Professional Documents
Culture Documents
Mgpscosepu Recu Mod3
Mgpscosepu Recu Mod3
en el Sector Público
REV27022019
Módulo 3
Control interno bajo el
enfoque COSO
SISTEMA DE CONTROL EN EL SECTOR PÚBLICO
Contenido
INTRODUCCIÓN ..................................................................................................................................... 5
1. COSO.................................................................................................................................................. 7
CONCLUSIONES .................................................................................................................................... 47
BIBLIOGRAFÍA ...................................................................................................................................... 49
Figuras
Figura 1. James Treadway Jr. (a la derecha) en una foto de 1984 ............................................................... 8
Figura 2. Esquematización gráfica de la misión de COSO ............................................................................. 9
Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013. ...................... 14
Figura 4. Grupos de personas en la organización (esquematización basada en COSO [2013]). ................ 15
Figura 5. Categorías de objetivos de control interno basadas en el ICIF 1992 ........................................... 16
Figura 6. Categorías de objetivos de control interno basadas en el ICIF 2013. .......................................... 18
Figura 7. Componentes del control interno en ICIF 1992 ........................................................................... 21
Figura 8. Relación entre objetivos, componentes y la entidad .................................................................. 21
Figura 9. Entorno del control ...................................................................................................................... 22
Figura 10. Enfoques para conceptualizar el riesgo ..................................................................................... 23
Figura 11. Esquematización del concepto de evento basado en el ERMIF 2004. ...................................... 25
Figura 12. Contraste entre los conceptos de oportunidad y riesgo ........................................................... 26
Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas. El
mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables. .................................................................................................................................................... 28
Figura 14. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un
evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. El
mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables: .................................................................................................................................................... 28
Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres valores
hipotéticos discretos y cualitativos. ........................................................................................................... 29
Figura 16. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables verosimilitud
y adversidad son numéricas continuas....................................................................................................... 31
Figura 17. Curva de apetito de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un
evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. 32
Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de
verosimilitud y adversidad. ........................................................................................................................ 32
Figura 19. Categorías de respuesta al riesgo según el ICIF 2013. ............................................................... 34
Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual. ........... 34
Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas ............................................................................................................................ 36
Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas. .................................................................................. 37
Figura 23. Valoración de riesgos ................................................................................................................. 38
Figura 24. Actividades de control ............................................................................................................... 40
Figura 25. Controles detectivo y preventivo basados en el ICIF 2013 ........................................................ 41
Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013) .. 43
Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización
basada en el ICIF 2013) ............................................................................................................................... 43
Tablas
Tabla 1. Componentes del control interno en las dos versiones del ICIF ................................................... 19
Tabla 2. Descripción de componentes del control interno basada en el ICIF 2013.................................... 20
Tabla 3. Algunos tipos de actividades de control transaccional señalados en el ICIF 2013 ....................... 40
Introducción
En este curso, el término enfoque COSO de control interno o control interno
bajo el enfoque COSO (abreviadamente, enfoque COSO) designa al abordaje
que en diversos estudios y publicaciones patrocinados por el denominado
Committee of Sponsoring Organizations of the Treadway Commission (Comité
de Organizaciones Patrocinantes de la Comisión Treadway, conocido como
COSO, por sus siglas en inglés), se le da a un tipo de proceso de control de la
gestión organizacional que en dichas publicaciones ha sido etiquetado como
control interno.
1. COSO
Una de las instituciones más influyentes en una temática que ha sido
denominada convencionalmente como control interno es el Committee of
Sponsoring Organizations of the Treadway Commission (Comité de
Organizaciones Patrocinantes de la Comisión Treadway), conocido
internacionalmente como COSO, por su sigla en inglés. En esta sección, se
aborda el surgimiento de COSO y su misión, así como algunas de las principales
publicaciones que ha patrocinado.
Dicha comisión tuvo como primer chairman al abogado James C. Treadway Jr.
De ello deriva que fuera conocida como la Treadway Commission. Treadway Jr.
era General Counsel de Pain Weber Inc. y anteriormente fue miembro de la U.
S. Securities and Exchange Commission.
Manejo de riesgos
Marcos empresariales
BRINDAR exhaustivos
a través del sobre
THOUGHT desarrollo de
Control interno
LEADERSHIP
Orientación Disuasión de
fraudes
diseñados para
Mejorar Reducir
2 COOPERS & LYBRAND fue la denominación de una firma establecida en 1957, resultante de la fusión
realizada de COOPER BROTHERS & CO (Reino Unido), MCDONALD, CURRIE AND CO (Canadá) and LYBRAND, ROSS
BROS & MONTGOMERY (Estados Unidos de América) (PwC, 2013).
3 PRICEWATERHOUSECOOPERS fue la denominación de la firma establecida en 1998 resultante de la fusión a
escala global de PRICE WATERHOUSE y COOPERS & LYBRAND. En el año 2010, PRICEWATERHOUSECOOPERS adoptó
formalmente el nombre comercial PwC, aunque la denominación PRICEWATERHOUSECOOPERS se mantiene
como nombre completo de la organización a nivel global para fines legales (PwC, 2013).
Bajo el enfoque COSO y en el marco del ICIF 2013, el sustantivo control hace
referencia a una política o procedimiento que es parte del control interno
mientras que el verbo controlar hace referencia a establecer o implementar una
política o procedimiento que lleva a efecto un principio. En efecto, en la referida
publicación se incluye la siguiente definición:
“Control (1) A noun (i.e., existence of a control), a policy or procedure that is part of
internal control. Controls exist within each of the five components. (2) A verb (i.e., to
control), to establish or implement a policy or procedure that effects a principle.” (COSO,
2013)
Bajo el enfoque COSO, el control interno, del cual forman parte los controles, el
está conceptualizado como un proceso. En efecto, las versiones de los años
1992 y 2013 del ICIF definen control interno en un sentido procesal, tal como
se indica a continuación:
COSO (2013, p. 1)
4 Traducción del Instituto de Auditores Internos (IAI) de España. Una traducción alternativa, más literal,
sería la siguiente: «[El] control interno es un proceso, efectuado por [el] consejo de directores, [la]
gerencia y otro [o el resto del] personal, diseñado para brindar seguridad razonable respecto al logro de
objetivos relativos a operaciones, reporteo (producción de reportes) y cumplimiento.»
un proceso,
efectuado por personas,
adaptable a la estructura de la entidad,
capaz de brindar seguridad razonable,
engranado para el logro de objetivos.
Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013.
Efectuado
por Personal
Adaptable a la
Proceso estructura de
la entidad
2.3.1. Proceso
Según COSO (2013, pp. 3, 145), incorporado dentro de este proceso están los
controles. Como se mencionó, un control es aquello que es parte del control
interno sea como:
de personas y de las acciones que toman a todo nivel de una organización para
efectuar el control interno.
PERSONAS DE LA
Gerencia Management Dirección (*)
ORGANIZACIÓN
(*) Los términos en inglés son los que aparecen en la versión original del ICIF 2013. Los términos señalados con
asterisco corresponden a la traducción efectuada por el IAI de España. Los términos consignados en los recuadros
amarillos corresponden a una traducción más literal.
Relacionados Efectivo
con el uso de
Operaciones recursos Desempeño
Eficiente
CATEGORÍAS DE
Relacionado Estados
OBJETIVOS DEL Reporting con la Transparencia
preparación de financieros
CONTROL INTERNO financiero confiables
financiera
SEGÚN ICIF 1992
Relacionados Leyes
con el
Cumplimiento cumplimiento Juridicidad
de
Regulaciones
«The Framework sets forth three «El Marco establece tres categorías
categories of objectives, which de objetivos, que permiten a las
allow organizations to focus on organizaciones centrarse en
separate aspects of internal diferentes aspectos del control
control: interno:
7 Traducción según el IAI de España. Una traducción más literal sería la siguiente:
«El Marco establece tres categorías de objetivos, que permiten a [las] organizaciones enfocarse en aspectos separados de control
interno:
• Objetivos de operaciones. Estos se refieren a [la] efectividad y [la] eficiencia de [las] operaciones de la entidad, incluyendo metas de
desempeño operacional y financiero y [la] salvaguarda de activos contra pérdidas
• Objetivos de reporting. Estos se refieren al reporting financiero y no financiero interno y externo y pueden abarcar confiabilidad,
oportunidad, transparencia u otros términos estipulados por reguladores, fijadores de estándares u las políticas de la entidad.
• Objetivos de cumplimiento / conformidad. Estos se refieren a la adherencia a leyes y regulaciones a la cual la entidad está sujeta.»
Téngase presente que reporting hace referencia a producción o emisión de informes o reportes.
Efectividad y
Objetivos de eficiencia
Pertinentes a
Incluido
operaciones
Salvaguarda de
activos
Financiero
CATEGORÍAS DE
Objetivos de No financiero
OBJETIVOS DEL Pertinentes a
información reporting
CONTROL INTERNO Interno
(reporting)
SEGÚN ICIF 2013
Externo
Leyes
Objetivos de Pertinentes a
adherencia a
cumplimiento Regulaciones
Tabla 1. Componentes del control interno en las dos versiones del ICIF
Nombre de componente
N°
En ICIF 1992 En ICIF 2013
1 Control environment Control environment
2 Risk assessment Risk assessment
3 Control activities Control activities
4 Information and Information and
communication communication
5 Monitoring Monitoring activities
MONI TOREO
&
N
N
IÓ
CIÓ
ACTIV D E OL
AC
ID
N
&
ADES R
ICA
NT
RM
COMUNICACIÓ
INFORMACIÓN
C O
UN
FO
IN
M
CO
S
VALO GO
RACIÓ IES
N D ER
OL
NTR
ENT O
ORN LC
O DE
s ad
ne o id
cio rte rm
r a po fo
Op
e Re on
C
Unidad Operativa
Función
Valoración de riesgos
División
Actividades de control
Información y comunicación
Actividades de monitoreo
COSO (2013, p. 31) señala cinco principios relativos con este componente. A
continuación, citamos a dichos principios, así como su traducción aproximada:
De adversidad
ENFOQUES PARA
CONCEPTUALIZAR
EL RIESGO
De bipolaridad
Sea una variable x y una persona P. Pueden presentarse los siguientes casos:
Con este enfoque, de manera similar al anterior, el riesgo (en términos amplios
o en términos puros) es subjetivo. En efecto, respecto a una variable
determinada, una persona A puede estar en situación de riesgo y, al mismo
tiempo, una persona B estar fuera de una situación de riesgo. Analícese, por
ejemplo, el caso de una operación crediticia en la cual el acreedor puede
determinar y modificar mensualmente la tasa efectiva anual i de interés flotante
aplicable. En este caso, si el deudor ha podido establecer y conocer la
3.2.2.1. Evento
EVENTO
De fuentes
Internas
Incidente o
Externas
u
Que afectan
Ocurrencia
Logro de
objetivos
… con impacto
Oportunidad
positivo
Posibilidad de
ocurrencia de
un evento ...
… con impacto
Riesgo
negativo
Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables.
P = (1;4)
4
Adversidad
3
Q = (2;2)
2
R = (4;1)
1
1 2 3 4
Verosimilitud
U = (0,2;$400)
Adversidad = Pérdida
V = (0,4;$200)
W = (0,8;$100)
Si los dos atributos básicos indicados son variables discretas con dominio finito,
se puede usar de manera alternativa o complementaria a un mapa de riesgo
similar al ilustrado en las dos figuras precedentes, un gráfico denominado
matriz de riesgo, tal como el ilustrado en la figura 15.
Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres
valores hipotéticos discretos y cualitativos.
En este caso, el mapa adopta una forma matricial que ilustra las nueve posibles combinaciones
hipotéticas de valores de ambas variables:
Dónde:
Para el caso de la figura 14, el monto hipotético del riesgo correspondiente a cualquiera
de los tres puntos ilustrados U, V y W es
Ejemplo 2. Apetito y mapa de riesgo cuando las variables verosimilitud y adversidad son numéricas
continuas
Figura 16. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables
verosimilitud y adversidad son numéricas continuas.
O E
S
P = (1;4)
4
Zona al NE
de la curva
Adversidad
T = (3;3)
3
Q = (2;2)
2
S = (1;1) R = (4;1)
1
Zona al SO
de la curva
1 2 3 4
Verosimilitud
O E
S
$100 $200 $300 $400
U = (0,2;$400)
Adversidad = Pérdida
Zona al NE
de la curva
Y = (0,6;$300)
V = (0,4;$200)
X = (0,2;$100) W = (0,8;$100)
Zona al SO
de la curva
Ejemplo 4. Apetito y matriz de riesgo cuando las variables verosimilitud y adversidad son numérica
discretas
La figura 18 ilustra una matriz de riesgo. Para cada combinación hipotética de
valores se indica su correspondiente monto de riesgo (MR) asociado.
Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de
verosimilitud y adversidad.
1 = Reducida 2 = Mediana 3 = Elevada
MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3
= Bajísimo = Muy bajo = Bajo
1 = Reducida 2 = Mediana 3 = Elevada
Verosimilitud
Aceptación
CATEGORÍAS DE Evitación
RESPUESTA AL
RIESGO Reducción
Compartición
La aceptación del riesgo suele darse cuando el monto de riesgo está dentro del
apetito de riesgo. Cuando el nivel de riesgo supera al apetito de riesgo, se
puede adoptar las opciones de reducción o compartición, si se verifica
previamente que, adoptando dichas respuestas, el nivel de riesgo se reduciría
hasta un nivel igual o menor que el apetito de riesgo. Si ello no se puede
verificar, entonces la respuesta apropiada sería la evitación del riesgo.
Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual.
Riesgo Riesgo
inherente residual
Respuesta al
riesgo
La verosimilitud de E es 3.
La adversidad en el caso de producirse E es 3.
Con esta información se tiene que el monto de riesgo inherente asociado con el referido
evento es 9, valor que se encuentra muy por encima del apetito de riesgo. Ante esta
situación se ha identificado que en anteriores PIP, los retrasos en las contrataciones
han estado asociadas con:
Ante esta situación, se ha planteado adoptar las siguientes acciones antes del inicio de
la ejecución del proyecto:
La verosimilitud de E es 1.
La adversidad en el caso de producirse E es 2.
Con esta información se tiene que el monto de riesgo residual asociado con E es 2,
valor que se encuentra por debajo del apetito de riesgo. Se tiene entonces que, de ser
implementadas las 5 acciones descritas, ellas configurarían respuestas al riesgo en la
categoría de reducción.
Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas
Riesgo inherente
3 = Elevada 2 = Mediana 1 = Reducida
Adversidad
Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas.
Riesgo
inherente
A = (3;3)
Curva
3
Adversidad
de
2
ap
e ti
Riesgo de
to
residual riesg
o
B = (1;2)
1
1 2 3
Verosimilitud
VALORACIÓN DE RIESGOS
Riesgos
Proceso Identificar
Establecimiento Precondición de para para el
dinámico e
de objetivos logro de
iterativo Valuar
objetivos
Por otro lado, en el marco del ICIF 2013, la especificación de objetivos sí forma
parte de dicho proceso de valuación. Al respecto, considera que una
organización especifica objetivos (COSO, 2013, p. 15)
COSO (2013, p. 59) señala cuatro principios relativos con este segundo
componente del control interno. A continuación, citamos a dichos principios, así
como una traducción aproximada de ellos:
8
En inglés, los atributos de los objetivos señalados en (1) son referidos como specific, measurable or
observable, attainable, relevant y time-based. Las iniciales correspondientes a estos cinco atributos forman
el acrónimo SMART.
ACTIVIDADES DE CONTROL
Políticas Para Directivas del
establecen
Acciones
Acciones
ayudar a management
establecidas - políticas
asegurar para mitigar
a través de - procedimientos ejecución
Procedimientos riesgos
Control
preventivo Diseñado para evitar
COSO (2013, p. 87) señala tres principios relativos con este componente. A
continuación se cita dichos principios, así como su traducción aproximada:
Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013)
INFORMACIÓN
Combinada
Con base en la Requeri-
DATA pertinencia a mientos
Sumarizada
Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización
basada en el ICIF 2013)
COMUNICACIÓN
Proveer
PROCESO
CONTINUO E Compartir Información
ITERATIVO necesaria
Obtener
COMUNICACIÓN
Permite entrada de información externa relevante.
Externa
Provee información a externos.
COSO (2013, p. 105) señala tres principios relativos con este componente. A
continuación se cita dichos principios, así como su traducción aproximada:
ACTIVIDADES DE MONITOREO
De acuerdo con COSO (2013, p. 126), el monitoreo puede ser hecho de dos
maneras: a través de evaluaciones sobre la marcha o de evaluaciones
separadas, o de alguna combinación de las dos. Al respecto indica (COSO,
2013, p. 126):
Evaluaciones
a través de sobre la marcha
FORMAS DE alternativa o
complemen
MONITOREAR -tariamente
Evaluaciones
separadas
COSO (2013, p. 123) señala dos principios relativos con este componente. A
continuación citamos dichos principios, así como su traducción aproximada:
Conclusiones
COSO
De acuerdo con el Marco Integrado de Control Interno del año 2013, el control
interno es un proceso
• Operacionales,
• De información y
• De cumplimiento.
Bibliografía
COSO. (1992). Internal Control - Integrated Framework. COSO.