, una persona A puede estar en situación de riesgo y, al mismo
tiempo, una persona B estar fuera de una situación de riesgo. Analícese, por
ejemplo, el caso de una operación crediticia en la cual el acreedor puede
determinar y modificar mensualmente la tasa efectiva anual i de interés flotante
aplicable. En este caso, si el deudor ha podido establecer y conocer la

MAESTRÍA EN GESTIÓN PÚBLICA 24 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

distribución de probabilidad de valores de i para los próximos 12 meses, se

tiene que para dicho período,

 El deudor está en una situación de riesgo,

 al mismo tiempo, el acreedor está fuera de riesgo, ya que él puede
determinar el valor de i.

A este enfoque se le denomina de bipolaridad porque, tanto en el caso de que x

llegue a asumir un valor que genere un efecto adverso para P como en el caso
de que llegue a asumir un valor que genere un efecto favorable para la misma
persona, se considerará que P está en riesgo o incertidumbre respecto a x en la
medida en que se cumpla las condiciones (a) y (b) citadas.

3.2.2. Eventos, oportunidades y riesgos según COSO

En el ERMIF 2004 y el ICIF 2003, oportunidad y riesgo pueden verse como

situaciones contrapuestas que se presentan ante un evento determinado. Estos
tres conceptos (evento, oportunidad y riesgo) son abordados a continuación.

3.2.2.1. Evento

Según el ERMIF 2004 (COSO, 2004, p. 16),

 Un evento es un incidente u ocurrencia [procedente] de fuentes internas o

externas que afectan el logro de objetivos;
 Los eventos pueden tener impacto negativo, impacto positivo o ambos.

Figura 11. Esquematización del concepto de evento basado en el ERMIF 2004.

EVENTO
De fuentes
Internas
Incidente o
Externas
u
Que afectan
Ocurrencia
Logro de
objetivos

MAESTRÍA EN GESTIÓN PÚBLICA 25 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.2.2. Oportunidad y riesgo

Según el ERMIF (2004) y el ICIF (2013),

 Oportunidad es la posibilidad de que un evento ocurra y positivamente

afecte el logro de objetivos (COSO, 2004, p. 16 y 2013, p. 60); en otras
palabras, es la posibilidad de ocurrencia de un evento con impacto
positivo;
 Riesgo es la posibilidad de que un evento ocurra y adversamente afecte el
logro de objetivos (COSO, 2004, p. 16 y 2013, p. 59); en otras palabras,
es la posibilidad de ocurrencia de un evento con impacto negativo.

Figura 12. Contraste entre los conceptos de oportunidad y riesgo

… con impacto
Oportunidad
positivo
Posibilidad de
ocurrencia de
un evento ...
… con impacto
Riesgo
negativo

Para la conceptualización del riesgo, COSO adopta elementos de un enfoque de

adversidad (en este caso, vinculado con objetivos). Sin embargo, ello no implica
que los riesgos (así como las oportunidades) así conceptualizados no puedan
ser sujetos a estudios probabilísticos.

3.2.2.3. Perspectivas para evaluar posibles eventos

Según el ERMIF 2004, la incertidumbre de eventos potenciales es evaluada

desde dos perspectivas denominadas con los términos likelihood e impact, que
pueden ser traducidas como verosimilitud e impacto. Al respecto, COSO (2004,
p. 50) señala:

 Likelihood (verosimilitud) representa la posibilidad de que un evento dado

ocurra.
 Impact (impacto) representa su efecto.

MAESTRÍA EN GESTIÓN PÚBLICA 26 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

De manera complementaria a lo señalado por COSO, se puede mencionar lo

siguiente:

 La variable verosimilitud hace referencia a un indicador de cuán verosímil

es el hecho de que el evento se materialice. Como indicador de
verosimilitud se puede usar:

 La probabilidad de que el evento se materialice, probabilidad

entendida en el sentido de las definiciones convencionales dadas
en Estadística Matemática, por lo cual sus posibles valores están
restringidos a números reales entre cero y uno;
 otra variable relacionada con la posibilidad de ocurrencia de un
evento con impacto adverso, pero que no calce con las referidas
definiciones de probabilidad; por ejemplo, en un caso particular se
puede decir que la verosimilitud es, usando valores cualitativos,
baja, media o alta; o, usando valores numéricos, 1, 2 o 3.

 El impacto directamente asociado a un riesgo (en el sentido definido por

COSO) es de naturaleza adversa para el cumplimiento de objetivos. Por
lo tanto, se podría señalar que, en el caso particular de los riesgos, ellos
pueden ser evaluados bajo las dos perspectivas siguientes: verosimilitud
y adversidad.
 La verosimilitud y la adversidad pueden ser vistas como dos atributos
básicos del riesgo, los cuales pueden ser representados en lo que se
denomina mapa de riesgos.

Ejemplos de mapas de riesgo se ilustran en:

 La figura 13, correspondiente a un caso en el cual ambos atributos son

variables numéricas continuas y algunos valores hipotéticos de ambas
variables son representados mediante puntos;
 La figura 14, correspondiente a un caso en el cual el atributo verosimilitud
se refiere a la probabilidad de ocurrencia de un evento (probabilidad
entendida en el sentido dado en Estadística Inferencial) y la adversidad
se refiere a un importe de pérdida que se generaría en el caso de
ocurrencia del mismo evento.

MAESTRÍA EN GESTIÓN PÚBLICA 27 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables.

P = (1;4)

4
Adversidad
3
Q = (2;2)
2

R = (4;1)
1

1 2 3 4
Verosimilitud

Figura 14. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables:
$100 $200 $300 $400

U = (0,2;$400)
Adversidad = Pérdida

V = (0,4;$200)

W = (0,8;$100)

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

Si los dos atributos básicos indicados son variables discretas con dominio finito,
se puede usar de manera alternativa o complementaria a un mapa de riesgo
similar al ilustrado en las dos figuras precedentes, un gráfico denominado
matriz de riesgo, tal como el ilustrado en la figura 15.

MAESTRÍA EN GESTIÓN PÚBLICA 28 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres
valores hipotéticos discretos y cualitativos.

En este caso, el mapa adopta una forma matricial que ilustra las nueve posibles combinaciones
hipotéticas de valores de ambas variables:

Reducida (R) Mediana (M) Elevada (E)

(R;E) (M;E) (E;E)
Adversidad

(R;M) (M;M) (E;M)

(R;R) (M;R) (E;R)

Reducida (R) Mediana (M) Elevada (E)

Verosimilitud

3.2.3.4. Monto de riesgo (amount of risk)

El ERMIF 2004 y el ICIF 2013 emplean la expresión amount of risk, traducible

como monto del riesgo, sin definirla expresamente. No obstante, para

propósitos prácticos y didácticos, el monto del riesgo ( ) para un evento

puede ser conceptualizado matemáticamente como el producto de la

verosimilitud ( ) de dicho evento y la adversidad ( ) que generaría su

ocurrencia; es decir,

Dónde:

 es el monto de riesgo del evento en estudio.

 es la verosimilitud del mismo evento.

 es la adversidad que tendría para el logro de objetivos, el

hecho de que ocurra el evento en mención.

MAESTRÍA EN GESTIÓN PÚBLICA 29 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Ejemplo 1. Monto de riesgo

Para el caso de la figura 13, el monto hipotético de riesgo correspondiente a cualquiera

de los tres puntos ilustrados P, Q y R es

Para el caso de la figura 14, el monto hipotético del riesgo correspondiente a cualquiera
de los tres puntos ilustrados U, V y W es

3.2.3.5. Apetito de riesgo (risk appetite)

En el ICIF 2013, el apetito de riesgo es definido como el monto de riesgo que,

en un nivel amplio, una entidad está dispuesta a aceptar en la persecución de
su misión/visión (COSO, 2013, p. 15). De manera complementaria, se puede
señalar que cuando verosimilitud y adversidad son variables cuantitativas, se
tiene que la curva de apetito de riesgo es el conjunto de puntos del mapa de
riesgo que correspondan a un monto de riesgo igual al apetito de riesgo.

Ejemplo 2. Apetito y mapa de riesgo cuando las variables verosimilitud y adversidad son numéricas
continuas

Partiendo del caso de la figura 13, si se establece como apetito de riesgo

un valor de 4, todas las combinaciones de valores de las variables
verosimilitud y adversidad que corresponden a un monto de riesgo
ascendente a 4 conformarán la curva de apetito de riesgo.
Corresponderán a montos de riesgo aceptables cualesquiera
combinaciones de valores de las referidas variables representadas por
puntos

 Dentro de la curva (tales como P, Q y R),

 Al suroeste de la misma curva (tal como el punto S).

MAESTRÍA EN GESTIÓN PÚBLICA 30 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

En cambio, las combinaciones de valores de dichas variables

representados por puntos ubicados al noreste de la referida curva (tal
como el punto T) corresponderán a montos de riesgo inaceptables.

Figura 16. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables
verosimilitud y adversidad son numéricas continuas.

O E

S
P = (1;4)
4

Zona al NE
de la curva
Adversidad

T = (3;3)
3

Q = (2;2)
2

S = (1;1) R = (4;1)
1

Zona al SO
de la curva

1 2 3 4
Verosimilitud

Ejemplo 3. Apetito y mapa de riesgo cuando la variable probabilidad es numérica continua y la

variable adversidad es monetaria continua

Partiendo del caso de la figura 14, si se establece como apetito de riesgo

un valor de USD 80, todas las combinaciones de valores de las variables
probabilidad y pérdida que corresponden a un monto de riesgo
ascendente a USD 80 conformarán la curva de apetito de riesgo.
Corresponderán a montos de riesgo aceptables cualesquiera
combinaciones de valores de las referidas variables representadas por
puntos

 Dentro de la curva (tales como U, V y W);

 Al suroeste de la misma curva (tal como el punto X).

MAESTRÍA EN GESTIÓN PÚBLICA 31 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

En cambio, las combinaciones de valores de dichas variables

representadas por puntos al noreste de la referida curva (tal como el
punto Y) corresponderán a montos de riesgo inaceptables.

Figura 17. Curva de apetito de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento.

O E

S
$100 $200 $300 $400
U = (0,2;$400)
Adversidad = Pérdida

Zona al NE
de la curva

Y = (0,6;$300)

V = (0,4;$200)

X = (0,2;$100) W = (0,8;$100)
Zona al SO
de la curva

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

Ejemplo 4. Apetito y matriz de riesgo cuando las variables verosimilitud y adversidad son numérica
discretas
La figura 18 ilustra una matriz de riesgo. Para cada combinación hipotética de
valores se indica su correspondiente monto de riesgo (MR) asociado.

Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de
verosimilitud y adversidad.
1 = Reducida 2 = Mediana 3 = Elevada

(1;3) (2;3) (3;3)

MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9

= Bajo = Alto = Muy alto

Adversidad

(1;2) (2;2) (3;2)

MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6
= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3
= Bajísimo = Muy bajo = Bajo
1 = Reducida 2 = Mediana 3 = Elevada
Verosimilitud

MAESTRÍA EN GESTIÓN PÚBLICA 32 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Si el apetito de riesgo se establece en 3, ello quiere decir que, en este caso,

 Es aceptable cualquiera de las cinco posibilidades del evento bajo estudio

con montos de riesgo ascendentes a 1, 2 o 3, correspondientes a

 Combinaciones que tengan reducida verosimilitud (sea cual fuere

su nivel de adversidad), situaciones representadas en la columna
izquierda de la matriz;
 Combinaciones que tengan reducida adversidad (sea cual fuera su
nivel de verosimilitud), situaciones representadas en la fila inferior
de la matriz;

 Son inaceptables las demás combinaciones de verosimilitud y adversidad,

representados por los elementos de la matriz (cuatro situaciones posibles
con montos de riesgo 4, 6 o 9).

3.2.3.6. Categorías de respuesta al riesgo

El ERMIF 2004 y el ICIF 2013 identifican cuatro categorías de respuesta al

riesgo (risk response): aceptación (acceptance), evitación (avoidance),
reducción (reduction) y compartición (sharing). De acuerdo con dichos marcos
(COSO, 2004, p. 55 y COSO, 2013, pp. 75-76):

 Aceptación ocurre cuando ninguna acción se toma para afectar la

verosimilitud o el impacto del riesgo.
 Evitación ocurre cuando se abandona las actividades que generan riesgo;
puede involucrar abandonar una línea de producto, declinar la expansión
a un nuevo mercado geográfico o vender una división.
 Reducción ocurre cuando se toma acción para reducir la verosimilitud, el
impacto o ambos; involucra típicamente una miríada de decisiones de
negocio cotidianas.
 Compartición ocurre cuando se reduce el riesgo o el impacto,
transfiriendo o compartiendo de otra manera una porción del riesgo;
técnicas comunes incluyen compra de seguros, formar joint ventures,
realizar transacciones de cobertura o tercerizar una actividad.

MAESTRÍA EN GESTIÓN PÚBLICA 33 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 19. Categorías de respuesta al riesgo según el ICIF 2013.

Aceptación

CATEGORÍAS DE Evitación
RESPUESTA AL
RIESGO Reducción

Compartición

La aceptación del riesgo suele darse cuando el monto de riesgo está dentro del
apetito de riesgo. Cuando el nivel de riesgo supera al apetito de riesgo, se
puede adoptar las opciones de reducción o compartición, si se verifica
previamente que, adoptando dichas respuestas, el nivel de riesgo se reduciría
hasta un nivel igual o menor que el apetito de riesgo. Si ello no se puede
verificar, entonces la respuesta apropiada sería la evitación del riesgo.

3.2.3.7. Riesgo inherente y riesgo residual

El ERMIF 2004 y el ICIF 2013 distinguen entre riesgo inherente y riesgo

residual, en función de que la gerencia haya adoptado —o no- acciones de
respuesta al riesgo. De acuerdo con dichos marcos (COSO, 2004, p. 49 y COSO,
2013, p. 75):

 Riesgo inherente es el riesgo para el logro de objetivos en la ausencia

de cualesquiera acciones que la gerencia podría tomar para alterar la
verosimilitud o el impacto del riesgo.
 Riesgo residual es el riesgo para el logro de objetivos que permanece
después de que se haya desarrollado e implementado respuestas de [la]
gerencia.

Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual.

Riesgo Riesgo
inherente residual
Respuesta al
riesgo

MAESTRÍA EN GESTIÓN PÚBLICA 34 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Ejemplo 5. Riesgo inherente, respuesta al riesgo y riesgo residual.

La implementación exitosa de un proyecto de inversión pública (PIP) parcialmente

financiado mediante una operación de endeudamiento externo tiene como factor crítico
la realización oportuna de los procesos de contratación. Se ha denominado E al evento
Retraso en dichos procesos por un período mayor a dos semanas respecto a lo
programado, el cual podría generar un impacto adverso para el logro de los objetivos
de dicho proyecto, por lo cual dicha posibilidad configura un riesgo, el cual será
simbolizado R.

El apetito de riesgo se ha establecido en 3. Al hacer la valuación de R antes de

seleccionar alguna respuesta al riesgo se ha determinado que:

 La verosimilitud de E es 3.
 La adversidad en el caso de producirse E es 3.

Con esta información se tiene que el monto de riesgo inherente asociado con el referido
evento es 9, valor que se encuentra muy por encima del apetito de riesgo. Ante esta
situación se ha identificado que en anteriores PIP, los retrasos en las contrataciones
han estado asociadas con:

 Dificultades para elaborar términos de referencia para productos complejos.

 Marco legal nacional muy restrictivo.

Ante esta situación, se ha planteado adoptar las siguientes acciones antes del inicio de
la ejecución del proyecto:

(1) Identificación de productos complejos cuya formulación de términos de referencia

(TDR) requieran apoyo técnico especializado.
(2) Contratación de consultores para que formulen y tengan concluidos los TDR de los
productos complejos referidos en (1) dentro de un plazo que venza seis meses
antes de que se requiera contratar o adquirir dichos productos.
(3) Formulación y conclusión de TDR por las áreas usuarias para aquellos bienes y
servicios que no califiquen como productos complejos dentro en un plazo que
venza seis meses antes de la fecha que se requiera iniciar el proceso de
adquisición o contratación de tales bienes y servicios.
(4) Uso de recursos del endeudamiento para financiar parcial o totalmente la
adquisición o contratación de los productos complejos.
(5) Aplicación de normativa internacional para los procesos de adquisición o
contratación de los productos complejos y de otros bienes y servicios priorizados
cuya contratación o adquisición pueda ser financiada parcialmente con recursos
de la operación de endeudamiento externo.

Al hacer la valuación de R para el caso en que se adopte las 5 acciones de respuesta al

riesgo anteriormente listadas, se ha determinado que:

MAESTRÍA EN GESTIÓN PÚBLICA 35 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 La verosimilitud de E es 1.
 La adversidad en el caso de producirse E es 2.

Con esta información se tiene que el monto de riesgo residual asociado con E es 2,
valor que se encuentra por debajo del apetito de riesgo. Se tiene entonces que, de ser
implementadas las 5 acciones descritas, ellas configurarían respuestas al riesgo en la
categoría de reducción.

Si las variables verosimilitud y adversidad son discretas y el mapa de riesgos aplicable

para E es la matriz de la figura 18, el efecto de la respuesta al riesgo se puede
representar tal como se ilustra en la figura 21. Si las dos referidas variables son
continuas, el efecto de la respuesta al riesgo puede representarse como se ilustra en la
figura 22.

Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas

En la figura se identifica el riesgo inherente y el riesgo residual:

Riesgo inherente
3 = Elevada 2 = Mediana 1 = Reducida

(1;3) (2;3) (3;3)

MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9
= Bajo = Alto = Muy alto
Riesgo residual

Adversidad

(1;2) (2;2) (3;2)

MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6

= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3

= Bajísimo = Muy bajo = Bajo

1 = Reducida 2 = Mediana 3 = Elevada

Verosimilitud

MAESTRÍA EN GESTIÓN PÚBLICA 36 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas.

En la figura se identifica el riesgo inherente y el riesgo residual:

Riesgo
inherente
A = (3;3)

Curva
3
Adversidad

de
2

ap
e ti
Riesgo de

to
residual riesg
o
B = (1;2)
1

1 2 3
Verosimilitud

3.2.3. Evaluación / valoración de riesgos como un proceso

El ICIF 2013 considera que el segundo componente del control interno, es

decir, la evaluación o valoración de riesgos es un proceso. Al respecto, señala lo
siguiente (COSO, 2013, p. 59):

 Cada entidad encara una variedad de riesgos de fuentes externas e

internas.
 La evaluación / valoración de riesgos involucra un proceso dinámico e
iterativo para identificar y valorar riesgos para el logro de objetivos.
 Los riesgos para el logro de estos objetivos son considerados relativos a
las tolerancias de riesgo establecidas.
 Así, la valoración de riesgo forma la base para determinar cómo se
manejará tales riesgos.
 Una precondición para la valoración de riesgos es el establecimiento de
objetivos, vinculados con diferentes niveles de la entidad.
 La gerencia especifica objetivos dentro de las categorías relativas con
operaciones, reporteo y cumplimiento, con suficiente claridad para ser
capaz de identificar y analizar sus correspondientes riesgos.
 La gerencia también fija su consideración en la idoneidad de los objetivos
para la entidad.
 La valoración de riesgos también requiere que la gerencia considere el
impacto de posibles cambios en el entorno externo y dentro de su propio

MAESTRÍA EN GESTIÓN PÚBLICA 37 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

modelo de negocios que puedan hacer que el control interno se vuelva

inefectivo.

Figura 23. Valoración de riesgos

VALORACIÓN DE RIESGOS
Riesgos
Proceso Identificar
Establecimiento Precondición de para para el
dinámico e
de objetivos logro de
iterativo Valuar
objetivos

En la terminología de COSO, resulta pertinente establecer la diferencia entre el

establecimiento de objetivos y la especificación de éstos. El establecimiento de
objetivos no es parte del proceso de valuación de riesgo en particular ni del
proceso de control interno en general, pero sí una precondición para la
valuación de riesgos.

Por otro lado, en el marco del ICIF 2013, la especificación de objetivos sí forma
parte de dicho proceso de valuación. Al respecto, considera que una
organización especifica objetivos (COSO, 2013, p. 15)

(1) Articulando y codificando objetivos específicos, medibles u observables,

alcanzables, pertinentes y temporizados;8
(2) Valorando la adecuación de objetivos y subobjetivos para el control
interno basado en hechos, circunstancias y leyes, reglas, regulaciones y
estándares establecidos;
(3) Comunicando objetivos y subobjetivos a través de la entidad.

3.2.4. Principios relativos con la valoración de riesgos

COSO (2013, p. 59) señala cuatro principios relativos con este segundo
componente del control interno. A continuación, citamos a dichos principios, así
como una traducción aproximada de ellos:

8
En inglés, los atributos de los objetivos señalados en (1) son referidos como specific, measurable or
observable, attainable, relevant y time-based. Las iniciales correspondientes a estos cinco atributos forman
el acrónimo SMART.

MAESTRÍA EN GESTIÓN PÚBLICA 38 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

«6. The organization specifies 6. La organización especifica

objectives with sufficient clarity objetivos con suficiente claridad
to enable the identification and para permitir la identificación y
assessment of risks relating to valuación de riesgos relativos a
objectives. [los] objetivos.

7. The organization identifies risks 7. La organización identifica

to the achievement of its
objectives across the entity and
analyzes risks as a basis for
determining how the risks
should be managed.
8. The organization considers the
potential for fraud in assessing
risks to the achievement of
objectives.
9. The organization identifies and
assesses changes that could
significantly impact the system
of internal control».
riesgos para el logro de sus
objetivos de manera transversal
a la entidad y analiza riesgos
como una base para determinar
cómo los riesgos deberían ser
manejados.
8. La organización considera el
potencial de fraude al valorar
riesgos para el logro de
objetivos.
9. La organización identifica y
valora cambios que podrían
impactar significativamente [en]
el sistema de control interno.

3.3. Actividades de control

3.3.1. Conceptualización de las actividades de control

En relación con este componente, COSO (2013, p. 87) señala lo siguiente:

 Las actividades de control son las acciones establecidas a través de

políticas y procedimientos que ayudan a asegurar que las directivas de la
gerencia para mitigar riesgos en pro del logro de objetivos sean llevadas
a cabo.
 Las actividades de control son desempeñadas en todos los niveles de la
entidad, en varias etapas dentro de los procesos del negocio y sobre el
entorno tecnológico.

 Puede comprender un rango de actividades manuales y automatizadas,

tales como autorizaciones y aprobaciones, verificaciones, reconciliaciones
y revisiones de performance de negocio.

MAESTRÍA EN GESTIÓN PÚBLICA 39 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 24. Actividades de control

ACTIVIDADES DE CONTROL
Políticas Para Directivas del
establecen
Acciones
Acciones
ayudar a management
establecidas - políticas
asegurar para mitigar
a través de - procedimientos ejecución
Procedimientos riesgos

3.3.2. Tipos de actividades de control transaccional

Dentro de la variedad de actividades de control transaccional, que pueden ser

seleccionadas y desarrolladas, el ICIF 2013 identifica las indicadas en la tabla
siguiente:

Tabla 3. Algunos tipos de actividades de control transaccional señalados en el ICIF 2013

Tipo señalado Traducción

Detalle (*)
en el ICIF 2013 aproximada
Una autorización afirma que una transacción es válida (es
decir, representa un evento económico real o está dentro
Authorizations Autorizaciones y de la política de una entidad). Una autorización toma
and approvals aprobaciones típicamente la forma de una aprobación por un nivel
superior de gerencia o de verificación y determinación de
si la transacción es válida (COSO, 2013, p. 92).
Las verificaciones comparan entre sí dos o más ítems o
comparan un ítem con un política, y desarrollan una
Verifications Verificaciones acción de seguimiento cuando los dos ítems no
concuerdan o el ítem no es consistente con la política
(COSO, 2013, p. 92).
El equipamiento, inventario, valores, efectivo y otros
Physical activos son asegurados físicamente, y son periódicamente
Controles físicos
controls contados y comparados con los importes mostrados en los
registros de control (COSO, 2013, p. 92).
Los datos permanentes (standing data), tales como el
archivo maestro de precios, son a menudo usados para
brindar soporte al procesamiento de transacciones dentro
Controls over Controles sobre
de un proceso de negocio. La organización pone en
standing data data permanente
marcha las actividades de control sobre los procesos para
ingresar, actualizar y mantener la exactitud, completitud y
validez de estos datos (COSO, 2013, p. 92).

MAESTRÍA EN GESTIÓN PÚBLICA 40 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Tipo señalado Traducción

Detalle (*)
en el ICIF 2013 aproximada
Las (re)conciliaciones comparan dos o más elementos de
Reconciliations (Re)conciliaciones datos y, si se identifican diferencias, se toma acción para
que los datos concuerden (COSO, 2013, p. 93).
Los controles supervisores valoran si otras actividades de
control transaccional (es decir, verificaciones particulares,
reconciliaciones, autorizaciones y aprobaciones, controles
Supervisory Controles
sobre data permanente y actividades de control físico)
controls supervisores
están siendo desempeñadas de forma completa, precisa y
de acuerdo con las políticas y procedimientos (COSO,
2013, p. 93).

3.3.3. Actividades de control preventivas y detectivas

Según el ICIF 2013, las actividades de control pueden ser preventivas o

detectivas en naturaleza, y las organizaciones usualmente seleccionan una
mezcla. En ambos casos, la parte crítica de la actividad de control es la acción
tomada para corregir o evitar un evento o resultado no intencionado. La mayor
diferencia entre ellas es la temporización de cuándo ocurren las actividades de
control. Así, se tiene que COSO (2013, p. 93) señala:

 Un control preventivo es diseñado para evitar un evento o resultado no

intencionado en el momento de la ocurrencia inicial (por ejemplo, al
registrar inicialmente una transacción financiera).
 Un control detectivo es diseñado para descubrir un evento o resultado no
intencionado después de que el procesamiento inicial ha ocurrido, pero
antes de que el objetivo último haya concluido (por ejemplo, emisión de
informes financieros).

Figura 25. Controles detectivo y preventivo basados en el ICIF 2013

Control Diseñado para descubrir

detectivo
Evento o
ACTIVIDADES resultado no
DE CONTROL intencionado

Control
preventivo Diseñado para evitar

MAESTRÍA EN GESTIÓN PÚBLICA 41 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.3.4. Principios relativos a las actividades de control

COSO (2013, p. 87) señala tres principios relativos con este componente. A
continuación se cita dichos principios, así como su traducción aproximada:

«10. The organization selects and 10. La organización selecciona y

develops control activities that desarrolla actividades de
contribute to the mitigation of control que contribuyen a la
risks to the achievement of mitigación de riesgos para el
objectives to acceptable logro de objetivos hasta
levels. [lograr] niveles aceptables [de
tales riesgos].
11. The organization selects and
develops general control 11. La organización selecciona y
activities over technology to desarrolla actividades de
support the achievement of control generales sobre la
objectives. tecnología para dar soporte al
logro de objetivos.
12. The organization deploys
control activities through 12. La organización despliega
policies that establish what is actividades de control a través
expected and in procedures de políticas que establecen
that put policies into action». qué se espera y en
procedimientos que ponen las
políticas en acción.

3.4. Información y comunicación

3.4.1. Conceptualización de información

En relación con este componente, según COSO (2013, p. 106),

 Información es la data que está combinada y sumarizada con base en la

pertinencia a requerimientos de información;
 Los requerimientos de información están determinados por el
funcionamiento continuo de los otros componentes del control interno,
tomando en consideración las expectativas de todos los usuarios, tanto
internos como externos.

MAESTRÍA EN GESTIÓN PÚBLICA 42 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013)

INFORMACIÓN

Combinada
Con base en la Requeri-
DATA pertinencia a mientos
Sumarizada

3.4.2. Conceptualización de comunicación

Según COSO (2013, p. 105), la comunicación es el proceso continuo e iterativo

de proveer, compartir y obtener información necesaria.

Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización
basada en el ICIF 2013)

COMUNICACIÓN

Proveer
PROCESO
CONTINUO E Compartir Información
ITERATIVO necesaria
Obtener

3.4.2.1. Comunicación interna y externa

El ICIF 2013 distingue entre comunicación interna y externa. Al respecto señala

(COSO, 2013, p. 105):

 La comunicación interna es el medio por el cual la información se disemina

a través de la organización, fluyendo ascendente, descendente y
transversalmente en la entidad. Permite al personal recibir un mensaje
claro de la alta gerencia que las responsabilidades del control deben ser
tomadas seriamente.
 La comunicación externa tiene dos caras: permite la comunicación hacia el
interior de información externa relevante y provee información a partes
externas en respuesta a requerimientos y expectativas.

MAESTRÍA EN GESTIÓN PÚBLICA 43 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 28. Tipología de comunicaciones (basada en ICIF 2013).

Es el medio por [el] cual la información es

diseminada a través de la organización,
Interna fluyendo ascendente, descendente y
transversalmente en la entidad.

COMUNICACIÓN
Permite entrada de información externa relevante.
Externa
Provee información a externos.

3.4.3. Principios relativos con la información y la comunicación

COSO (2013, p. 105) señala tres principios relativos con este componente. A
continuación se cita dichos principios, así como su traducción aproximada:

«13. The organization obtains or 13. La organización obtiene o

generates and uses relevant, genera y usa información
quality information to support relevante [y] de calidad para
the functioning of internal dar soporte al funcionamiento
control. de[l] control interno.

14. The organization internally 14. La organización comunica

communicates information, internamente información,
including objectives and incluyendo objetivos y
responsibilities for internal responsabilidades para [el]
control, necessary to support control interno, necesaria para
the functioning of internal dar suporte al funcionamiento
control. de[l] control interno.

15. The organization 15. La organización [se] comunica

communicates with external con partes externas en cuanto
parties regarding matters a asuntos que afecten el
affecting the functioning of funcionamiento de[l] control
internal control». interno.

3.5. Actividades de monitoreo

3.5.1. Conceptualización de actividades de monitoreo

Este componente es también denominado “actividades de supervisión”, según

la traducción del ICIF 2013 realizada por el Instituto de Auditores Internos de
España. En relación con este componente, COSO (2013, p. 124) señala:

 Las actividades de monitoreo valoran si cada uno de los cinco

componentes del control interno está presente y funcionando;

MAESTRÍA EN GESTIÓN PÚBLICA 44 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 El monitoreo es un input clave de la valoración de la efectividad del

control interno de la organización.

Figura 29. Actividades de monitoreo

ACTIVIDADES DE MONITOREO

VALORAN SI CADA Presente

está
COMPONENTE DEL y
CONTROL INTERNO Funcionando

3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas

De acuerdo con COSO (2013, p. 126), el monitoreo puede ser hecho de dos
maneras: a través de evaluaciones sobre la marcha o de evaluaciones
separadas, o de alguna combinación de las dos. Al respecto indica (COSO,
2013, p. 126):

 Las evaluaciones sobre la marcha son operaciones de rutina, definidas de

manera general, incorporadas en los procesos de negocio y
desempeñadas en tiempo real, reaccionantes con las condiciones
cambiantes.
 Las evaluaciones separadas son conducidas periódicamente por personal
gerencial objetivo, auditores internos, y/o partes externas, entre otros. El
alcance y la frecuencia de las evaluaciones separadas es una materia de
juicio gerencial.

Figura 30. Formas de monitorear basada en ICIF-COSO (2013)

Evaluaciones
a través de sobre la marcha
FORMAS DE alternativa o
complemen
MONITOREAR -tariamente
Evaluaciones
separadas

MAESTRÍA EN GESTIÓN PÚBLICA 45 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.5.2. Principios relativos a las actividades de monitoreo

COSO (2013, p. 123) señala dos principios relativos con este componente. A
continuación citamos dichos principios, así como su traducción aproximada:

«16. The organization selects, 16. La organización selecciona,

develops, and performs desarrolla y lleva a cabo
ongoing and/or separate evaluaciones sobre la marcha
evaluations to ascertain y/o separadas para determinar
whether the components of si los componentes del control
internal control are present interno están presentes y
and functioning. funcionando.

17. The organization evaluates 17. La organización evalúa y

and communicates internal comunica deficiencias de
control deficiencies in a timely control interno de manera
manner to those parties oportuna a aquellas partes
responsible for taking responsables para tomar
corrective action, including acción correctiva, incluyendo
senior management and the al senior management (alta
board of directors, as gerencia) y el consejo de
appropriate». directores, según sea
apropiado.

MAESTRÍA EN GESTIÓN PÚBLICA 46 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Conclusiones
COSO

 El denominado Committee of Sponsoring Organizations of the Treadway

Commission (COSO) es una iniciativa formada por las cinco instituciones
del sector privado patrocinadoras de la Comisión Treadway.

 Las cinco instituciones que forman dicha iniciativa se indican en la parte

derecha de esta diapositiva.

 COSO ha patrocinado diversas publicaciones en el campo de control

interno y manejo de riesgos, entre ellas, el Internal Control – Integrated
Framework (ICIF) o Marco Integrado de Control Interno del año 2013.

Control interno según COSO

De acuerdo con el Marco Integrado de Control Interno del año 2013, el control
interno es un proceso

 Efectuado por personas de los diversos niveles de la entidad;

 Diseñado para brindar seguridad razonable respecto al logro de

objetivos

• Operacionales,

• De información y

• De cumplimiento.

Componentes del control interno según COSO

El Marco Integrado de Control Interno del año 2013 considera cinco

componentes del control interno:

 Entorno del control, que es el conjunto de estándares (normas),

procesos y estructuras que sirven de base para llevar a cabo el control
interno a través de la organización;

 Evaluación de riesgos, que es un proceso dinámico e iterativo para

identificar y valuar riesgos, lo cual forma la base para determinar cómo
manejar (gestionar) riesgos;

MAESTRÍA EN GESTIÓN PÚBLICA 47 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 Actividades de control, que puede involucrar el control detectivo

diseñado para descubrir eventos o resultados no intencionados y el
control preventivo diseñado para evitarlos;

 Información y comunicación, referida la primera a data combinada y

sumarizada con base en determinados requerimientos, y la segunda a un
proceso continuo e iterativo de proveer, compartir y obtener información
necesaria;

 Actividades de supervisión (actividades de monitoreo), con las cuales

se determina si cada componente del control interno está presente y
funcionando.

MAESTRÍA EN GESTIÓN PÚBLICA 48 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Bibliografía
COSO. (1992). Internal Control - Integrated Framework. COSO.

COSO. (2004). Enterprise Risk Management - Integrated Framework: Executive

Summary and Framework.

COSO. (2011b). About us. Recuperado el 10 de julio de 2012, de sitio web de

COSO: http://www.coso.org/aboutus.htm

COSO. (2013). Internal Control - Integrated Framework: Framework and

Appendices. COSO.

National Commission on Fraudulent Financial Reporting. (1987). Report of the

National Commission on Fraudulent Financial Reporting. National
Commission on Fraudulent Financial Reporting.

PwC. (2013). History and milestones. Recuperado el 5 de mayo de 2013, de

http://www.pwc.com/us/en/about-us/pwc-corporate-history.jhtml

MAESTRÍA EN GESTIÓN PÚBLICA 49 | 49