INSTITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
SEMINARIO:
NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL
AÑO 2012
TEMA:
CONTROL INTERNO COSO 2013 ENFOCADO A PyME´s
INFORME FINAL QUE PARA OBTENER EL TÍTULO DE:
CONTADOR PÚBLICO
PRESENTAN:
AARÓN HERNÁN JIMÉNEZ SALAZAR
MIRIAM GUADALUPE JUÁREZ ANGELES
VIVIANA MANZO ASCENCIO
MONICA PATIÑO ESTRADA
YESENIA SANTILLÁN CASTAÑEDA
CONDUCTORES DEL SEMINARIO:
C.P.C.CARLOS ALARCÓN FLORES
DR.ALBERTO RIVERA JIMÉNEZ
MÉXICO, D.F. MARZO 2015
AL INSTITUTO POLITÉCNICO NACIONAL
Gracias por brindarnos la oportunidad de ser parte de esta gran institución y
habérsenos confiado la responsabilidad y privilegio de formar parte de la
comunidad politécnica, formando profesionistas exitosos en este país; con un
compromiso de honestidad, servicio y calidad, por esto en cualquier lugar
reconoceremos “El orgullo de ser politécnico”.
A LA ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
Honorable ESCA Tepepan, te agradecemos por permitirnos formar parte de
ti, por la preparación, enseñanza y desarrollo como personas integras y
profesionales responsables, capaces de asumir retos y colocar en alto tu
nombre, mediante nuestro desempeño profesional. Con respeto y admiración
por hacer realidad una de nuestras metas más importantes en nuestra vida,
ser CONTADOR PÚBLICO.
A LOS PROFESORES
A todos los profesores agradecemos la excelencia académica que nos
brindaron, por la entrega, dedicación y experiencias compartidas y por
contribuir a la formación de profesionistas, siendo así merecedores de
nuestra admiración y respeto.
I
ÍNDICE
ÍNDICE DE IMÁGENES .................................................................... III
TABLA DE SIGLAS Y ABREVIATURAS ............................................... IV
INTRODUCCIÓN ................................................................................. 1
CAPÍTULO I. MARCO REGULATORIO NACIONAL Y EXTRANJERO
APLICABLE EN LA PROFESIÓN DE AUDITORIA
1.1 Código de Comercio .................................................................... 3
1.2 Ley General de Sociedades Mercantiles ......................................... 3
1.3 Código Fiscal de la Federación ...................................................... 4
1.4 Reglamento del Código Fiscal de la Federación ............................... 4
1.5 Resolución Fiscal Miscelánea ........................................................ 5
1.6 Ley Sarbanes-Oxley .................................................................... 5
CAPITULO II. ANTECEDENTES DEL COSO
2.1 Concepto del COSO .................................................................... 9
2.2 Visión del COSO ....................................................................... 10
2.3 COSO I 1992 integrated framework ............................................ 10
2.4 COSO II 2004 enterprise risk management .................................. 12
2.5 COSO III 2013 marco integrado del control interno ...................... 15
CAPÍTULO III. TEORÍA GENERAL DE CONTROL INTERNO
3.1 Responsables del control interno en una entidad .......................... 19
3.2 Relación del control interno con auditoría .................................... 20
3.3 Objetivos ................................................................................ 21
3.4 Estructura organizacional .......................................................... 21
3.5 Enfoque COSO 2013 ................................................................. 21
CAPÍTULO IV. COMPONENTES Y PRINCIPIOS DEL COSO
4.1 Ambiente de control ................................................................. 25
II
4.2 Evaluación de riesgos ............................................................... 31
4.3 Actividades de control ............................................................... 38
4.4 Sistemas de información y comunicación ..................................... 50
4.5 Actividades de monitoreo de controles .......................................... 57
CASO PRACTICO ESTUDIO DE CONTROL INTERNO PLÁSTICOS Y
POLIDUCTOS DEL ORIENTE
Diagnóstico del sistema de control interno .......................................... 63
Matriz de evaluación de riesgos ......................................................... 70
Manual de políticas y procedimientos ................................................. 83
Conclusión ..................................................................................... 112
CONCLUSIONES ............................................................................. 114
RECOMENDACIONES ...................................................................... 116
BIBLIOGRAFÍA .............................................................................. 118
ANEXO A ........................................................................................ 120
III
ÍNDICE DE IMÁGENES
Figura 1.”Cubo COSO I 1992 Integrated Framework” (American Institute of
Certified Public Accountants, 2013) ....................................................... 11
Figura 2.”Cubo COSO II 2004 administración del riesgo de la empresa” (SOX
y Auditoría Interna, 2012) ................................................................... 14
Figura 3. “Relación entre COSO I Y II” (SOX y Auditoría Interna, 2012) ..... 14
Figura 4. “cambios en el ambiente de negocios.” .................................... 16
Figura 5. “COSO 1992 vs COSO 2013” (PwC, 2012) ................................ 18
Figura 6. “Cubo COSO 2013” (PwC, 2012) ............................................. 22
Figura 7. “Criterios para la evaluación de riesgos” .................................. 39
Figura 8. “Evaluación de riesgos en el proceso de ventas” ....................... 40
Figura 9. “Elementos de la entidad para conocer su entorno” ................... 41
Figura 10. “Prácticas de controles manuales y automatizados” (Auditool,
2014) ............................................................................................... 46
Figura 11. “Importancia de políticas y procedimientos” ............................ 47
Figura 12. “Matriz de riesgo” (JURNAL AUDITOR, 2012) .......................... 49
Figura 13. “Resultado de la evaluación del ambiente de control” ............... 66
Figura 14. “Resultado de la evaluación de riesgos” .................................. 66
Figura 15. “Resultado de la evaluación actividades de control” ................. 67
Figura 16. “Resultado de la evaluación de sistemas de información” ......... 67
Figura 17. “Resultado de la evaluación de monitoreo” ............................. 68
Figura 18. “Organigrama Plásticos y poliductos del Oriente” ..................... 69
IV
TABLA DE SIGLAS Y ABREVIATURAS
AAA American Accounting Association (Asociación de Contadores
Públicos Norteamericanos).
AICPA American Institute of Certified Public Accountants (Instituto
Norteamericano de Contadores Públicos).
CFF Código Fiscal de la Federación.
COSO Committe of Sponsoring Organizations.
DOF Diario Oficial de la Federación.
EUA Estados Unidos de América
FEI Financial Executive Institute (Asociación Internacional de
Ejecutivos de Finanzas).
IFRS International Financial Reporting Standards (Normas
Internacionales de Información Financiera).
IIA Institute of Internal Auditors (Instituto de Auditores Internos).
IMA Institute of Management Accountants (Instituto de Gerentes de
Contabilidad).
NIA Normas Internacionales de Auditoría.
NIF Normas de Información Financiera.
PCAOB Public Company Accounting Oversight Board.
PyME Pequeña y Mediana Empresa.
SEC Security and Exchange Comision.
SOX Sarbanes Oxley ó Ley Sarbanex Oxley.
TI Tecnologías de Información.
1
INTRODUCCIÓN
Debido a que las leyes nacionales y extranjeras sugieren a las entidades a
llevar una contabilidad y un control interno adecuado para minimizar errores
y riesgos de fraude, las compañías se ven en la necesidad de utilizar como
guía controles publicados por el Committe of Sponsoring Organizations, ya
que estos controles relacionan cinco componentes con diecisiete principios
que permiten mejor el sistema de control interno de las compañías, así
mismo contiene una serie de estándares que incluyen a la administración de
las empresas a los comités de auditoría, a los auditores internos y externos
de empresas públicas que cotizan en el mercado bursátil, fundamentalmente
radica en la restauración y el cumplimiento de las regulaciones de la ley
sarbanes-oxley. Sox está integrada por secciones que establecen numerosas
disposiciones que establecen prácticas sanas de negocios que mejoran la
reputación de una organización al enviar mensajes de que la empresa está
llevando a cabo esfuerzos serios en pro de publicar únicamente información
financiera precisa y confiable.
El presente informe es una herramienta que ayuda a entender de manera
amplia el informe Committee of sponsoring organizations; COSO fue
realizado para mejorar el control interno y la calidad de la información
financiera de las empresas, elaborado por un grupo de trabajo a
consecuencia de la quiebra de grandes organizaciones. Hablar de los
antecedentes es hablar de muchos años de trabajo, en este informe se
presentan las modificaciones que ha sufrido desde su origen hasta su última
actualización. Su visión es construir valor en las organizaciones y para poder
lograrlo tuvo que fincar objetivos claros como; establecer una definición
común de control interno en las entidades; facilitar un modelo con base al
cual las empresas de cualquier tamaño para que puedan evaluar su sistema
de control interno; hacer cumplir las políticas y reglamentos de las
entidades.
Para ampliar el panorama del COSO es necesario entender la definición y
objetivos del control interno y su relación con la auditoria. Control interno es
un proceso que se origina de las necesidades de la operación diaria ya que
en la actualidad existen factores importantes para el logro de objetivos y
metas de las dependencias públicas y el sector empresarial, en busca de
propósitos y finalidades en su entorno competitivo, su función será aplicable
a todas las áreas de operación de los negocios todos los miembros de la
organización, sin importar el área o departamento al que pertenezcan, son
2
responsables del control interno como la dirección el consejo de
administración y los empleados. Proceso efectuado por la gerencia de una
organización y otro personal, diseñado para proporcionar seguridad
razonable con relación al logro de los objetivos de tipo operacional, de
información y de cumplimiento.
El nuevo marco integrado de control interno aplicable a partir del 15 de
diciembre de 2014, formaliza 5 componentes y 17 principios, los cuales
deben “operar conjuntamente” para obtener un sistema de control interno
eficaz. Estos principios proporcionan flexibiliada y ayudan a la organización a
establecer controles adecuados para cumplir los objetivos del negocio,
reducir riesgos a un nivel aceptable y estar preparados para cambios y
circunstancias imprevistas.
Actualmente las PyME´s reflejan importancia en la economía del país ya que
generan ingresos significativos, empleos y competitividad, pero muchas de
ellas carecen de un sistema que pueda hacerlas crecer, por eso en este
informe se enfocó el COSO en las PyME´s con la finalidad de que los dueños
de las PyME´s implementen un sistema de control interno, se elaboró una
evaluación como ejemplo del control interno basada en el COSO en una PyME
llamada Plásticos y Poliductos de Oriente. Derivado de una evaluación
utilizando una matriz de riesgos, entrevistas y otras herramientas, se pudo
diagnosticar que la entidad antes mencionada no cuenta con un sistema de
control interno por eso fue necesario elaborar un manual de políticas y
procedimientos, así como proporcionar sugerencias a los dueños de la
organización es así, como la aplicación del control interno tanto en
compañías públicas y privadas, permite el logro de los objetivos, tomar
decisiones adecuadas y hacer frente a la competitividad mundial.
Debido al cambio y evolución del mundo económico, en la actualidad existen
una serie de metodologías administrativas y operativas que se crearon con el
fin de ser más competitivos y responder a las necesidades de las empresas,
la profesión de auditoría es responsable de la obtención de una seguridad
razonable de que los estados financieros, en su conjunto, están libres de
incorrecciones materiales, debidas a fraude o error, se tendrá en cuenta el
marco normativo aplicable, aunque la auditoria se haya planificado y
ejecutado adecuadamente de conformidad con las normas internacionales de
auditoría.
3
CAPÍTULO I. MARCO REGULATORIO NACIONAL Y
EXTRANJERO APLICABLE EN LA PROFESIÓN DE AUDITORIA
El auditor debe tener presente las leyes y reglamentos que pudieran tener un
efecto importante en los estados financieros, para poder determinar,
detectar e informar sobre aseveraciones equivocas o engañosas resultantes
del incumplimiento de una entidad con leyes y reglamentos que tienen un
efecto directo o indirecto importante en la determinación de las cifras de los
estados financieros.
Las leyes y reglamentos aplicables con los estados financieros determinan
forma, contenido, montos, requisitos etc. En ocasiones el incumplimiento
puede originar cargas financieras, tales como: multas, litigios etc. así como
cancelaciones de licencias baja la cual se opera.
“En la realización de una auditoria, el auditor tendrá en cuenta el marco
normativo aplicable. Debido a las limitaciones inherentes a la auditoria,
existe un riesgo inevitable de que puedan no detectarse algunas
incorrecciones materiales en los estados financieros.” (NIA, 2014)
1.1 Código de Comercio Regula las relaciones jurídicas derivadas de la actividad comercial, de las
personas físicas y morales de acuerdo con las disposiciones fiscales de este código están obligadas a los siguientes lineamientos; para el tema de la
contabilidad se necesario considerar lo aplicable de acuerdo al capítulo III De
la contabilidad mercantil, aplica el artículo 33, el cual menciona que:
“El comerciante está obligado a llevar y mantener un sistema de contabilidad
adecuado”. (México, 2014)
Este sistema podrá llevarse mediante los instrumentos, recursos y sistemas de registro y procesamiento que mejor se acomoden a las características
particulares del negocio, pero en todo caso deberá:
a) Incluirá los sistemas de control y verificación internos necesarios para impedir la omisión del registro de operaciones, para asegurar la
corrección del registro contable y para asegurar la corrección de las cifras resultantes.
1.2 Ley General de Sociedades Mercantiles
Actuar como administrador de una compañía conlleva una cadena de responsabilidades, que es necesario considerar para evitar eventos
inesperados con la organización, la sociedad o frente a terceros.
4
“Artículo 158.- Los administradores son solidariamente responsables para con la sociedad:
I. De la existencia y mantenimiento de los sistemas de contabilidad,
control, registro, archivo o información que previene la ley.”
(México, 2014)
La ley general se sociedades mercantiles en su capítulo V “De la Sociedad Anónima” en la sección “De la administrador de la sociedad” articulo 158
define los lineamientos aplicables derivados de la responsabilidad de la sociedad en la sección I del artículo, hace referencia acerca del compromiso
que tienen los administradores en el tema contable.
1.3 Código Fiscal de la Federación El código fiscal de la federación, regula los aspectos contables de los
contribuyentes dentro del título segundo menciona los derechos y obligaciones en materia de contabilidad las cuales define en el artículo
aplicable como sigue:
“Artículo 28.-Las personas que de acuerdo con las disposiciones fiscales estén obligadas a llevar contabilidad, estarán a lo siguiente:
I. La contabilidad, para efectos fiscales, se integra por los libros, sistemas
y registros contables, papeles de trabajo, estados de cuenta, libros y registros sociales, control de inventarios y método de valuación, discos
o cualquier otro medio procesable de almacenamiento de datos, así como toda la documentación que acredite sus ingresos y deducciones”.
(México, 2014)
1.4 Reglamento del Código Fiscal de la Federación
Esta ley para lineamientos aplicables en la contabilidad sirve como punto de
referencia el capítulo IV y específicamente el articulo 33 define los requisitos
y lineamientos que se deberán cumplir Para los efectos del artículo 28,
fracciones I y II del código fiscal de la federación
“Artículo 33.-
Los documentos e información que integran la contabilidad son:
I. Los registros o asientos contables auxiliares, incluyendo el catálogo de
cuentas
II. Las declaraciones anuales, informativas y de pagos provisionales,
mensuales, bimestrales, trimestrales o definitivos; la documentación e
información de los registros de todas las operaciones, actos o
5
actividades, los cuales deberán asentarse conforme a los sistemas de
control y verificación internos necesarios.” (México, 2014)
1.5 Resolución Fiscal Miscelánea A partir del 2014 se publicó la tercera resolución donde se modificaron las
disposiciones fiscales en el tema de contabilidad las leyes que surgieron
cambios derivados de esta resolución fueron el código fiscal de la federación
y su respectivo reglamento.
“Título 1.2 Contabilidad declaraciones y avisos capítulo 1.2.8
Por medio de la publicación de la 3ª Resolución se modifican las reglas que
establecen los requisitos de la contabilidad, que deberán llevar los
contribuyentes a través de medios electrónicos y los archivos que está debe
contener. En ese sentido, se establece que la balanza de comprobación
deberá enviarse al menos a nivel de cuenta mayor y subcuenta a primer
nive”l. (México, 2014)
Para efectos de lo anterior, por balanza de comprobación se deberá entender
aquella que se determine de acuerdo con el marco contable que aplique
ordinariamente el contribuyente en la preparación de su información
financiera, o bien, el marco que esté obligado a aplicar conforme a alguna
disposición legal o normativa como son las Normas de información financiera
(NIF), o las Normas Internacionales de Información Financiera (IFRS) y en
general cualquier otro marco contable que aplique el contribuyente.
1.6 Ley Sarbanes-Oxley
La ley Sarbanes Oxley (SOX) nació como respuesta a una serie de
escándalos corporativos que afectaron a empresas estadounidenses a finales
del 2001, producto de quiebras, fraudes y otros manejos administrativos no
apropiados, que mermaron la confianza de los inversionistas respecto de la
información financiera emitida por las empresas.
En Julio de 2002, el gobierno de Estados Unidos de América (EUA) aprobó la
ley SOX, como mecanismo para endurecer los controles de las empresas y
devolver la confianza perdida y con el objetivo de proteger a los
inversionistas de las empresas publicas reguladas por la Security and
Exchange Comision (SEC).
La Ley SOX también es conocida como el acta de reforma de la contabilidad
pública de empresas y de protección al inversionista. La ley hereda el nombre de sus impulsores, que fueron el senador Paul Sarbanes (demócrata)
6
y el congresista Michael Garver Oxley (republicano), y fue aprobada por amplia mayoría, tanto por el congreso como por el senado.
El objetivo fundamentalmente radica en la construcción y restauración de la
integridad de la información financiera de las empresas públicas, convirtiéndose en la más significativa reforma a las leyes de valores desde su
emisión.
Contiene una serie de estándares que afectan entre otros a la administración de las empresas a los comités de auditoría, a los auditores internos y
externos de empresas públicas que cotizan en el mercado bursátil estadounidense.
El cumplimiento de las regulaciones de esta ley es obligatorio no solo para
compañías situadas en EUA, sino también para compañías mexicanas registradas en las bolsas de valores estadounidenses y las subsidiarias de
compañías de EUA ubicadas en México.
La ley SOX consta de once secciones que van desde la creación de responsabilidades adicionales para los consejos directivos de las compañías,
hasta las sanciones penales, e intervención del órgano de vigilancia de las empresas que cotizan en la bolsa de valores en EUA desarrollando
principalmente regulaciones o lineamientos para el cumplimiento de esta ley.
Establece lo siguiente:
a) Nuevas regulaciones para consejos corporativos y los comités de
auditoría
b) Nuevos estándares de responsabilidad y penas criminales para la
administración corporativa
c) Nuevos estándares de independencia para los auditores externos
d) Creación de una junta supervisora contable de las empresas públicas,
que dependen de la SEC y se encarga de supervisar a las firmas
contables así como de generar estándares de contabilidad
El contenido principal de esta ley se refiere al control en la incidencia de
fraudes en una organización, no solo al fraude por falsedad de declaraciones
en los estados financieros, sino hace referencia a todos los casos de fraude
en los que se desvirtué de manera importante la información financiera de la
entidad, la malversación de activos y el fraude por corrupción.
El proceso de cumplimiento de esta ley, en general consiste en que las
empresas que cotizan en la bolsa a través de una inversión, deuda pública o
involucramiento en el proceso de fusión o adquisición por parte de empresas
7
públicas deberá tener por parte de sus directivos general y de finanzas, una
certificación de la efectividad de sus controles internos acompañados de la
opinión del auditor externo asistidos del informe anual.
Desde el inicio de esta ley los auditores reportan a un comité de auditoría y
no a la administración de la compañía. La característica principal del comité
de auditoría es la independencia el cual es el motivo principal de la ley SOX.
La ley SOX está integrada por secciones que establecen numerosas
disposiciones que establecen prácticas sanas de negocios que mejoran la
reputación de una organización al enviar mensajes de que la empresa está
llevando a cabo esfuerzos serios en pro de publicar únicamente información
financiera precisa y confiable.
SOX en la sección 404 detalla el control interno como una evaluación anual por parte de la administración acerca de los controles internos.
Establece que es responsabilidad de la administración constituir y mantener
una estructura adecuada de control interno y procedimientos para reportar
financieramente, así como una evaluación final del último ejercicio fiscal
acerca de la efectividad de los controles y procedimientos, SOX obliga a la
administración tener mayor control sobre su régimen interno con el único fin
de generar confianza y evitar cualquier tipo de fraude.
Para el cumplimiento de esta ley el ambiente de control se convierte en uno
de los componentes clave de control interno de una entidad, establece e
influye en la conciencia de las personas dentro de una organización y es el
fundamento de todos los componentes del sistema de control interno.
La administración de la compañía tenía la responsabilidad del diseño y
mantenimiento del control interno, ahora con SOX tiene la responsabilidad
del informar anualmente sobre el control interno de la entidad y dar a
conocer la información financiera. Los auditores externos auditaran la
administración en cuanto a la efectividad del control interno y realizaran
pruebas del ambiente de control.
La sección 404 requiere que la administración evalúe e informe de la
efectividad del control interno de la empresa en cuestión financiera, este es
sin lugar a dudas un cambio importante en evaluación del control, el
ambiente de control es una parte integrante del sistema de control interno
por lo consiguiente debe ponerse a prueba primero por la administración y
posteriormente por los auditores externos. El auditor externo deberá emitir
8
un informe acerca de la evaluación del control interno hecho por la
administración, en relación con este requerimiento la sección 103 que el
Public Company Accounting Oversight Board (PCAOB) adoptará las normas
especificando la forma en que los auditores externos deberán describir en su
reporte de auditoría el alcance de sus pruebas acerca de la estructura de
control interno y de los procedimientos que aplicaron.
Es indispensable que el auditor externo presente las anomalías detectadas en
sus pruebas de los controles internos, la evaluación de los controles y
procedimientos para garantizar si los registros reflejan adecuadamente las
operaciones para la preparación de los estados financieros de acuerdo con
las reglas contables correspondientes, y describir las debilidades más
importantes en los controles internos revisados y e incumplimientos
importantes identificados.
Con la llegada de esta ley el auditor tienes responsabilidades que apuntan a:
a) Evaluar controles relativos a fraudes, las deficiencias y los reportes de
la administración
b) Obtener un entendimiento del diseño de los controles
c) Probar y evaluar la efectividad operativa de los controles
d) Tener independencia
En relación con la función de auditoría, la ley prohíbe que las firmas
registradas de contador público que estén auditando alguna emisora
proporcionen en el mismo ejercicio, cualquiera de los siguientes servicios:
a) Servicios de contabilidad u otros relacionados con la preparación de
estados financieros
b) Implementación y diseños de la información financiera
c) Avalúos servicios actuariales, de auditoría interna, de recursos
humanos y legales
d) Funciones gerenciales
e) Servicios de banca de inversión y asesoría en inversiones
f) Peritajes no relacionados con la auditoría
9
CAPITULO II. ANTECEDENTES DEL COSO
En la década de los 80’s en EUA debido a la quiebra y fraudes que existían
en las empresas, provocó inquietud en los dueños y organizaciones
reguladoras, ya que esto afectaba a la economía del país; la preocupación
desencadenó la búsqueda por obtener medidas y sistemas para proteger los
intereses de los empresarios; derivado de esto nació el Committe of
Sponsoring Organizations (COSO)
COSO surgió de las tareas realizadas durante más de cinco años por el grupo
de trabajo; Treadway Commission, National Commission on Fraudulent
Financial Reporting, en EUA en el año de 1985.
El grupo es una iniciativa conjunta de las siguientes organizaciones:
a) American accounting association (AAA), Asociación de Contadores
Públicos Norteamericanos.
b) American institute of certified public accountants (AICPA), Instituto
Norteamericanos de Contadores Públicos Certificados.
c) financial executive institute (FEI), Asociación Internacional de
Ejecutivos de Finanzas.
d) Institute of internal auditors (IIA), Instituto de Auditores Internos.
e) Institute of management accountants (IMA), Instituto de Gerentes de
Contabilidad.
f) La redacción del informe la realizó Coopers & Lybrand quienes
materializaron el trabajo para llegar a un mismo fin, crear un nuevo
marco conceptual de control interno.
2.1 Concepto del COSO
Se entiende como un sistema que facilita la organización de una entidad
pública o privada, promueve la comunicación y ética del personal de las
empresas, mejora el control interno y la calidad de la información financiera
lo cual reduce el riesgo empresarial y minimiza la probabilidad de fraudes;
con la aplicación de leyes, reglamentos y normas establecidas.
El COSO no sustituye el marco de control interno establecido por la entidad,
sino que lo incorpora como parte de él, esto permite a las compañías mejorar
sus prácticas de control interno o decidir tomar un proceso más completo de
gestión de riesgo. Es una herramienta y un medio utilizado para apoyar a las
entidades.
10
2.2 Visión del COSO
Construir valor en las organizaciones, el valor debe ser creado por las
decisiones que tome la administración desde la planificación y preservado
por las operaciones del día a día, adecuándose a los cambios ya sean
internos o externos.
COSO se dedica proporcionar liderazgo de pensamiento mediante el
desarrollo de marcos y orientaciones generales sobre el control interno, la
gestión del riesgo empresarial y minimizar el fraude
Tiene la intención de dar seguridad razonable sobre el logro de los objetivos
de una organización, con relación a la confiabilidad de la información
financiera y eficiencia de las operaciones y el cumplimiento con las leyes y
regulaciones aplicables.
Dentro de sus funciones se mencionan las siguientes:
a) Establecer una definición común de control interno que responda
a las necesidades de las distintas partes.
b) Facilitar un modelo en base al cual las empresas y otras entidades de
cualquier tamaño y naturaleza, puedan evaluar sus sistemas de control
interno.
c) Hacer cumplir las políticas y reglamentos de las entidades.
2.3 COSO I 1992 integrated framework
El primer modelo que publico COSO se llama marco de control interno,
conocido también como integrated framework, el cual permite a las
organizaciones:
a) Establecer,
b) Monitorear,
c) Evaluar, y
d) Reportar sobre el control interno.
Tipos de informe:
a) Nivel organizacional. Este documento se refiere a que la alta dirección,
como el resto de la organización pueda comprender la necesidad de
tener un buen control interno, y los resultados que pudiesen existir.
Este tipo de informe considera esencialmente a los procesos operativos
de la empresa.
11
b) Regulatorio o normativo. Se pretende que los interlocutores tengan
una referencia común en cuanto a políticas, reglas y regulaciones
cuando se trate de resolver alguna situación práctica, de auditoría o
control interno en las empresas.
El primer modelo de COSO fue integrado por cinco componentes: "Figura 1.
cubo I COSO 1992 integrated framework."
a) Ambiente de control. Este componente describe el tono de la
organización, el cual influencia en la conciencia de su personal y
proporciona disciplina y estructura.
b) Valorización de riesgos. Los procesos de la entidad para identificar y
analizar los riesgos, los cuales forman una base para determinar cómo
se deben manejar los riesgos.
c) Actividades de control. Se refiere a las políticas y procedimientos que
ayuden a garantizar que las instrucciones de la administración se
llevan a cabo.
d) Información y comunicación. Es la obtención y comunicación de la
información en tiempo y forma para que los miembros de la
organización puedan cumplir con su trabajo.
e) Monitoreo. Es un proceso implementado por la administración para
evaluar la efectividad del desempeño del control interno a lo largo del
tiempo.
Figura 1.”Cubo COSO I 1992 Integrated Framework” (American
Institute of Certified Public Accountants, 2013)
12
2.4 COSO II 2004 enterprise risk management
“La administración del riesgo de la empresa, por su nombre en inglés
enterprise risk management fue el segundo COSO que se lanzó el 29 de
septiembre del 2004, el cual no contradice al COSO I. Sin embargo, este
marco se enfoca a la gestión de los riesgos mediante técnicas como
la administración de un portafolio de riesgos”. (Auditool, 2014)
En el segundo modelo de COSO, también se modificó el concepto de control
interno, dándole a este mayo amplitud, y se define como:
Un proceso integrado a los procesos, y no un conjunto de pesados
mecanismos burocráticos añadidos a los mismos, efectuado por el consejo de
la administración, la dirección y el resto del personal de una entidad,
diseñado con el objeto de proporcionar una garantía razonable para el logro
de objetivos. (Auditool, 2014)
El modelo COSO proporciona sólo una seguridad razonable, ya que no se
puede tener seguridad total de que los riesgos por fraude o error puedan ser
mitigados, debido a que siempre se corre el riesgo de que las personas de
una entidad se puedan asociar para cometer fraudes, sin embargo, se debe
ser congruente con los beneficios que se aportan.
En este nuevo modelo también se modifican las categorías de los objetivos.
De un enfoque contable que tenía el COSO 1992, ahora se pretende
garantizar:
a) Efectividad y eficiencia de las operaciones.
b) Confiabilidad en la información financiera.
c) Cumplimiento de las leyes y normas que son aplicables.
d) Salvaguarda de los recursos.
Además de los objetivos, el modelo de COSO II 2004 tiene 8 componentes,
los cuales están relacionados entre sí, y que son procesos que deben
seguirse por la dirección, gerencia y el resto del personal en las empresas a
lo largo del tiempo.
Los 8 componentes de este nuevo modelo están relacionados con los 4
objetivos del mismo, considera las actividades para todos los niveles de la
organización. "Figura 2. cubo COSO II 2004 administración del riesgo de la
empresa".
13
a) Ambiente interno. Es la base fundamental de los demás componentes
del enterprise risk management porque genera conciencia en los
empleados sobre los posibles riesgos que puedan ocurrir dentro de la
empresa.
b) Establecimiento de objetivos. En este componente se identifican los
posibles riesgos que puedan existir y de qué manera la empresa
pueda preverlos.
Así mismo, la empresa debe tener en claro hacia dónde quiere llegar y
alinear esto con su misión y visión, toma en cuenta que cualquier
decisión con lleva a un riesgo que debe ser tratado por ellos.
c) Identificación de riesgos. La empresa debe identificar cualquier evento
que pueda surgir y pensar si este puede representar un riesgo o una
oportunidad para ellos. Si es un riesgo, ver de qué manera pueden
enfrentarlo, y es si una oportunidad, saber qué hacer para
aprovecharla.
d) Evaluación de riesgos. Se refiere a los mecanismos para identificar y
evaluar los riesgos que puedan perjudicar al logro de los objetivos,
considera también aquellos riesgos que están relacionados con el
cambio.
e) Respuesta al riesgo. Una vez que la gerencia ya identifico y evaluó el
riesgo, propone las posibles respuestas y ejecuta la que más convenga
según las necesidades de la empresa.
f) Actividades de control. Las actividades de control se refieren a los
procedimientos y políticas que la empresa debe llevar a cabo para
asegurarse de la realización de las respuestas al riesgo, en el momento
y de la manera adecuada.
Las actividades de control pueden ser: preventivas, detectivas, manuales,
computarizadas o controles gerenciales.
a) Información y comunicación. La información es necesaria para todos
los niveles de la organización con el fin de identificar a tiempo
cualquier riesgo que pueda afectarla.
Por otro lado, la comunicación debe hacerse en sentido amplio y
procura que fluya en toda la organización, sin deja a un lado a los
clientes, proveedores, instituciones financieras y accionistas.
b) Monitoreo. Se vigila que el proceso de administración sea realmente
efectivo y que todos los demás componentes del COSO funcionen
adecuadamente. El monitoreo se puede medir mediante actividades de
revisión continuas o evaluaciones.
14
Relación entre COSO I y II
“El marco de control denominado COSO II, establece nuevos conceptos que no entran en contradicción con los conceptos establecidos en COSO I. El
nuevo marco amplia la visión del riesgo a eventos negativos o positivos; a la localización de un nivel de tolerancia al riesgo, así como al manejo de estos
eventos mediante portafolios de riesgos. "Figura 3. relación entre COSO I y II (1992,2004)”. (Auditool, 2014)
Figura 2.”Cubo COSO II 2004 administración del riesgo de la empresa” (SOX y Auditoría Interna, 2012)
Figura 3. “Relación entre COSO I Y II” (SOX y Auditoría Interna, 2012)
15
2.5 COSO III 2013 marco integrado del control interno
Como se mencionó anteriormente, en 1992 COSO publicó el marco de control
interno original que permite a la administración de una organización cumplir
con los siguientes objetivos:
a) Establecer.
b) Monitorear.
c) Evaluar.
d) Reportar sobre el control interno.
Este marco de control interno original tuvo amplia aceptación y se utiliza a
nivel mundial para mejora la organización de las empresas, evitar problemas
de fraude y conseguir que estas puedan lograr sus objetivos. De acuerdo al
paso del tiempo y a los cambios ocurridos por los avances de la tecnología y
a las nuevas necesidades de las empresas en cuanto a sus objetivos y
crecimiento, en 2013 el COSO tuvo modificaciones de acuerdo a lo siguiente:
a) Considera los cambios en los ambientes de negocios y operativos,
b) Incluye principios, puntos de enfoque y aclara los requerimientos para
un control interno efectivo,
c) Fomenta a las organizaciones a aplicar y mantener un buen control
interno para el cumplimiento de todos sus objetivos.
Bases y transición al nuevo marco integral del control interno
A los 20 años a partir de la concepción del marco original, los ambientes de
negocios y operativos han cambiado dramáticamente, volviéndose cada vez
más complejos, impulsados tecnológicamente y globales. Al mismo tiempo,
las partes interesadas están más involucradas, buscan mayor transparencia y
responsabilidad de la integridad de los sistemas de control interno que
soportan las decisiones del negocio y el gobierno corporativo de la
organización.
“En los años más recientes, las fallas en el control interno combinadas con
las pérdidas originadas en la contratación o mantenimiento de activos
financieros y la crisis en las condiciones macroeconómicas enseñan duras
lecciones sobre los puntos ciegos y los riesgos ocultos”. (Comintte of
Sponsoring Organizations Of the Treadway Commission, 2014)
El mercado evoluciona y a medida que crece la tecnología y las propias
empresas, también crecen las posibilidades de tener nuevos riesgos.
16
Un buen sistema de control interno es el que se adapta y puede enfrentar
cualquier cambio sin descuidar o dejar a un lado el cumplimiento de sus
objetivos.
Las fallas y los fraudes que existieron en empresas como Enron, Worldcom,
Adelphia, Parmalat Lehman Brothers, entre otras, dieron a notar que el
control interno no solo debía ser para cuidar los requerimientos de la
información financiera, sino que este tendría que ser más amplio para tener
mayor confiabilidad en las operaciones y actividades de las empresas.
Los cambios en el negocio en los últimos 20 años han perjudicado un poco el
entendimiento de las organizaciones sobre el marco de control interno, es
por eso que el modelo se actualizo para 2013 con un panorama más
completo en cada uno de los componentes.
En el nuevo modelo de COSO los componentes están diseñados para
proporcionar un control interno más efectivo.
Anteriormente, los usuarios habían utilizado el modelo COSO de control
interno original para cumplir con sus objetivos relacionados con la
información financiera. Ahora, con el modelo de 2013 los usuarios podrán
tener un mayor confort sobre las actividades que se llevan a cabo y lograr
así el cumplimiento de sus múltiples objetivos.
a) “La actualización fomenta a los usuarios a considerar los cambios en el
ambiente de negocios.” (PwC, 2012)
Figura 4. “cambios en el ambiente de negocios.”
Cubo del Marco de CI de COSO (Edición
Figura 4. “Cambios en el ambiente de negocios”. (PwC, 2012)
17
b) La actualización considera principios estratégicos para un mejor control
interno.
Una actualización de este nuevo modelo, es que dentro de cada componente
se mencionan algunos principios que de manera específica detallan al
componente y que brindan un mejor entendimiento sobre este. Se
consideran 5 componentes y 17 principios, los cuales se harán mención a
más detalle en el capítulo V.
La actualización fomenta a la organización a manejar un marco más amplio
sobre las aplicaciones de control interno.
El nuevo modelo de COSO 2013 permite el cumplimiento de los diversos
objetivos de la organización, es decir, objetivos internos y externos,
financieros y no financieros, que brindan una mayor seguridad sobre el
funcionamiento del negocio.
Aspectos que no sufrieron cambios
En este nuevo marco integral de control interno, COSO 2013 los puntos que
no tuvieron cambios son:
Definición de control interno
Como en el primer modelo de COSO, el control interno se considera como un
proceso llevado a cabo por la dirección, administración y otro personal de la
entidad, para tener un mayor confort y seguridad razonable de las
actividades de la compañía, las cuales estén relacionadas con el logro de los
objetivos de tipo operacional, de información y de cumplimiento.
Dentro de esta definición se hace énfasis en algunos puntos para lograr un
mejor control interno:
a) Está orientado al logro de objetivos de una o más categorías
separadas pero que se sobreponen, operaciones, información y
cumplimiento.
b) Es un proceso que consta de tareas y actividades continuas, un medio
para un fin, no un fin en sí mismo.
c) Es efectuado por la gente no precisamente sobre manuales de políticas
y procedimientos, sistemas y formatos, sino sobre gente y las medidas
que toman en cada nivel de una organización para efectuar el control
interno.
18
d) Es capaz de proporcionar evidencia razonable pero no seguridad
absoluta, para la alta administración y el consejo de administración de
la entidad.
e) Es adaptable a la estructura de la entidad, es flexible en la aplicación
para toda la entidad o para una subsidiaria, división, unidad operativa
o proceso del negocio en particular. (PwC, 2012)
En el nuevo marco integrado de control interno COSO 2013, se vuelven a
mencionar los cinco componentes de control interno que se nombraron en el
COSO de 1992, pero con una definición más amplia y que responden a las
necesidades de cada entidad. "Figura 5. COSO 1992 vs COSO 2013"
Figura 5. “COSO 1992 vs COSO 2013” (PwC, 2012)
19
CAPÍTULO III. TEORÍA GENERAL DE CONTROL INTERNO
En la actualidad existen factores importantes para el logro de objetivos y
metas de las dependencias públicas y el sector empresarial, ya que buscan
propósitos y finalidades en su entorno competitivo. Su función será aplicable
a todas las áreas de operación de los negocios.
El control interno no tiene el mismo significado para todos, lo cual causa
confusión, se define como un proceso, que nace de la necesidad de las
personas de una entidad, diseñado para conseguir objetivos específicos que
cubran todos los aspectos del negoció, pero al mismo tiempo permite
centrarse en la supervisión, consta de componentes relacionados entre sí que
sirven para determinar si el sistema es eficaz basándose en leyes, normas o
reglamentos.
3.1 Responsables del control interno en una entidad
Todos los miembros de la organización, sin importar el área o departamento
al que pertenezcan, son responsables del control interno:
a) La dirección. Marca la pauta entre los departamentos de alto nivel
dentro la organización para la buena toma de decisiones. Influye en
que haya integridad, buen comportamiento y demás factores que
tienen que ver para que la entidad tenga un buen control interno.
Además, la dirección es la encargada de establecer las políticas y
procedimientos de control que se llevarán a cabo, así como designar a
los responsables de los otros niveles.
b) Consejo de administración. Es el encargado de dar una orientación y
visión global del negocio. Para esto, debe conocer todas las actividades
que la organización realiza y así saber cuáles son las responsabilidades
que se tienen que cumplir para el logro de los objetivos.
En algunas ocasiones, resulta complicado que la dirección se mantenga
informado de lo que ocurre en los otros niveles, por este motivo, el
consejo de administración es el que mantiene abiertas todas las vías
de comunicación con cada uno de los responsables de los distintos
departamentos, con el fin de conocer las fallas y corregir cualquier
problema de manera oportuna.
c) Empleados. Son los responsables de las actividades o funciones para
efectuar el control, así mismo deben de comunicar al nivel superior
20
cualquier problema o incumplimiento de las políticas o procedimientos
establecidos.
El objetivo del auditor es identificar y valorar los riesgos de incorrección
material, debido a fraude o error, tanto en los estados financieros como en
las afirmaciones, mediante el conocimiento de la entidad y de su entorno,
incluido su control interno, con la finalidad de proporcionar una base para el
diseño y la implementación de respuestas a los riesgos valorados de
incorrección material.
3.2 Relación del control interno con auditoría
El proceso diseñado, implementado y mantenido por los responsables del
gobierno de la entidad, la dirección y otro personal, con la finalidad de
proporcionar una seguridad razonable sobre la consecución de los objetivos
de la entidad relativos a la fiabilidad de la información financiera. (NIA,
2014)
De acuerdo al COSO 2013 ,el control interno se define como un proceso
efectuado por la gerencia de una organización y otro personal, diseñado para
proporcionar seguridad razonable con relación al logro de los objetivos de
tipo operacional, de información y de cumplimiento.
Un sistema de control puede ser definido como las actividades que ayudan a
asegurar que las estrategias y directivas de las organizaciones sean llevadas
a cabo. Las actividades de control deben ser efectivas y eficientes para el
logro de los objetivos gerenciales de control.
El control interno es un proceso efectuado por la junta directiva de la
entidad, gerentes y otro personal, diseñado para proporcionar seguridad
razonable con relación al logro de los objetivos de tipo operacional, de
información y de cumplimiento.
Se clasifican en tres categorías:
a) Operacionales; relacionadas con la misión y visión de la entidad y
resguardo de activos y control de inversiones.
b) Información financiera; reportes financieros internos y externos dentro
de los cuales se incluyen estados financieros anuales y mensuales,
reportes de control interno, indicadores de riesgo los cuales servirán de
base en toma de decisiones internas y para evaluaciones externas de
conocimiento de la entidad.
21
c) Cumplimiento; la operación de la entidad debe desarrollarse teniendo
enfoque al cumplimiento de leyes y regulaciones así como políticas y
procedimientos aplicables a su operación.
3.3 Objetivos
El control interno, como parte integral de cualquier empresa o institución,
tiene varios objetivos; y metas dentro de las siguientes categorias que a continuación se citan:
a) “Eficacia, eficiencia de las operaciones
b) Fiabilidad, veracidad y oportunidad de la información financiera
c) Cumplimiento del marco jurídico aplicable
d) Salvaguarda, preservación y mantenimiento de los recursos”. (PwC,
2012)
La responsabilidad del control interno se enfoca principalmente a
funcionarios de la alta dirección, sectores administrativos, auditores internos
y externos y proveedores, a continuación se detallan los principales
responsables internos.
Internos; directivos, comité de auditoría y áreas jurídicas.
Externos; proveedores, auditores externos y analistas financieros.
3.4 Estructura organizacional
Incluye todos los elementos materiales, humanos financieros y tecnológicos,
que son indispensables para el funcionamiento de la administración. Sirve
como marco de referencia para planificar ejecutar, controlar y supervisar el
comportamiento de la organización y se tiene influencia directa con el
personal.
Por muy bueno que sea el diseño no te garantiza que la entidad no tendrá
fallas en algún momento, es capaz de proporcionar seguridad razonable para
la información financiera, pero existen limitaciones como los juicios de error,
la toma de decisiones, que se derivan de los fallos humanos por simples
errores, será necesario considerar los costes y beneficios relativos de cada
control a implantar.
3.5 Enfoque COSO 2013
Derivado de que el objetivo del auditor es aplicar procedimientos para la
evaluación de la efectividad de los estados financieros y por ello emitir una
22
opinión, así mismo se requiere valorar la efectividad de un sistema de control
interno adecuado que proporcione confort razonable sobre el logro de los
objetivos de la entidad y pueda mitigar riesgos de error material, por lo que
es necesario partir de un marco de referencia.
Como se mencionó en el capítulo II. Antecedentes del COSO, el nuevo marco
integrado de control interno aplicable a partir del 15 de diciembre de 2014,
formaliza 5 componentes y 17 principios, los cuales deben operar
conjuntamente para obtener un sistema de control interno eficaz.
Por tanto, un control interno opera conjuntamente cuando se logran los
siguientes dos objetivos:
a) Los cinco componentes de control interno deben estar presentes y que
funcionen de manera integrada con los objetivos y la estructura de la
entidad “Figura 6. cubo COSO 2013”, y
b) Si, el total de las deficiencias surgidas en el control interno (a través de
los cinco componentes) no dan lugar a la existencia de una debilidad
material.
El marco integrado de control interno COSO 2013, relaciona 17 principios
fundamentales los cuales estan asociados directamente con los 5
componentes, estos principios proporcinan flexibilidad y ayudan a la
organización a estableceer controles adecuados para cumplir los objetivos del
negocio, reducir riesgos a un nivel aceptable y estar preparados para
cambios y circunstancias imprevistas.
“De acuerdo al marco integrado del control interno, la relación entre los 5
componentes y 17 principios se muestran en la “Tabla 1.componentes y
Figura 6. “Cubo COSO 2013” (PwC, 2012)
23
principios establecidos por COSO, de acuerdo al marco integrado de control
interno mayo 2013”. (American Institute of Certified Public Accountants, 2013)
COMPONENTES PRINCIPIOS
1. Ambiente de control
1. La organización demuestra compromiso con la integridad y valores éticos.
2. El consejo de administración demuestra su independencia con la administración y ejerce la
supervisión del desarrollo y desempeño del
control interno. 3. La administración establece, con supervisión del
consejo, estructuras para líneas de la información, así como la asignación de
autoridades y responsabilidades apropiadas para alcanzar los objetivos.
4. La organización demuestra su compromiso de reclutar, capacitar y tener personas
competentes y alineadas con los objetivos. 5. La organización retiene a personal de confianza
y comprometido para hacerse cargo de las responsabilidades de control interno que
alcancen los objetivos.
2. Evaluación de
riesgos
6. La organización especifica los objetivos con
suficiente claridad para permitir la identificación y evaluación de riesgos
relacionadas con el logro de los objetivos. 7. La organización identifica los riesgos para el
logro de sus objetivos a través de la entidad
y analiza los riesgos, para determinar cómo se deben mitigar.
8. La organización considera la posibilidad del fraude en la evaluación de riesgos para el
logro de los objetivos. 9. La organización identifica y evalúa los
cambios que podrían afectar significativamente el sistema de control
interno.
3. Actividades
de control
10. La organización selecciona y desarrolla
actividades de control que contribuyan a mitigar los riesgos para el logro de los
objetivos a niveles aceptables. 11. La organización selecciona y desarrolla
actividades de controles generales de
24
tecnología para apoyar el logro de los
objetivos. 12. La organización implementa las actividades
de control a través de políticas que establecen lo que se espera y los
procedimientos para implementar en la práctica las políticas.
4. Sistemas de
información y comunicación
13. La organización obtiene o genera y utiliza,
información de calidad relevante para apoyar el funcionamiento del control interno.
14. La organización comunica internamente la información, incluye los objetivos y las
responsabilidades de control interno, para apoyar el funcionamiento del control interno.
15. La organización mantiene comunicación con las partes externas involucradas con respecto
a los asuntos que afectan el funcionamiento
de los controles internos.
5. Actividades de monitoreo
de controles
16. La organización selecciona, desarrolla y lleva
a cabo evaluaciones en marcha y/o por separado para determinar si los componentes
del control interno están presentes y en
función. 17. La organización evalúa y comunica
deficiencias del control interno en forma oportuna a las partes responsables que
toman acciones correctivas, incluye la alta administración y el consejo de
administración, según el caso. Tabla 1. “Componentes y principios establecidos por COSO”, (American Institute of Certified
Public Accountants, 2013)
25
CAPÍTULO IV. COMPONENTES Y PRINCIPIOS DEL COSO
El auditor deberá relacionar estos 5 componentes y 17 principios de control
interno establecidos por COSO, y realizar indagaciones ante la dirección,
personal de auditoría interna, y otras personas relacionadas con la
generación de información financiera para identificar riesgos de incorrección
material debido a fraude o error.
“El auditor obtendrá conocimiento del control interno relevante para la
auditoría. Si bien es probable que la mayoría de los controles relevantes para
la auditoría estén relacionados con la información financiera, no todos los
controles relativos a la información financiera son relevantes para la
auditoría.” (NIA, 2014)
Como base para determinar cuáles son los controles que son relevantes para
la auditoria, son los que se relacionan directamente con las afirmaciones1 a
los estados financieros.
Después de las entrevistas de controles que el auditor realice, evaluará
mediante procedimientos de auditoría como indagación, observación e
inspección, el diseño de controles y su implementación, y de acuerdo a su
juicio profesional, determinará la estrategia de auditoría más adecuada para
validar la información financiera y emitir una opinión correcta.
4.1 Ambiente de control
El ambiente de control proporciona bases para llevar a cabo el control interno
en la organización, a través de reglas, procesos y un modelo de conducta
esperado, establecidos por los directivos y la alta gerencia.
Es el componente que determina el tono de la organización, crea conciencia
sobre los empleados sobre sus actitudes y comportamiento, además de ser
el componente base para todos los demás.
El ambiente de control tiene relación con las actividades del negocio, la
determinación de sus objetivos y la evaluación de riesgos. No solo influye en
el diseño de los demás componentes, sino que tiene un gran impacto sobre
su funcionamiento.
1Las afirmaciones son manifestaciones de la dirección, explicitas o no, incluidas en los
estados financieros y tenidas en cuenta por el auditor al considerar los distintos tipos de
incorrecciones que pueden existir.
26
El ambiente de control, hace énfasis en el compromiso que tiene la
organización con su integridad y sus valores, así como los parámetros que el
consejo de administración lleva a cabo para supervisar responsabilidades,
desarrollo y metas.
La cultura y los antecedentes de la organización son puntos importantes que
influyen para el control de la misma. La organización pretende que los
empleados se sientan miembros de ella y entiendan la importancia de tener
un buen control y eficiencia en cada una de sus actividades.
Todo lo comentado anteriormente, lo menciona también la NIA 315,
identificación y valorización de los riesgos de incorrección material mediante
el conocimiento de la entidad y de su entorno.
NIA 315 indica que “el auditor debe identificar si la dirección mantiene una
cultura de honestidad y de comportamiento ético, además de que el entorno
de control proporcione los elementos suficientes para ser una base adecuada
para los otros componentes con el fin de que todos funcionen correctamente
y exista un buen control interno”. (NIA, 2014).
Además, dentro del entendimiento de la entidad y su entorno, el auditor
obtendrá conocimiento de factores relevantes sectoriales, normativos y
externos, que serán de importancia también para considerar.
Dentro de los factores sectoriales, el entorno competitivo, las relaciones con
proveedores, clientes y los avances tecnológicos, pueden representar un
riesgo para la organización o simplemente aspectos importantes que el
auditor deba tomar en cuenta.
“El sector en el que la entidad desarrolla su actividad puede dar lugar a
riesgos de incorrección material, debidos a la naturaleza de los negocios o el
grado de regulación. Por ejemplo, contratos a largo plazo pueden implicar
estimaciones significativas de ingresos y gastos que den lugar a riesgos de
incorrección material”. (NIA, 2014)
Los factores normativos se refieren a conocer los principios contables, las
políticas gubernamentales que puedan afectar significativamente a las
operaciones de la organización, requerimientos medio ambientales, etc.
Por último, dentro de los factores externos se consideran las condiciones
económicas y la disponibilidad de financiación, como son la inflación o la
revaluación de la moneda.
27
El ambiente de control tiene impacto importante en todo el sistema del
control interno y de acuerdo al marco integrado del control interno, COSO
2013 se conforma por 5 principios:
1. “La organización demuestra compromiso con la integridad y valores
éticos”. (American Institute of Certified Public Accountants, 2013)
a) Establece el tono en la parte superior.
La administración mediante su comportamiento y el cumplimiento de
los valores éticos es el primero en dar el ejemplo a todos los miembros
de la organización, con el fin de que haya un buen funcionamiento en
todo el control interno.
b) Establece las normas de conducta.
Una vez definidas las expectativas y los objetivos de la organización, se
establecen las normas de conducta que se deben seguir por todos los
niveles organizacionales, departamentos y personal de la entidad.
c) Evalúa la adherencia a las normas de conducta.
Existen procesos que se llevan a cabo dentro de la organización para
calificar el comportamiento del personal y corregir o dar solución a
aquellas faltas que puedan dar un problema.
d) Se toman acciones oportunas hacia las desviaciones.
No basta con identificar el problema, sino que debe ser solucionado de
manera oportuna para no afectar la integridad de la organización y
cumplimiento de sus objetivos.
2. “El consejo de administración demuestra su independencia con la
administración y ejerce la supervisión del desarrollo y desempeño del
control interno”. (American Institute of Certified Public Accountants,
2013)
a) Establece las responsabilidades de supervisión.
El consejo de administración reconoce y entiende sus responsabilidades
(orienta, gestiona y supervisa) para alcanzar las expectativas de la
organización.
b) Aplica la especialización pertinente.
28
El consejo de administración califica las habilidades del personal para
conocer sus deficiencias y tomar decisiones oportunas.
c) Opera independientemente.
Los miembros del consejo de administración son independientes de la
alta administración, son objetivos y buscan la manera de solucionar
cualquier problema que perjudique el desempeño de la organización.
d) Proporciona supervisión del sistema de control interno.
El consejo de administración es el responsable de diseñar, ejecutar y
orientar las actividades de la organización para que esta pueda tener
un buen control interno.
3. “La administración establece, con supervisión del consejo, estructuras
para líneas de la información, así como la asignación de autoridades y
responsabilidades apropiadas para alcanzar los objetivos”. (American
Institute of Certified Public Accountants, 2013)
a) Considera todas las estructuras de la entidad.
La estructura organizativa depende mucho del tamaño y las
operaciones que realice la entidad, sin embargo, sea cual sea la
estructura, las actividades que lleven a cabo deben ser las adecuadas
para cumplir con los objetivos.
b) Establece líneas de información.
Una adecuada estructura organizativa tiene líneas de comunicación y
responsabilidades formales que facilitan el flujo de información, con lo
que se pretende involucrar a todos los departamentos o niveles de la
entidad para hacerles de su conocimiento sobre cualquier evento que
pueda surgir.
c) Define, asigna y delimita autoridades y responsabilidades.
Se refiere a la segregación de funciones para los diferentes niveles,
departamentos y personal de la organización.
4. “La organización demuestra su compromiso de reclutar, capacitar y tener
personas competentes y alineadas con los objetivos”. (American Institute
of Certified Public Accountants, 2013)
29
a) Establece políticas y prácticas.
Se establecen las políticas y procesos que cada miembro de la
organización deberá cumplir para alcanzar los objetivos.
b) Evalúa la competencia.
Es de vital importancia que todo el personal de la organización esté
preparado y actualizado día con día para responder a los cambios y
necesidades que puedan presentarse. Para esto, la administración debe
evaluar a su personal para saber qué tan competentes son y tomar
medidas correctivas para mejorar su desempeño.
c) Atrae, desarrolla y retiene personas.
La organización deberá capacitar y orientar a su personal para que
tengan un mejor desempeño apoyarlos en cada una de sus funciones,
para cumplir con los objetivos de la misma.
d) Planea y prepara para la sucesión.
La administración debe de preparar oportuna y adecuadamente al
personal para que mantengan un ritmo eficiente en su trabajo y
puedan enfrentar cualquier contingencia que ocurra, además, esto
también se refiere a capacitar a los miembros de la organización que
pretende integrarse a un nivel mayor.
5. “La organización retiene a personal de confianza y comprometido para
hacerse cargo de las responsabilidades de control interno que alcancen
los objetivos”. (American Institute of Certified Public Accountants, 2013)
a) Hacer cumplir las responsabilidades mediante estructuras, autoridades
y responsabilidades.
La organización busca tener empleados competitivos y responsables que ayuden a tener un buen control interno, que conozcan a la
organización, y actúen con soluciones eficientes para enfrentar
cualquier contingencia.
b) Establece medidas de desempeño incentivos y recompensas.
La organización establece medidas de desempeño e incentivos para
todo su personal que los motive a ser más eficientes y responsables en
su trabajo.
30
c) Evalúa las medidas de desempeño, incentivos y recompensas para la
relevancia continua.
En el punto anterior se mencionó que la organización busca la manera
de motivar a sus empleados, dentro de este punto, se evalúa el
esfuerzo, comportamiento y eficiencia del empleado para merecer
algún incentivo, ascenso o reconocimiento.
d) Considera presión excesiva.
La organización busca concientizar a su personal sobre las
responsabilidades y cargo que tienen, sea cual sea el nivel, con el fin
de que cumplan en tiempo y en forma con su trabajo.
e) Evalúa el desempeño y las recompensas o impone disciplina a las
personas.
Así como puede haber incentivos para reconocer al personal, la
organización deberá atender y dar solución a aquellas deficiencias que
tengan que ver con los miembros de la organización que no cumplan
con sus tareas de la manera adecuada.
Para evaluar los 5 principios que integran el componente de ambiente de
control, se presenta un check list en el anexo A, el cual redacta los puntos
más importantes que una entidad debe reunir.
Aplicación a PyME´s
Dentro de una empresa grande, resulta fácil identificar este componente,
entender cómo se lleva a cabo y si se cumple adecuadamente, sin embargo,
las PyME´s no tienen establecido como tal un código de ética o de conducta
y esto no quiere decir que no lo lleven a cabo o que no exista.
En una PyME, existen menos niveles o departamentos, lo cual puede resultar
una ventaja al permitir que haya menos filtros para la comunicación de
información y que la organización, desde directivos hasta empleados, se
involucren en el logro de los objetivos.
Otro principio dentro del ambiente de control es atraer, desarrollar y retener
personas. Para una empresa grande, este proceso resulta más complejo,
mientras que para una mediana y pequeña empresa puede no ser un proceso
31
estricto y tan formal, y que finalmente no deja de ser un proceso eficaz para
la empresa.
4.2 Evaluación de riesgos
“El riesgo es la probabilidad de que un evento adverso obstaculice o impida
la implementación de estrategias, el logro de los objetivos y metas o
produzca un impacto o daño a la entidad”. (PwC, 2012)
Se usa para expresar preocupaciones de un ambiente incierto, debido a que
el futuro es desconocido, las organizaciones procuran alcanzar metas a
través de oportunidades que constituyen posibilidades positivas y negativas
denominadas riesgo.
“Riesgo de control: es una incorrección que pudiera existir en una afirmación
sobre un tipo de transacción, saldo contable u otra revelación de
información, y que pudiera ser material, ya sea individualmente o de forma
agregada con otras incorrecciones, no sea prevenida, o detectada y corregida
oportunamente, por el sistema de control de la entidad”. (NIA, 2014)
Dado que el riesgo es la posibilidad de que pueda ocurrir un evento y que
esté afecte los objetivos de la entidad, la evaluación de riesgos, proporciona
controles claves para mitigar riesgos que pudieran surgir en el transcurso de
las operaciones.
Este es un proceso continuo que examina detalladamente a todos los niveles
de la empresa, se toman medidas oportunas que permite garantizar el buen
funcionamiento, los cuales asociados con el constante cambio, no garantizan
que se mitigue.
Estos riesgos pueden estar o no al alcance de la entidad y si no se toman las
medidas adecuadas, pueden llegar a afectar de manera significativa y elevar
el nivel de riesgo en errores materiales. Este componente considera el
impacto que pudiera tener la organización, respecto de los cambios externos
y la forma de reducirlos a niveles tolerables.
Analiza e identifica las afectaciones y consecuencias al realizar un análisis
con lo que se determinará un establecimiento de objetivos, ser competitivos
con empresas del mismo sector, posición financiera sólida, imagen positiva
de la marca, calidad en productos y servicios.
El marco integrado de control interno y la evaluación de riesgos se asocia
con 4 principios:
32
6. “La organización especifica los objetivos con suficiente claridad para
permitir la identificación y evaluación de riesgos relacionadas con el logro
de los objetivos”. (American Institute of Certified Public Accountants,
2013)
a) Cumple con las normas contables aplicables.
Los factores normativos que comprende la entidad son ejemplos de
cuestiones que el auditor puede tomar en cuenta para comprender el
cumplimiento de principios legislativos y regulaciones que afecten
significativamente a las operaciones de la entidad mediante el análisis
de controles de cambio, políticas fiscales, incentivos financieros y
programas.
Además el auditor revisara la adecuada contabilización a valor
razonable de inversiones comerciales de la entidad, reconocimientos de
transacciones de activos y pasivos en moneda nacional y extranjera.
Si en algún momento se emiten nuevos pronunciamientos contables,
pueden tener un efecto en los riesgos de preparación de estados
financieros.
b) Considera la materialidad.
La materialidad determina la naturaleza, alcance y oportunidades de
los procedimientos para la obtención de evidencias, el auditor evaluará
si la información del trabajo está libre de errores y obtendrá
conocimiento de los factores en que se financian, sus operaciones, la
estructura del gobierno corporativo, que aplica la entidad.
c) Refleja las actividades de la entidad.
A juicio de auditor considera relevantes las actividades de control como
políticas y procedimientos que ayudan asegurar que se siguen las
directrices de la dirección, el marco integrado de control interno
permite precisar el orden jerárquico de la organización por niveles y
secciones detalladas para un mejor cumplimiento, mediante revisiones
de control físico y segregación de funciones.
7. “La organización identifica los riesgos para el logro de sus objetivos a
través de la entidad y analiza los riesgos, para determinar cómo se deben
mitigar”. (American Institute of Certified Public Accountants, 2013)
33
a) Incluye a los niveles de entidad, subsidiaria, división, unidad operativa
y funcional.
Riesgo de incorrección material: que los estados financieros contengan
incorrecciones materiales antes de la realización de la auditoría. (NIA,
2014)
Las evaluaciones operativas y funcionales derivan de los 5 ambientes
de control aplicables, el auditor obtendrá información mediante
indagaciones con los directivos, para tener perspectivas diferentes
sobre la identificación del riesgo de incorrección material, además
obtendrá indagaciones con el resto del personal, empleados, de
distintos niveles de autoridad, con el fin de comprender el entorno en
que preparan sus estados financieros.
Los empleados que participen en la propuesta tendrán la obligación de
informar el procesamiento de las transacciones en marcha ya sean
complejas o inusuales todo esto con la finalidad de que el auditor
pueda evaluar adecuadamente la sección y aplicación de sus políticas.
Los asesores internos pueden proporcionar información acerca de
cuestiones de cumplimiento legal en caso de que lo requiera el auditor,
los departamentos de mercadotecnia y venta pueden presentar
información acerca de los cambios estratégicos de marketing, ventas o
acuerdos contractuales con los clientes.
La administración puede proporcionar datos acerca de los riesgos
operativos y regulatorios, finalmente las indagaciones dirigidas hacia el
personal de sistemas de información puede proporcionar el estatus de
los cambios de sistemas y fallas técnicas.
b) Analiza los factores internos y externos.
“Procedimiento de valoración del riesgo: se obtiene conocimiento sobre
la entidad y su entorno, incluido su control interno, con el objetivo de
identificar y valorar los riesgos de incorrección material, debido a
fraude o error, tanto en los estados financieros como en las
afirmaciones concretas contenidas en éstos”. (NIA, 2014)
34
Los procedimientos analíticos aplicados como procedimientos de
valoración de riesgo pueden incluir información financiera y no
financiera por mencionar un ejemplo las ventas obtenidas o volumen
de productos vendidos.
Los factores internos identifican la existencia de transacciones o hechos
inusuales inesperados, que facilitan al auditor la identificación de
riesgos de incorrección material.
Los factores externos muestran un panorama general de los grados de
avance de la competencia económica, competencia tecnológica. El
medio ambiente muestra la afectación de la mercancía o activos de la
entidad.
c) Incluye a los niveles apropiados de la administración.
La segregación de funciones muestra manuales de funciones y
procedimientos de cada área asignada en donde se especifica el puesto
y las actividades que su perfil determina.
Todas las transacciones a realizar son aprobadas por los directivos después, las autorizan las gerencias de cada área para su ejecución,
finalmente serán responsabilidad de las áreas administrativas y empleados del registro de las cuentas, con el fin de prevenir un fraude
interno dentro de la organización.
“El auditor obtendrá evidencia de auditoría suficiente y adecuada con respecto a los riesgos valorados debido a fraude, mediante el diseño e
implementación de respuestas apropiadas, responder adecuadamente al fraude o a los indicios de fraude identificados durante la realización
de la auditoría”. (NIA, 2014)
d) Estima la importancia de los riesgos identificados.
“El proceso de valoración del riesgo constituye la base con la que la
dirección determina el modo en que los riesgos han de gestionarse. Si
el proceso es adecuado facilita al auditor la identificación de los riesgos
de incorrección material”. (NIA, 2014)
El auditor identificará y valorará los riesgos de incorrección material
en:
Los estados financieros, las afirmaciones sobre tipos de transacciones,
saldos contables e información a revelar, que le proporcionen una base
para el diseño y la realización de procedimientos de auditoría
posteriores.
e) Determina cómo responder a los riesgos.
35
Riesgo significativo: identificado y valorado de incorrección material el
cual requiere una consideración especial. (NIA, 2014)
Riesgo de negocio: derivado de acciones u omisiones significativas que
podrían afectar de forma negativa a la entidad para el logro de sus
objetivos. (NIA, 2014)
La administración puede iniciar planes, programas o actuaciones para
responder a riesgos específicos o puede decidir aceptar un riesgo debido al costo o otras consideraciones. Los riesgos pueden surgir a
variar debido a circunstancias como (NIA, 2014):
i. Cambios en el entorno operativo. ii. Nuevo personal.
iii. Sistemas de información nuevos o actualizados. iv. Crecimiento rápido.
v. Nueva tecnología.
vi. Nuevos modelos de negocio, productos o actividades. vii. Restructuraciones corporativas.
viii. Expansión de las operaciones en el extranjero. ix. Nuevos sistemas y registros contables.
Se debe aceptar mediante la transición, para analizar consideraciones
aceptadas, con esta finalidad el auditor identificará los riesgos
mediante el proceso de conocimiento de la entidad y de su entorno,
incluidos los controles relevantes relacionados con los riesgos, y por
medio de la consideración de los tipos de transacciones, saldos
contables e información a revelar en los estados financieros.
8. “La organización considera la posibilidad del fraude en la evaluación de
riesgos para el logro de los objetivos”. (American Institute of Certified
Public Accountants, 2013)
a) Considera varios tipos de fraude.
Fraude: acto intencionado realizado por una o más personas que
conlleve la utilización del engaño con el fin de conseguir una ventaja
injusta o ilegal. (NIA, 2014)
Factores de riesgo de fraude: hechos o circunstancias que indiquen la
existencia de un incentivo o elemento de presión para cometer fraude
o que proporcionen una actividad para cometerlo. (NIA, 2014)
36
Como parte fundamental, el auditor identificará y valorará los posibles
riesgos de error material incorregibles que formen parte de los estados
financieros, así mismo deberá obtener evidencia suficiente y adecuada
de la valoración de los riesgos, mediante diseños e implementación de
respuestas apropiadas para mitigar errores. La evaluación de riesgos
de fraude, será con base en la evaluación que el auditor realice y en las
afirmaciones relativas a los tipos de transacciones, saldos o
información a revelar.
Los factores de riesgo de fraude no indican necesariamente su
existencia, a menudo han estado presentes en circunstancias en las
que se han producido fraude y, por lo tanto, pueden ser indicativos de
riesgo de incorrección material debida a fraude.
La información financiera fraudulenta puede lograrse mediante (NIA,
2014):
i. Soporte con la que se preparan los estados financieros.
ii. Falseamiento de hechos, transacciones u otra información
significativa en los estados financieros.
iii. Aplicación intencionadamente errónea de principios contables.
b) Evalúa los incentivos y presiones.
Los incentivos que se utilizan para preparar fraudes se presentan
cuando son aceptados por la administración y funcionarios
importantes, estas presiones internas se ven afectadas en el exterior,
por lo cual será responsabilidad del auditor detectar los factores que se
encuentre bajo presión, mediante la comunicación entre los miembros
del equipo de auditoría.
c) Evalúa las oportunidades.
Para cometer el fraude se considera la oportunidad en el momento
indicado y en el preciso momento, disponen de adquisiciones no
autorizadas de activos, mediante la alteración de registros de la
entidad, entre otros actos inapropiados.
d) Evalúa actitudes y racionalizaciones.
La finalidad y actitud de justificación que posee el personal relacionado
con el fraude, es considerado un acto de deshonestidad.
37
9. “La organización identifica y evalúa los cambios que podrían afectar
significativamente el sistema de control interno”. (American Institute of
Certified Public Accountants, 2013)
a) Evalúa los cambios en el medio externo.
Proceso que identifica los cambios en el entorno regulatorio u operativo
pueden tener como resultado cambios en las presiones competitivas y
riesgo significativo distinto.
Por ejemplo en el ambiente de competencia o económico se involucran
cuestiones políticas, legales de manera global, la economía en la que
se encuentra el país, socioculturales y la demografía.
La amenaza de los competidores potenciales, tiene poder sobre los
proveedores, compradores, productos, e intensidad de la rivalidad.
b) Evalúa los cambios en el modelo de negocios.
Considerar el impacto potencial del control interno, produce cambio en
el modelo de los negocios mediante nuevas actividades que cambian
en el exterior como el rápido crecimiento y las nuevas tecnologías.
Los nuevos modelos de negocio, productos o actividades, inician áreas
de negocio o transacciones con las que la entidad tiene poca
experiencia puede introducir nuevos riesgos asociados al control
interno de la entidad.
c) Evalúa los cambios en sus líderes.
El equipo de trabajo, considera actitudes, para lograr una mejor
reflexión sobre la razón de ser de la organización, mediante el sistema
de control interno.
Un nuevo líder puede tener una interpretación diferente del control
interno, este panorama hace que la restructuración corporativa venga
acompañada de reducciones de platillas y de cambios en la supervisión
y la segregación de funciones que pueden cambiar el riesgo asociado al
control interno de manera positiva o negativamente.
Aplicación a PyME´s
El proceso de evaluación de riesgo para las PyME´s suele ser menos
estructurado y formal, pero los conceptos básicos de este componente de
control interno deben estar presente en todas las entidades, cuenta con
objetivos de forma implícita y de comunicación fácil, gestión del personal
38
más reducido, menor riesgo en el mercado, su evaluación puede resultar
especialmente eficaz, debido a la profunda involucración con el director
general y por el personal que dispone de la información relevante, con
capacidad de comprender correctamente las implicaciones de riesgos.
El director general, se entera de los riesgos por factores internos, a través
del contacto directo con empleados de todos los niveles de responsabilidad,
el empresario puede obtener información acerca de los riesgos externos
mediante el contacto directo con los clientes, proveedores, bancos,
abogados, auditores independientes y otros terceros.
Utilizan mecanismos informales pero eficaces como ejemplo:
a) Reuniones informales.
b) Nueva normatividad.
c) Desarrollo de una nueva línea de productos.
d) Formular planes de acción con rapidez y con la participación de pocas
personas.
e) La implementación puede efectuarse inmediatamente.
f) El director y los gerentes visitan a los clientes o proveedores, cuyas
necesidades se atienden al momento.
En el anexo A se presenta un check list con la aplicación de los 4 principios
que integra el componente de evaluación de riesgo.
4.3 Actividades de control
Las actividades de control establecen un manual de políticas y
procedimientos que permiten a la organización mitigar riesgos y alcanzar sus
objetivos. Estas políticas y procedimientos son elaboradas por la alta
administración y son desarrollados para todos los niveles organizacionales,
incluyen objetivos, procesos del negocio y el ambiente de tecnología, entre
otros temas que se consideren necesarios para la entidad.
Este componente, clasifica las actividades como detectivas o preventivas y si
son manuales o automatizados, además de que enfatiza la segregación de
funciones, como desarrollo clave para alcanzar los objetivos.
Las actividades de control asocian 3 principios fundamentales:
Están inmersas en todas las actividades de la organización en todos los
niveles y en todas las funciones, incluyen procesos de autorización,
aprobación verificación registro y custodia.
39
10. “La organización selecciona y desarrolla actividades de control que
contribuyan a mitigar los riesgos para el logro de los objetivos a niveles
aceptables”. (American Institute of Certified Public Accountants, 2013)
a) Se integra con la evaluación de riesgos.
El riesgo implica entornos o situaciones futuras que pudieran tener un
impacto negativo en la organización si llegaran a ocurrir, es necesario
evaluar los riesgos, para determinar el alcance, los factores de riesgo y
dar prioridad a los eventos que presenten un riesgo potencial para la
entidad; el auditor tiene la responsabilidad de evaluar el riesgo en
cualquiera de los tres niveles de riesgo (bajo, medio, alto). Figura 7
“Criterios para evaluación de riesgos”
Figura 7. “Criterios para la evaluación de riesgos”
Los riesgos tienen la siguiente clasificación:
Riesgo inherente: relacionado exclusivamente con la actividad de la
entidad, independientemente del control interno implementado.
En una auditoría financiera es la susceptibilidad de los estados
financieros a la existencia de errores significativos; este riesgo está
fuera del control de un auditor ya que difícilmente se puede
determinar por ser inherente de la actividad realizada en la compañía.
Los factores que originan que existan este tipo de riesgos son: las
actividades económicas, volumen de transacciones, volumen de
productos y/o servicios.
40
Riesgo de control: los riesgos son indelebles o incompletos para
identificar o evitar errores oportunamente, un proceso para ejemplificar
seria no establecer un límite de crédito a clientes, lo cual originaria un
crecimiento en cartera vencida y el riesgo inherente de que estas
cuentas se conviertan en incobrables.
Los factores principales que mitigan el nivel de riesgo la información,
contabilidad y control.
Riesgo de detección: se relaciona con los procedimientos de auditoría,
por lo que se trata de la no detección de la existencia de error en el
proceso realizado.
El auditor es responsable de efectuar su auditoria con procedimientos
adecuados, es importante este riesgo ya que contribuye a debilitar el
riesgo de control y el riesgo inherente de la compañía. “Figura 8
Evaluación de riesgos en el proceso de ventas”
Figura 8. “Evaluación de riesgos en el proceso de ventas”
b) Considera los factores específicos de la entidad.
El auditor debe obtener información de la compañía que le permita
comprender la estructura organizativa, alcance de las actividades que
opera y las debilidades de control interno que pueden afectar su
evaluación.
Este conocimiento de la entidad queda respaldado con los aspectos
siguientes:
Tipo de empresa, misión y visión.
Identificar el tipo de organización que es, sus actividades principales
así como los servicios que oferta.
41
i. Marco legal y normativo.
Que normas, códigos y reglamentos regulan sus actividades, bajo
qué formación legal quedo registrada en su acta constitutiva.
ii. Estructura.
Organigrama vigente, para desarrollar una descripción de la
estructura de las áreas o negocios que tengan interacción directa
con el rubro a evaluar.
iii. Fuentes de financiamiento.
Para evaluar si fue estrictamente necesario, porque un exceso
puede generar dinero ocioso.
iv. Insumos utilizados y contratación de servicios.
Identificar los principales bienes y servicios que son
indispensables para que la entidad pueda desarrollar su actividad
y ofrecer de forma oportuna los servicios que presta.
v. Estructura gerencial.
Identificar quienes son los responsables jerárquicos actuales de la
entidad y con los que se tendría interacción durante el periodo de
evaluación, se recomienda incluir niveles altos, medios y
responsables operacionales directos del rubro a auditar.
vi. Plantilla de colaboradores actual.
Conocimiento de integrantes por unidad, distribución del
personal, identificar si el personal es interno o contratado por
outsourcing.
vii. Sistemas utilizados.
Identificar las aplicaciones informáticas que rubros se afectan con
ese sistema así como los procesos que operan de forma manual
sin interacción de un software. Figura 9 “Elementos de la entidad
para conocer su entorno”
Figura 9. “Elementos de la entidad para conocer su entorno”
42
c) Determina los procesos relevantes del negocio.
En general, la función de los recursos inmersos en la generación del
producto o la prestación de un servicio, es necesario realizar una
descripción de los procedimientos operativos más importantes, se
incluyen: insumos, entradas, salidas, requerimientos, velocidad
operativa de los sistemas o software informáticos aplicables a la
entidad.
Es recomendable incluir flujo gramas de los procesos claves, e
identificación de procesos internos y externos de la cadena de
producción y administración.
d) Evalúa una combinación de tipos de actividades de control.
Para poder definir las fortalezas o debilidades de la entidad, cuantificar
y analizar los recursos que pudieran afectar de forma directa o
indirecta el alcance de la revisión, los métodos de evaluación aplicables
son los siguientes:
Muestreo de auditoría:
“El muestro permite obtener y evaluar la evidencia de auditoría sobre
una determinada característica de los elementos seleccionados con el
fin de alcanzar, o contribuir a alcanzar una conclusión con respecto a la
población de la que se ha extraído la muestra”. (NIA, 2014)
Muestreo:
Proceso mediante el cual se pueden deducir conclusiones acerca de un
conjunto de elementos (universo) ya que se estudia una porción
denominada muestra, todo el universo tienen la misma ocasión de
selección, con esto se tiene la oportunidad de obtener y evaluar las
características de la población.
El proceso de muestreo implica las siguientes etapas:
i. Planificación de la muestra.
ii. Determinación de la muestra.
iii. Selección de la muestra.
iv. Examen de la muestra.
v. Evaluación de resultados.
vi. Formulación de conclusiones.
Muestreo a criterio:
43
Se evalúa el tamaño de la muestra de acuerdo el criterio del auditor, este tipo de muestreo tiene las siguientes ventajas, no exige
conocimientos estadísticos, es conveniente en universos de PyME´s, obliga la implementación del criterio profesional por ser subjetivo.
Evidencia de auditoría “El auditor diseñará y aplicará procedimientos de
auditoría que sean adecuados según las circunstancias con el fin de
obtener evidencia de auditoría suficiente y adecuada”. (NIA, 2014)
Procedimientos de auditoría para obtener evidencia.
Inspección: examen de transacciones o registros, internos o externos
que pueden ser en papel, electrónicos u otros medios como
inspecciones físicas de activos, con el fin de identificar evidencias de
autorización.
Observación: presenciar un proceso o procedimiento aplicado por
empleados de la entidad.
Confirmación externa: evidencia de auditoría de respuesta directa de
un tercero, en papel, de forma escrita dirigida al auditor.
Recalculo: comprobación de la exactitud de los cálculos.
Re ejecución: ejecución independiente por parte del auditor de
procedimientos o controles.
Procedimientos analíticos: investigación de variaciones, así como la
evaluación de la información financiera mediante el análisis de las
relaciones que razonablemente existieran entre datos financieros y no
financieros.
Indagación: búsqueda de información a través de personas que
conozcan la empresa tanto dentro como fuera de la entidad.
i. Considera a qué nivel se aplican las actividades.
Identificar la segregación de roles sobre registro, reporte de
transacciones, custodia de activos, por citar un ejemplo se
considera inadecuado que personas que registren no deben tener
control sobre el procesamiento de transacciones.
ii. Aborda la segregación de funciones.
44
Método utilizado para separar actividades a responsabilidades que
interceden en la elaboración de estados financieros con
autorización, registro y custodia de activos.
Una adecuada segregación reduce errores voluntarios y/o
involuntarios y protege los activos de la empresa.
No tener una adecuado segregación de funciones origina las siguientes
deficiencias:
i. Distribución inadecuada al no considerar ampliar la plantilla
laboral.
ii. Desconocimiento sobre las actividades que por su naturaleza de
riesgo deben ser segregadas.
iii. Deficientes o insuficientes políticas y procedimientos.
iv. Ineficacia en la seguridad de las operaciones.
Los factores que contribuyen en las debilidades a implementar
deficiencias de control son:
i. Cambios de roles y responsabilidades.
ii. Integración de nuevas políticas y procedimientos.
iii. Incapacidades para supervisar acceso a aplicaciones financieras
criticas.
iv. Rápido crecimiento de la organización.
v. Nuevos sistemas y aplicaciones informáticas.
vi. Adquisiciones o fusiones.
vii. Rotación de personal.
11. “La organización selecciona y desarrolla actividades de controles
generales de tecnología para apoyar el logro de los objetivos”. (American
Institute of Certified Public Accountants, 2013)
Las organizaciones tienen un gran interés de que exista una revisión de las
actividades de control, con las cuales operan sus sistemas o Tecnologías de
la Información (TI), para poder efectuar un diagnóstico de control interno es
necesario contar con personal calificado con una amplia experiencia, para
poder ofrecer a la entidad observaciones y mejoras en sus controles
actuales.
45
La auditoría en TI evita los fraudes realizados con ayuda de los equipos de
cómputo y su objetivo es garantizar que la información procesada procede
de una fuente confiable.
a) Determina la dependencia entre el uso de tecnología en los procesos
del negocio y controles generales del sistema.
El propósito de los controles generales es establecer un marco de
referencia de control general de actividades de TI y proporcionar un
nivel adecuado de seguridad de los objetivos de control interno los
cuales son:
i. Efectividad.
ii. Eficiencia.
iii. Confidencialidad.
iv. Integridad.
v. Disponibilidad.
vi. Cumplimiento.
vii. Confiabilidad de la información financiera.
b) Establece actividades de control relevantes para infraestructura de
tecnología.
Los controles habituales de TI incluyen la preinstalación es decir las
condiciones ambientales y acondicionamiento físico donde se instalará
el equipo de cómputo, considerar capacitación a los usuarios finales y
técnicos especializados en soporte de las aplicaciones informáticas
adquiridas.
Así como el aseguramiento de los recursos informáticos y la mejora de
los procesos, esto da la certeza de obtener una mayor exactitud en los
reportes financieros.
c) Establece actividades de control relevantes para el proceso de
seguridad de la administración.
Construye un marco de referencia acerca de las actividades de TI, las
cuales incluyen procedimientos y políticas relacionadas a actividades
de control, así como la apropiada segregación de funciones: por citar
un ejemplo serían las transacciones de ingreso a los sistemas, el
diseño, programación, operación y aplicación en los equipos de
cómputo.
d) Establece las actividades de control relevantes para el proceso de
adquisición, desarrollo y mantenimiento de tecnología.
46
Cuyo objetivo de su implementación es proporcionar una certeza de
que los sistemas se desarrollan y mantienen eficientemente de
acuerdo a las normas del proveedor y normas y reglamento internos
de la entidad.
Los controles de seguridad y operación para el usuario son
implementados para tener la certeza de que:
i. Son utilizados para propósitos y operaciones licitas de la
organización.
ii. El acceso, y perfiles son autorizados por personal competente y
de nivel jerárquico aplicable.
iii. En los equipos únicamente se instalan programas autorizados
por la empresa.
iv. Los errores de procesamiento son detectados y corregidos
oportunamente.
Otras salvaguardas necesarias para promover prácticas de control
automatizadas o manuales son: Figura 10 “Coso aplicable en TI”
i. Respaldo de datos y programas de cómputo.
ii. Implementación de políticas y/o procedimientos en casos de
perdida, robo, destrucción accidental o intencional.
iii. Provisión para poder procesar la información fuera de la entidad
en caso de desastres.
iv. Derivado del punto anterior es indispensable contar
procedimientos y controles alternos durante la eventualidad.
Figura 10. “Prácticas de controles manuales y automatizados” (Auditool, 2014)
47
12. “La organización implementa las actividades de control a través de
políticas que establecen lo que se espera y los procedimientos para
implementar en la práctica las políticas”. (American Institute of Certified
Public Accountants, 2013)
Las políticas y procedimientos son directrices para la toma de decisiones, al
ser documentos que muestran funciones actividades y mecánicas de
operación que deberán servir de guía para la realización de la diferentes
actividades de la entidad, en esencia ahí se establece información básica que
facilita la operación, evaluación interna y vigilancia. Figura 11 “Importancia
de políticas y procedimientos”
Figura 11. “Importancia de políticas y procedimientos”
a) Establece políticas y procedimientos para ayudar en la implementación
de las directrices de la administración.
Estos lineamientos permiten conocer la operación interna al ser un
documento que detalla:
48
i. Descripción de las tareas, actividades, personal en diversos
niveles de operación y ejecución.
ii. Sirve de base en inducciones para adiestramiento y/o
capacitación del personal de nuevo ingreso o promovido, ya que
detalla las actividades de cada puesto.
iii. Facilita la interacción de las áreas de las empresas.
iv. Es una herramienta eficaz para el análisis o revisión de los
procesos con los que opera la empresa actualmente.
v. Son necesarios para control y detalle del cumplimiento del
trabajo diario.
vi. Coordina las actividades y evita la duplicidad.
b) Establece la responsabilidad de la ejecución de las políticas y
procedimientos.
Las tareas a realizar definidas en los manuales deben tener una
definición clara de los responsables el alcance y las limitaciones de sus
actividades, sirven de base para que el auditor determiné las
personas, departamento, sistemas involucrados y responsables del
rubro auditado para poder determinar su grado de responsabilidad y/o
autor intelectual si surgiera alguna falla importante de control que
debiera informar a la entidad.
c) Desarrolla las actividades de control oportunamente.
El objetivo principal radica en verificar el cumplimiento de la ejecución
de las operaciones realizadas y evaluar si son efectuadas bajo los
lineamientos oficiales (política y procedimientos) y asegurar si son
convenientes y oportunos en función de los fines de la organización e
informar si identifica sesgos importantes que pudieran originar falta de
control.
d) Llevar a cabo acciones correctivas.
Estas acciones son determinadas, previo análisis de omisión,
incumplimiento o falta de control en los procedimientos y políticas, y
de las cuales por su importancia relativa se determinó adecuarlas para
mitigar y evitar eventos posteriores.
e) Lo lleva a cabo con personal competente.
Es necesario informar a la administración para que un área experta y
fuera de la operación realice la adecuación propuesta por el auditor.
49
f) Re-evalúa las políticas y procedimientos.
Es necesario tener en consideración monitorear de forma continua la
operaciones para determinar las causas raíz que pudieran originar
riesgos en la operación al ser identificados, considerar el rediseño
oportuno con la implementación de los controles necesarios que
puedan prevenir desvíos intencionales y/o ocasionados.
Definir políticas no es difícil el problema principal radica en su
cumplimiento, sin estas la empresa no podría controlar sus
operaciones y presentarían una limitación al en el crecimiento de la
entidad por operar sin controles y guías de ejecución de las
actividades fuentes de ingreso de la organización.
Las evaluaciones y actividades de control originan la implementación
de la matriz de riegos la cual se define como una herramienta de
control y gestión normalmente utilizadas para identificar procesos y
productos de una empresa, el tipo y el nivel de riegos, así como la
evaluación de la efectividad de una adecuada gestión y administración
de riesgos que pudieran impactar en los resultados de la empresa y
por ende los objetivos de la misma. Figura 12 “Matiz de riegos”
Figura 12. “Matriz de riesgo” (JURNAL AUDITOR, 2012)
50
Es necesario que las empresas familiares o PyME´s implementen la
elaboración de políticas y procedimientos, y estén convencidas que dicha
implementación ayudará a la organización a establecer mecanismos
preventivos que ayudaran a identificar oportunamente mejoras
administrativas, y contables con el objetivo principal de garantizar que la
información sea confiable y veraz.
Una principal problemática a la que actualmente se enfrentan las PyME´s es
que el fundador considera ser el único que sabe llevar operativamente la
organización y no delega funciones, esta situación origina que se excluyan
del proceso elementos valiosos con habilidades técnicas profesionales y
operativas que pudieran aportar a la entidad ideas brillantes para el mejor
funcionamiento de la entidad, por eso es indispensable tener un adecuado
sistema de segregación de funciones y contar con el personal idóneo para
cumplir con los objetivos y metas propuestas por la empresa.
Así mismo no cuentan con un control interno adecuado por ser empresas
familiares que en la mayoría de los casos carecen de formalidad y de una
organización adecuada es necesario implementar una cultura del riesgo en la
empresa y concientizar a los integrantes de la organización que un buen
control interno beneficia a la organización protegiéndola de anomalías en
activos, pasivos y exactitud de la información financiera y disminución del
fraude, de igual manera al establecer matrices de riesgos de los procesos
más importantes e identificar oportunamente donde esta los ingresos
obtenidos por la venta de productos y/o servicios, identificar oportunamente
obligaciones adquiridas no liquidadas con proveedores que ya están en
fechas límites de pago y pudieran causar intereses moratorios, la cartera
vencida e identificar oportunamente lo que pudiera estar en riesgo de
clasificarse como incobrable, el dinero de la empresa está en sus cuentas
bancarias dinero ocioso o en una inversión generando rendimientos, solo por
mencionar algunos ejemplos que se pueden mitigarse con la implementación
de matrices de control.
4.4 Sistemas de información y comunicación
Un buen sistema de información en la organización determina las
responsabilidades necesarias para que el control interno se pueda llevar a
cabo y se alcancen los objetivos de la entidad. La alta gerencia, genera y
utiliza información de calidad al considerar factores internos y externos que
soporten el buen funcionamiento del control interno. Por consiguiente, la
comunicación asertiva dentro de la entidad, distribuye información clara y
51
precisa a todos los niveles. Así mismo, la organización está al tanto de los
factores internos y externos que pudieran afectar el funcionamiento del
control interno.
Este componente, trabaja conjuntamente con los demás componentes, ya
que comunica información correcta a toda la entidad para designar,
implementar y conducir el control interno efectivo.
La administración, se encarga de que todo el personal esté informado de los
objetivos de la entidad y que comprendan la importancia que tiene cada una
de sus responsabilidades para llevar a cabo el control interno.
El papel del auditor comienza en el entendimiento de este componente, al
considerar información que de acuerdo a su juicio profesional, le pueda ser
útil para definir la estrategia de auditoría adecuada.
Para el auditor, estos sistemas de información sirven de base para iniciar,
registrar y procesar transacciones que generan la información financiera,
como el sistema contable, los procedimientos diseñados y, los controles
empleados para corregir errores que de alguna forma repercuten
directamente en la elaboración de estados financieros.
El auditor, evaluará los controles que le sean relevantes para la auditoría,
con el fin de asegurarse que la información obtenida es confiable y que no
contiene errores materiales que pongan en riesgo su opinión.
Los 3 principios que se relacionan con este componente son los siguientes:
13. “La organización obtiene o genera y utiliza, información de calidad
relevante para apoyar el funcionamiento del control interno”. (American
Institute of Certified Public Accountants, 2013)
Una de las responsabilidades del auditor, es obtener conocimiento suficiente
sobre este componente, es decir, la forma en cómo la administración se
comunica con sus empleados, “los procesos de negocios que estén
relacionados con la obtención y calidad de información financiera obtenida de
su sistema, con el fin de validar que la información obtenida de sus controles
es confiable para definir una estrategia de auditoría”. (NIA, 2014)
a) Identifica los requerimientos de información. Se identificó la
información requerida a través de un proceso establecido que ayudó al
52
funcionamiento de los demás componentes del control interno para
cumplir con los objetivos de la entidad.
Un factor importante para el logro de los objetivos, es que la
organización mantenga información clara y concreta en todos los
niveles organizacionales, es decir, la organización genera los objetivos
a los que desea llegar, y para que estos se puedan lograr, requiere que
todo el personal este consciente de lo que se espera de cada uno de
ellos, por tanto establece los medios de cómo puede involucrarse todo
el personal para lograr los objetivos esperados.
b) Captura las fuentes de datos internas y externas.
Las fuentes de datos internas y externas son capturadas mediante
sistemas de información.
Debido a que una organización depende de factores tanto internos
como externos, la administración establece controles para obtener
información confiable de fuentes confiables, que pueda ayudar a lograr
los objetivos de la entidad.
“El auditor, requiere explicación por parte de la administración la forma
en cómo obtiene su información relativo a las Tecnologías de la
información (TI) mediante los que dichas transacciones, se inician,
registran, procesan, corrigen en caso de ser necesario, se trasladan al
libro mayor y se incluyen en los estados financieros”. (NIA, 2014)
Otro factor importante que el auditor debe considerar, es la forma en
cómo la información es transferida al sistema contable o a las
tecnologías de información (TI) para procesar transacciones al libro
mayor.
c) Procesa los datos relevantes en información.
Los datos que son relevantes o que pueden ser de utilidad, se procesan
y transforman en información.
La administración desarrolla sistemas de información adecuados para
recopilar, capturar y procesar información interna o externa. Esto se
hace en combinación de personas, procesos y tecnología que soporten
los procesos de negocio.
Así mismo, la administración implementa controles para que la
información recopilada y comunicada sea confiable y no represente un
riesgo para la entidad.
53
De acuerdo a la NIA 315, párrafo 18, el auditor deberá conocer los
procesos de información que la administración utiliza para generar
transacciones que afectan la información financiera de la entidad y los
cuales son significativos para la emisión de estados financieros.
“Así mismo, es importante conocer el modo en el que el usuario
captura los hechos y condiciones, distintos de las transacciones,
significativos para los estados financieros”. (NIA, 2014)
d) Mantiene la calidad durante el procesamiento.
Los sistemas de información producen información que es oportuna,
actual, exacta, completa, accesible, protegida, verificable y que se
conserva. La información se revisa para evaluar su relevancia al ayudar
a los componentes de control interno.
La calidad de la información es necesaria para implementar sistemas
de controles efectivos. La calidad de la información depende de la
confiabilidad de la que ésta resulte, ya que información errónea puede
repercutir de forma negativa en el logro de los objetivos o en la toma
de decisiones. Los sistemas de comunicación, requieren cumplir con
normas o leyes a las que está regulada la entidad.
Uno de los riesgos más significativos en los que el auditor deberá poner
especial atención, es en los controles que la administración utiliza para
corregir la información incorrecta.
“El auditor deberá comprender los controles utilizados por la
administración para registrar los asientos contables que sirven de
soporte en los estados financieros, así como la corrección de
información incorrecta y el modo en que la información se traslada al
libro mayor; los registros pueden ser tanto manuales como
electrónicos.” (NIA, 2014)
e) Considera los costos y beneficios.
La naturaleza, cantidad y precisión de la información comunicada son
proporcionales y ayudan al cumplimiento de los objetivos.
14. “La organización comunica internamente la información, incluye los
objetivos y las responsabilidades de control interno, para apoyar el
54
funcionamiento del control interno”. (American Institute of Certified
Public Accountants, 2013)
Como entendimiento del auditor, se deberá obtener por parte de la
administración el proceso en cómo se comunican las funciones y
responsabilidades relativas a la información financiera.
a) Comunica información sobre el control interno.
Se implementan controles para que la información requerida sea
comunicada a todo el personal y puedan comprender sus
responsabilidades de control interno.
La alta administración establece medios adecuados para concientizar a
todo el personal de sus responsabilidades y actividades que permitan
lograr los objetivos de la entidad.
El auditor evaluará los canales de comunicación que la entidad utiliza
para asegurarse de que el personal cumpla con sus responsabilidades,
que trabaje de forma conjunta con otras áreas y la forma en cómo se
relacionan con la información generada por otras personas para
realizar sus propias actividades, ya sea por medio de capacitación,
supervisión, reuniones, etc. Esto con el fin de que el personal cuente
con medios suficientes para generar información financiera libre de
errores materiales.
b) Se comunica con el consejo de administración.
La comunicación que existe entre la administración y el consejo de
administración es muy estrecha, esto con el fin de que ambas partes
tengan información necesaria para cumplir con sus roles respecto a los
objetivos de la entidad.
Para el auditor, es importante que el consejo de administración este
consciente de lo que pasa en la entidad, que esté al tanto de las
sugerencias que pueden aportar sus empleados para ser más
eficientes, los errores que pueden surgir, y la forma en cómo pueden
mitigar esos riesgos para que no afecten la veracidad de la información
financiera.
c) Proporciona líneas de comunicación separadas.
Se mantiene canales de comunicación separados, como líneas de
denuncia, y sirven como mecanismos a prueba de fallas que permiten
55
comunicación anónima o confidencial cuando los canales normales son
ineficaces o no operativos.
Como factor clave, el auditor evaluará si existe suficiente disgregación
de funciones en cuanto a las transacciones realizadas por el personal,
la forma en cómo el personal comunica los errores y los medios
utilizados para corregirlos y evitar que la administración pueda hacer
un mal uso de la información financiera.
d) Selecciona el método de comunicación apropiado.
El método de comunicación considera la oportunidad, audiencia y
naturaleza de la información.
Una forma asertiva de comunicación es por medio de un manual de
políticas y procedimientos, para lo cual el auditor indagará en los
controles de la administración para asegurarse de que los empleados
estén enterados de la forma en cómo pueden comunicarse con personas
de nivel superior para generar información financiera confiable.
15. “La organización mantiene comunicación con las partes externas
involucradas con respecto a los asuntos que afectan el funcionamiento de
los controles internos”. (American Institute of Certified Public
Accountants, 2013)
El auditor evaluará si la administración tiene comunicación con sus clientes,
partes relacionadas, proveedores, acreedores, abogados y personas externas
a la entidad que pudieran afectar el funcionamiento de la entidad.
a) Se comunica con partes externas.
Se mantiene procesos para comunicar la información apropiada y
oportuna a las partes externas incluye accionistas, socios, propietarios,
reguladores, clientes, analistas financieros y otros externos.
El auditor, deberá indagar en la administración la comunicación que
tiene con partes externas a su entidad, su relación de negocios,
políticas, contratos, etc.
Así mismo, el auditor deberá obtener conocimiento si la administración
tiene conocimiento por parte de sus abogados de su situación legal y
regulaciones.
b) Permite comunicaciones entrantes.
56
Abre canales de comunicación con aportaciones de clientes,
proveedores, auditores externos, reguladores, analistas financieros y
otros, lo que proporciona información relevante a la administración y el
consejo de administración.
c) Se comunica con el consejo de administración.
La información relevante que resulta de las evaluaciones realizadas por
externos se comunica al consejo de administración.
d) Proporciona líneas de comunicación separadas.
Se mantienen canales de comunicación separados, como líneas de
denuncia, las que sirven como mecanismos a prueba de fallas que
permiten comunicación anónima o confidencial cuando los canales
normales son ineficaces o no operativos.
e) Selecciona el método de comunicación preparado.
El método de comunicación considera la oportunidad, audiencia y
naturaleza de la comunicación y los requerimientos y expectativas
legales, regulatorias y fiduciarias.
Los controles que establecen el componente de sistemas de información y
comunicación, mantiene relación significativa con los otros cuatro
componentes de control interno, los cuales al operar conjuntamente,
garantizan el buen funcionamiento de la entidad.
El auditor deberá relacionar estos componentes con el sistema de
información y comunicación para evaluar que dicha información es confiable,
verídica y razonable para la preparación de información financiera.Una forma
de evaluar el componente de sistemas de información y comunicación, es
mediante un check list, el cual se presenta en el anexo A.
Para una entidad pequeña o mediana, el sistema de información y
comunicación es menos compleja, ya que la dirección puede estar más
familiarizada con lo que sucede en su medio, la comunicación puede ser más
efectiva debido a la existencia de un menor número de niveles de
responsabilidad, la generación de información financiera puede ser más
confiable debido a una mayor supervisión. Sin embargo, la adopción de estos
3 principios es indispensable para cualquier entidad, y el auditor deberá
evaluar que estén trabajando conjuntamente.
57
4.5 Actividades de monitoreo de controles
Un sistema de control interno se considera eficaz si la dirección de cada área
tiene la seguridad razonable de que:
a) Cuenta con la información sobre los objetivos logrados del área.
b) Prepara de forma veraz y oportuna la información financiera. c) Cumple con las leyes y normatividades a las que está sujeta.
Así es que la eficacia del control interno debe ser constantemente
monitoreada.
De acuerdo al marco integrado de control interno, las actividades de
monitoreo relaciona 2 principios fundamentales:
16. “La organización selecciona, desarrolla y lleva a cabo evaluaciones en
marcha y/o por separado para determinar si los componentes del control
interno están presentes y en función.” (American Institute of Certified
Public Accountants, 2013)
a) Considera una combinación de evaluaciones continuas y separadas
(periódicas).
El sistema de control interno necesita ser supervisado y la vigencia de
este debe verificarse a lo largo del tiempo. Esto se consigue mediante
evaluaciones continuas, periódicas o una combinación de ambas para
determinar si cada uno de los componentes y principios del control
interno están funcionando correctamente.
Acerca de evaluaciones continuas.
Las evaluaciones continuas van de la mano con las actividades que
realiza cada empleado diariamente, ya que estas deben ser revisadas
continuamente por personal de mayor jerarquía.
Acerca de evaluaciones periódicas
Las evaluaciones periódicas se realizan preferentemente en lapsos
mayores de un mes y se puede obtener una retroalimentación objetiva.
Algunos tipos de evaluaciones periódicas.
i. Evaluaciones de auditoría interna.
La auditoría interna en un control de dirección, tiene por objeto la
medida y evaluación de la eficacia de otros controles. Surge a
partir de una auditoría externa, ante la necesidad de mantener
un control fijo y eficaz dentro de la empresa y la necesidad de
58
hacer más eficiente la función del auditor externo. El objetivo
principal es ayudar a la dirección en el cumplimiento de sus
funciones y responsabilidades, proporcionándole análisis
objetivos, evaluaciones, recomendaciones y todo tipo de
comentarios pertinentes sobre las operaciones examinadas. Este
objetivo se cumple a través de otros más específicos: dirigir las
investigaciones siguiendo un programa redactado de acuerdo con
las políticas y los procedimientos establecidos y encaminado al
cumplimiento de los siguientes puntos:
Indagar si realmente se llevan a cabo las instrucciones, planes y
procedimientos emanados de la dirección.
Revisar y evaluar si existe estabilidad, suficiencia y aplicación de
los controles de operación contables y financieros.
Determinar si todos los bienes del activo están registrados y
resguardados.
Verificar y evaluar la veracidad de la información contable y otros
datos producidos en la organización.
Realizar investigaciones especiales solicitadas por la dirección.
Preparar informes de auditoría acerca de las irregularidades que
pudieran encontrarse como resultados de las investigaciones.
Vigilar el cumplimiento de las recomendaciones contenidas en los
informes emitidos con anterioridad.
ii. Evaluación Benchmark.
Benchmark es un indicador, el cual está acompañado por
instrumentos y permite comparar los rendimientos de una
inversión en un tiempo determinado.
El benchmarking sirve para comparar la eficacia de un sistema de
control interno de una empresa con otras que suelen tener fama
de contar con buenos sistemas.
b) Considera el índice de cambio, el alcance y la frecuencia.
La administración debe considerar la velocidad de los cambios en las
actividades relacionadas con la selección de evaluación de riesgos,
alcance y la frecuencia de los procedimientos de supervisión ya sea
continua o periódica.
c) Establece el entendimiento básico.
59
Se debe tomar como base el sistema de control interno utilizado por la
entidad para ser evaluado y detectar deficiencias para después tomar
decisiones y crear un nuevo diseño que permita reducir los riesgos.
d) Utiliza personal experto
La supervisión debe ejecutarse por personal que cuente con los
conocimientos relacionados a las operaciones realizadas por el área y
debe contar con la pericia necesaria para detectar debilidades; por
ejemplo el director de cada área evaluará el sistema de control interno
en el cual está involucrado y tendrá encargados como apoyo, el
encargado de la parte operacional fijará su atención en los objetivos
operacionales mientras que habrá otra persona responsable de la
fiabilidad de la información financiera.
El evaluador debe conocer el funcionamiento real de cada una de las
actividades del control interno y entender el funcionamiento teórico,
esto implica tener entrevistas previas con el personal de la entidad y la
revisión de documentación existente. Existe la probabilidad de que
algunos de los procedimientos establecidos sean cambiados o dejen de
funcionar con la implementación de nuevos controles.
Existen metodologías y herramientas de evaluación como: hojas de
control, cuestionarios, técnicas para realizar flujo gramas e indicadores
(benchmarking).
La documentación soporte de un sistema de control interno depende de
la magnitud de la empresa, por lo general las grandes empresas
cuentan con manuales de políticas, organigramas formales, descripción
de los puestos, instrucciones operativas, flujo gramas, etc. Existen
empresas que no cuentan con documentación que soporte su control
interno, sin embargo esto no quiere decir que el sistema de control
interno sea deficiente o que pueda ser evaluado, pero un buen soporte
en la documentación aumenta la calidad de la evaluación.
La persona encargada de realizar el monitoreo puede complementar el
proceso de evaluación con información existente y esto servirá para justificar la declaración del evaluador.
e) Se integra con los procesos de negocio.
Las actividades rutinarias se integran a los procesos de negocio.
60
Existe una gran variedad de actividades rutinarias para el monitoreo
del control interno como la supervisión, comparaciones, conciliaciones
y otras tareas como:
i. Los directores de cada área (producción, ventas, compras, etc.)
tienen contacto con todo el equipo y con esto pueden tener una
información veraz y oportuna con la cual pueden identificar
riesgos.
ii. La corroboración de datos con terceros como clientes y
proveedores, facilita la identificación de errores en las
transacciones, de igual forma la interacción con organismos
públicos en relación a temas de cumplimiento con la
reglamentación vigente.
iii. Para tener una exactitud en el proceso de transacciones se deben
de evaluar las actividades administrativas y su vez la segregación
de funciones para disuadir fraudes.
iv. Se deben comparar los sistemas de información con los activos
fijos y productos terminados revisados físicamente con los que
cuenta la entidad.
v. Es preciso tomar en cuenta las propuestas de los auditores
externos ya que esto ayudara a la dirección a diseñar un mejor
control interno.
vi. Las juntas, sesiones y reuniones permiten recabar información
acerca de la eficacia del control interno y fomentar la cultura de
control entre los participantes de dichas reuniones.
vii. Con frecuencia se debe evaluar si el personal cumple con el
código de conducta de la entidad.
f) Evalúa objetivamente.
Para realiza un evaluación objetiva es recomendable seguir las
siguientes sugerencias.
i. Determinar el alcance de la evaluación en términos de categoría de objetivos, componentes de control interno y actividades
objeto de la evaluación. ii. Identificar las actividades de supervisión continuada que
normalmente aseguran eficacia del control interno. iii. Analizar el trabajo de evaluación del control realizado por los
auditores internos y reflexionar sobre las conclusiones relacionadas con el control presentadas por los auditores
externos.
61
iv. Establecen las prioridades de las áreas de mayor riesgo, por unidad, componente de control interno u otros, para su atención
inmediata. v. En base a lo anterior, elaborar un programa de evaluaciones que
conste de actividades a corto y largo plazo. vi. Reunir a las personas que efectuarán las evaluaciones y
considerar juntos el alcance y el calendario a establecer, así
como la metodología y las herramientas a utilizar, examinar las conclusiones de los auditores internos y externos y de los
organismos públicos, definir la forma de presentación de las conclusiones y determinan la documentación a entregar a la
finalización de la evaluación. vii. Seguir el avance de la evaluación y revisar las conclusiones
obtenidas. viii. Asegurar que se tomen las acciones de seguimiento necesarias, y
modificar los apartados correspondientes de las evaluaciones posteriores, según proceda.
17. “La organización evalúa y comunica deficiencias del control interno en
forma oportuna a las partes responsables que toman acciones correctivas,
incluye la alta administración y el consejo de administración, según el
caso”. (American Institute of Certified Public Accountants, 2013)
a) Evalúa los resultados.
Todas las deficiencias encontradas en la evaluación pueden afectar el
futuro de la empresa ya que no se podrían lograr los objetivos
establecidos.
i. Es necesario examinar que impacto podrían tener las
deficiencias; para esto es necesario hacer un sin número de
preguntas y cálculos para saber la gravedad de estas.
ii. Los resultados de las evaluaciones serán reportados
oportunamente.
b) Comunica las deficiencias.
El suministro de la información obtenida al personal adecuado
mantiene la eficacia en el sistema de control interno.
Las deficiencias detectadas y evaluadas deben ser comunicadas, por
los canales de comunicación establecidos por la entidad lo antes
posible a la persona adecuada, ya que esta decidirá si es necesario
informar a la dirección general o solamente a un director de área.
La dirección generalmente debe ser informada sobre la evasión de
leyes y reglamentos, obstáculos considerables y anomalías que puedan
62
traer importantes consecuencias en la situación financiera de la
empresa y no permitan el logro total de los objetivos.
“Los directores de cada área deben ser informados del control interno
del equipo a su cargo con mayor detalle”. (PwC, 2012)
La comunicación no debe tener deficiencias ya que podrán surgir
consecuencias negativas en el sistema.
c) Monitorea las medidas correctivas.
La administración debe remediar las deficiencias que afectan el control
interno de forma oportuna.
Una vez obtenida la información acerca de la evaluación del control
interno, los directivos analizarán las deficiencias encontradas, las
cuales empañan las operaciones de la entidad. Se realizará un cálculo
de costo- beneficio, para ver si es conveniente hacer cambios en el
sistema de control interno. El gobierno corporativo debe tomar las
mejores decisiones para realizar mejoras en el sistema de control
interno lo cual llevará a aumentar el valor de la entidad.
El componente puede llevarse a cabo en una pequeña o mediana empresa,
con mayor facilidad, ya que existe una relación estrecha entre el propietario
de la empresa y cada una de las unidades de la misma. Por lo general en una
entidad de estas al realizarse las evaluaciones continuas disminuyen las
evaluaciones periódicas.
El director o dueño de una empresa generalmente es quien realiza revisiones
en su negocio, con esto reduce costos en personal especializado en la
evaluación del control interno. El propietario realiza visitas en la empresa
con la finalidad de tener mayor contacto con el personal para conocer sus
inquietudes y recibir opiniones.
Ejecuta revisiones físicas del inventario para compararlos con los registros
contables. También tiene contacto con clientes y proveedores para satisfacer
sus necesidades respecto a quejas, reclamos o devoluciones.
La inspección para saber si el control interno se ejecuta con lo establecido,
también la puede llevar a cabo el contador contratado por la empresa. Con la
evaluación realizada se pueden tomar medidas para realizar cambios, estos
se pueden agilizar debido a la información oportuna. Los cambios en el
control interno podrían mejorar el funcionamiento de las operaciones y hacer
crecer el negocio.
63
CASO PRACTICO ESTUDIO DE CONTROL INTERNO
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
Derivado del conocimiento obtenido anteriormente. La propuesta del caso
práctico va enfocado a una PyME, en dónde evaluará primero el control
interno que se tiene establecido indirectamente.
La evaluación del control interno será con base en entrevistas y observación
directa en las instalaciones de la compañía. Posteriormente se realizará una
matriz de riesgos, para identificar y evaluar los riesgos significativos a los
que se enfrenta la empresa. Se concluirá con un Manual de políticas y
procedimientos propuesto por los integrantes del presente informe.
El nombre de la PyME que será evaluada es Plasticos y Poliductos del
Oriente; esta se dedica a la fabricación y venta de poliductos.
Los poliductos son vendidos en el interior de la republica mexicana
principalmente, dicha empresa lleva aproximadamente treinta años
elaborando tuberías, estas son fabricadas con polietileno.
Diagnóstico del sistema de control interno
El presente trabajo representa un análisis de la situación actual del sistema
de control interno implementado en Plásticos y Poliductos “Del Oriente” con
el cual fue posible determinar las acciones necesarias para reforzar el
sistema existente y definir las oportunidades de mejora.
Los componentes del sistema de control interno desarrollados en el presente
análisis son los que a continuación se detallan:
a) Ambiente de control.
b) Evaluación de riesgos.
c) Actividades de control.
d) Sistemas de información y comunicación.
e) Actividades de monitoreo y control.
Metodología
La evaluación del sistema de control interno se fundamentó principalmente
en:
Entrevistas con los dueños de la empresa para sensibilizar acerca de la
importancia de la implementación y cumplimiento de un sistema de control
interno en sus unidades operativas.
64
Revisión de los objetivos y metas en el ejercicio 2014 para determinar el
grado de cumplimiento y la congruencia con:
a) Misión, visión, valores
b) Recopilación, estudio y análisis de la normatividad interna:
i. Organigramas
ii. Manuales
iii. Políticas y procedimientos
Encuestas de precepción enfocadas al personal para determinar el
conocimiento de objetivos, valores, misión y visión.
Análisis de las actividades de la entidad, para identificar los procesos y
procedimientos con los que opera la empresa para el cumplimiento de sus
funciones y por ende determinar los procesos críticos que podrían ponerla en
riesgo:
a) Efectivo y equivalentes
b) Cuentas por cobrar
c) Inventarios
d) Pagos anticipados
e) Propiedad planta y equipo
f) Cuentas por pagar
g) Impuestos por pagar
h) Capital
i) Ingresos
j) Costo de ventas
k) Egresos
Situación actual del sistema de control interno
Derivado del análisis y revisiones de auditores externos se determina que la
PyMe carece de un sistema de control interno lo cual la sitúa en un riesgo
significativo que origina mermas en materia prima, productos
comercializados sin un proceso interno de calidad, omisión de leyes y normas
aplicables a la operación, problemas legales por incumplimiento de las
mismas.
a) Ambiente de control.
Se encuentra de insuficiencia critica carece de misión visión valores, y
no cuenta con normatividad interna aplicable de acuerdo a su giro
65
empresarial. Figura 13 “Resultado de la evaluación de ambiente de
control”
b) Evaluación de riesgos.
Ostenta un nivel de insuficiencia crítica, se sustenta esta aseveración al
ratificar que no cuenta con una política de administración de riesgo que
sirva de punto de partida para identificar oportunidades que
contribuyan al implementar un mejor control de objetivos y procesos.
Figura 14 “Resultado de la evaluación de riesgos”
c) Actividades de control.
Muestra un nivel insuficiente, principalmente se ratificó que no cuenta
con información oportuna y ecuánime sobre el comportamiento de sus
procesos, lo que origina imposibilidad de mantenerlos bajo control al
no existir indicadores de desempeño implementados que permitan
mantener el control de las actividades de la entidad. Figura 15
“Resultado de la evaluación de actividades de control”
d) Sistemas de información y comunicación.
Exhibe un nivel insuficiente, no cuenta con métodos, procesos, canales
y acciones que con enfoque sistémico y regular le aseguren el flujo de
información adecuada. Figura 16 “Resultado de la evaluación de
sistemas de información y comunicación”
e) Actividades de Monitoreo de controles.
Exterioriza un nivel de insuficiente, las herramientas de seguimiento y
de mejora no están implementadas adecuadamente y no se realiza en
forma planificada ni sistémica aunado a que la supervisión que se lleva
a cabo no está vinculada con los objetivos ni mejoras a los procesos
actuales. Figura 17 “Resultado de la evaluación de monitoreo”
66
Figura 13. “Resultado de la evaluación del ambiente de control”
Figura 14. “Resultado de la evaluación de riesgos”
67
Figura 15. “Resultado de la evaluación actividades de control”
Figura 16. “Resultado de la evaluación de sistemas de información”
68
Figura 17. “Resultado de la evaluación de monitoreo”
Recomendaciones de mejora
Con el objetivo de establecer un control eficiente en los procesos actuales y
principalmente en los que es necesaria la interacción de personal para la
ejecución. Se recomiendan las siguientes propuestas para mejorar la
situación de la compañía:
a) Implementación de misión visión y valores
b) Documentar procesos, actividades y tareas
c) Programar charlas con el personal para capacitación y sensibilización
de la importancia del control interno
d) Mejorar la comunicación interna y permear el conocimiento orientación
y motivación del personal a conducirse de acuerdo a los valores misión
y visión de la empresa
e) Implementar el sistema de control interno, con relación a las
herramientas y procesos siguientes:
i. Administración de riesgos
ii. Gestión por procesos
iii. Análisis de datos
69
iv. Evaluación y tratamiento de las acciones correctivas y
preventivas
Seguimiento de mejoras
Derivado del seguimiento la empresa implementó lo siguiente:
a) Misión
Ser una empresa que con el trabajo diario contribuya al bienestar del
cada integrante de la organización.
b) Valores
Confianza, dedicación y trabajo
c) Visión
Expandir el producto a nivel nacional, con materia prima de calidad
d) Organigrama.
De acuerdo a la estructura de la compañía y sus objetivos planteados,
así como las actividades de cada persona, se recomienda el siguiente
organigrama: Figura 18. “Organigrama Plásticos y poliductos del
Oriente”
Figura 18. “Organigrama Plásticos y poliductos del Oriente”
70
Matriz de evaluación de riesgos
De acuerdo a la situación actual de la compañía, se realizarán las matrices de
riesgos para evaluar los rubros que son más susceptibles a contener errores
materiales que pudieran afectar la información financiera o ser causa de
fraude.
71
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y PRODUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1
Efectivo y
equivalentes
de efectivo
1. Conciliaciones
bancarias
el Contador de la empresa no realiza
conciliaciones bancarias ALTO
No se cuenta con
información
documental.
Manual Preventivo Mensual No se monitorea
el control.INSPECCIÓN
2
Efectivo y
equivalentes
de efectivo
2. Emisión de
cheques.
1Los cheques son firmados por el dueño de
la empresa Rene Rossano y no hay
resguardo de la chequera.
ALTO
No se cuenta con
información
documental.
Manual Preventivo SemanalNo se monitorea
el control.INSPECCIÓN
3
Efectivo y
equivalentes
de efectivo
3.Registro de
cheques.1.No existe registro de cada cheque emitido ALTO
No se cuenta con
información
documental.
Manual Preventivo SemanalNo se monitorea
el control.INSPECCIÓN
4
Efectivo y
equivalentes
de efectivo
4.Resguardo de
la caja chica.
No existe un encargado para que
administre la caja chica.ALTO
No se cuenta con
información
documental.
Manual Preventivo SemanalNo se monitorea
el control.INSPECCIÓN
5
Efectivo y
equivalentes
de efectivo
5.Monto de la
caja chica.
La caja chica no se mantiene con un monto
fijo.ALTO
No se cuenta con
información
documental.
Manual Preventivo SemanalNo se monitorea
el control.INSPECCIÓN
6
Efectivo y
equivalentes
de efectivo
6.Registro de
pagos con dinero
de la caja chica.
Cada vez que se toma dinero para realizar
pagos no se realiza ningún recibo.ALTO
No se cuenta con
información
documental.
Manual Preventivo DiarioNo se monitorea
el control.INSPECCIÓN
7
Efectivo y
equivalentes
de efectivo
7.Arqueos a la
caja chica.
El dueño de la empresa no realiza arqueos
a la caja chica para detectar desvios en el
dinero.
ALTO
No se cuenta con
información
documental.
Manual Preventivo SemanalNo se monitorea
el control.INSPECCIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
72
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1
Ingresos y
Cuentas por
Cobrar
1.- Propuesta de
la venta
En caso de ser un cliente nuevo,el Director,
Gerente General o Asesor de planeación, se
encargan de hacerle una propuesta sobre
los productos y precios que manejan.
ALTO Lista de precios Manual Preventivo Multiples
veces al dia
Autorización de
precios por el
Director General
OBSERVACIÓN
CONFIRMACIÓN
2
Ingresos y
Cuentas por
Cobrar
2.- Autorización
de la negociación
Se hace una negociación con el cliente y
una vez que se llega a un acuerdo sobre la
venta, esta es autorizada por René
Rossano Molina (Gerente General).
ALTO Lista de precios Manual Preventivo Multiples
veces al dia
Autorización de
precios por el
Director General
CONFIRMACIÓN
3
Ingresos y
Cuentas por
Cobrar
3.- Modificación y
alta de clientes
en el sistema
No hay un encargado o responsable en
específico para esta actividad.ALTO
No se tiene soporte
documental o virtual
de este proceso
Automático Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
4
Ingresos y
Cuentas por
Cobrar
4.- PedidoEl cliente solicita el pedido vía teléfono o
fax a René Rossano Medina (Director).ALTO
Control de pedidos
en excel e impresosManual Preventivo
Multiples
veces al dia
Consecutivo de
folios por pedidoCONFIRMACIÓN
5
Ingresos y
Cuentas por
Cobrar
5.- Ventas a
crédito
Las tres primeras ventas son a contado,
posteriormente a partir de la cuarta venta
se le puede otorgar al cliente 30 días de
credito. En caso de ser más de 30 dias, se
pide la autorización del Gerente General.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
6
Ingresos y
Cuentas por
Cobrar
6.- Surtido
Una vez que se tiene la solicitud del cliente,
se revisa con cuanto material terminado se
cuenta y lo demás se produce.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
7
Ingresos y
Cuentas por
Cobrar
7.- Embarque
Una vez que se tiene el pedido completo del
cliente, se embarca para poder entregarlo.
Al salir la mercancía se crea una nota de
remisión la cual debe ser autorizada por
René Rossano Medina (Director).
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
INSPECCIÓN
8
Ingresos y
Cuentas por
Cobrar
8.- Facturación
La nota de remisión se entrega al Contador,
aproximadamente un día después de la
salida de la mercancía para que se facture
( el cliente y el director de la compañía
acuerdan que tanto de la mercancía será
facturada).
ALTOControl de Notas de
RemisiónManual Preventivo
Multiples
veces al dia
Conciliación de
Notas de
Remisión vs
Contabilidad
OBSERVACIÓN
9
Ingresos y
Cuentas por
Cobrar
9.- Recepción del
cliente
No hay un documento oficial, firma o sellos
que respalde la entrega de mercancía al
cliente. La recepción se hace vía telefónica.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
CONFIRMACIÓN
10
Ingresos y
Cuentas por
Cobrar
10. Cobro El encargado de realizar el cobro es René
Rossano Medina (Director).ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
11
Ingresos y
Cuentas por
Cobrar
11.- Registo
Contable
Se realiza el registro contable sólo por las
ventas facturadas.ALTO
Registro en Sistema
ContableAutomático Preventivo Mensual
Conciliación de
facturación vs
Contabilidad
OBSERVACIÓN
12
Ingresos y
Cuentas por
Cobrar
12.- Control de
cobranza
René Rossano Medina (Director) lleva el
control de la cobranza por las ventas no
facturadas
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
13
Ingresos y
Cuentas por
Cobrar
13.- Modificación
y actualización
de la lista de
precios
No hay un encargado o responsable en
específico para esta actividad.ALTO
No se tiene soporte
documental o virtual
de este proceso
Automático Preventivo Multiples
veces al dia
No se puede
monitorear el
control
OBSERVACIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
73
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1 InventariosRecepción de
material
Los operadores de la empresa descargan el
material del vehículo, posteriormente la
pesan, el dueño de la empresa solo
verifica que la mercancia que recibe es la
que paga. No se realiza ningun registro.
MEDIO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
René Rossano
Medina (Director)
monitorea la
llegada del
material
OBSERVACIÓN
2 Inventarios
Entrada de
material al
almacen
La mercancía es almacenada en una parte
del area de producción que esta
descubierta, no existe un encargado para el
resguardo y distribución de la misma. No se
realiza ningun tipo de registro del
almacenamiento.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
René Rossano
Medina (Director)
monitorea la
entrada del
material al
almacen
OBSERVACIÓN
3 Inventarios
Salida de
materia del
almacen
La mercancía es tomada por los operadores
de la empresa para ser procesada sin
ningun permiso y por consecuente no se
obtiene un registro.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
No se puede
monitorear el
control
4 Inventarios Inventario Físico
El propietario de la compañía no realiza
inventarios del material, ni del producto
terminado (poliductos).
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
5 Inventarios
Envios de
producto
terminado
(poliductos).
Los operadores cargan la mercancía al
vehículo, el dueño de la empresa solo
observa que se cargue lo perdido por el
cliente.
MEDIO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
René Rossano
Medina (Director)
monitorea los
embarques
OBSERVACIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
74
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1
Propiedad,
planta y
equipo
1. Solcitud de
Activo Fijo
No existe una solicitud de activo fijo formal,
el Director o Gerente General determinan el
momento con base en su criterio para
adquirir un activo.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
2
Propiedad,
planta y
equipo
2. Autorización
No existe una autorización de activo fijo
formal, el Director o Gerente General
determinan el momento con base en su
criterio para adquirir un activo.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
3
Propiedad,
planta y
equipo
3. Compra
El Director o Gerente General determinan el
momento con base en su criterio para
adquirir un activo.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
4
Propiedad,
planta y
equipo
4. Entrada del
Activo Fijo
El Director o Gerente General verifican que
el activo fijo adquirido esta en buenas
condiciones
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
Se verifica que el
Activo Fijo este
en buenas
condiciones
-
5
Propiedad,
planta y
equipo
5. Resguardo de
soporte
documental
No existen soportes documentales de los
activos fijos adquiridos. ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
6
Propiedad,
planta y
equipo
6. Registro
contable
No se tiene identificado contablemente el
activo fijo que forma parte del negocioALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
7
Propiedad,
planta y
equipo
7. Control de
Activos
No se tiene identificado contablemente el
activo fijo que forma parte del negocioALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
8
Propiedad,
planta y
equipo
8. Cálculo de la
depreciación
No se cuenta con papeles de trabajo del
cálculo de la depreciación contable ni fiscal. ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
9
Propiedad,
planta y
equipo
9. Bajas de
activo fijo
No se cuenta con procedimientos para
determinar el momento de una bajaALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo -
No se puede
monitorear el
control
-
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
75
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1
Gastos y
Cuentas por
pagar
1. Selección del
Proveedor
René Rossano Molina (Gerente General)
seleciona los proveedores con base en su
experiencia, basada en la calidad del
producto requerido.
MEDIORelación de
ProveedoresManual Preventivo Mensual
Autorización por
parte del Gerente
General
OBSERVACIÓN
2
Gastos y
Cuentas por
pagar
Créditos
bancarios a CP y
LP
René Rossano Molina (Gerente General)
para establecer una relación comercial con
línea de crédito, deberá presentar la
documentación necesaria a efecto de
analizar si procede el otorgamiento del
crédito solicitado.
MEDIOControl de créditos
bancariosManual Preventivo Mensual
Autorización por
parte del Gerente
General
INSPECCIÓN
3
Gastos y
Cuentas por
pagar
Créditos
comerciales o no
comerciales
No hay creditos comerciales identificado BAJO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
4
Gastos y
Cuentas por
pagar
2. Solicitud del
Pedido
René Rossano Molina (Gerente General)
hace la solicitud del pedido, con la cantidad
requerida.
BAJOControl de solicitud
de pedidosAutomático Preventivo Mensual
Autorización por
parte del Gerente
General
INSPECCIÓN
5
Gastos y
Cuentas por
pagar
2. Compra
Existe material que por la frecuencia en que
es utilizado, es proporcionado en
automático por el proveedor directamente
al almacén.
MEDIO
No se tiene soporte
documental o virtual
de este proceso
Manual y
AutomáticoPreventivo Mensual
Autorización por
parte del Gerente
General
OBSERVACIÓN
6
Gastos y
Cuentas por
pagar
Venta
Plasticos y poliductos del oriente debe estar
operando en un giro comercial apropiado
para promocionar y vender los productos
que distribuya teniendo en cuenta los
siguientes elementos: ubicación comercial y
vías de comunicación (Teléfono, celular, e-
mail, etc.)
BAJO
Control de soporte
documental del
pedido
Manual y
AutomáticoPreventivo Mensual
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
7
Gastos y
Cuentas por
pagar
3. Compras
indirectas
La Secretaria realiza la solicitud de los
insumos requeridos para el área
administrativa
BAJO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
Autorización por
parte del Director
General, Gerente
General,
OBSERVACIÓN
8
Gastos y
Cuentas por
pagar
4. Gastos de
viaje
Los gastos de viaje son requeridos para
realizar propuestas de ventas, seleccionar
proveedores. No se tiene límite para erogar
gastos
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual PreventivoMultiples
veces al mes
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
9
Gastos y
Cuentas por
pagar
Transporte
René Rossano Molina (Gerente General)
autoriza el envio del producto mediante
fletes, que envia a sus clientes foraneos.
BAJO
No se tiene soporte
documental o virtual
de este proceso
Manual y
AutomáticoPreventivo Mensual
Autorización por
parte del Gerente
General
INSPECCIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
76
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
10
Gastos y
Cuentas por
pagar
Gastos de
fabricación
Gastos fijos de las existencias de MP, para
la producción, seran valuados a un costo
real para el mercado.
BAJO
No se tiene soporte
documental o virtual
de este proceso
Manual PreventivoMultiples
veces al mes
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
11
Gastos y
Cuentas por
pagar
Gastos de
administración
René Rossano Molina (Gerente General) es
quien directamente hace un desembolso en
efectivo, en cuanto a cualquier actividad
dentro del area administrativa.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Mensual
Autorización por
parte del Gerente
General
INSPECCIÓN
12
Gastos y
Cuentas por
pagar
Gastos
financierosNo hay gastos financieros identificados ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
13
Gastos y
Cuentas por
pagar
Gastos pagados
por anticpado
No hay gastos pagados por anticipado
identificadosBAJO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
14
Gastos y
Cuentas por
pagar
5. Recepción de
factuas
No se tiene un proceso para recibir
facturas, ya que no todas sus compras son
facturadas.
ALTO
Relación de Compras
obtenidas del
Sistema contable
Automático Preventivo Semanal
No se puede
monitorear el
control
-
15
Gastos y
Cuentas por
pagar
Contratación
René Rossano Molina (Gerente General) es
quien directamente autoriza la contratación
del personal, deberan cumplir con el perfil
de cargo establecido para la vacante y que
no sean menores de edad.
MEDIO
No se tiene soporte
documental o virtual
de este proceso
Manual y
AutomáticoPreventivo Anual
Autorización por
parte del Gerente
General
OBSERVACIÓN
16
Gastos y
Cuentas por
pagar
Publicidad,
propaganda y
relaciones
públicas
Plasticos y poliductos del oriente es quien
toma la desición, para seguir siendo una
empresa familiar con reconocimiento
nacional, ó poder posocionarse en empresa
de reconocimiento internacional.
MEDIO
Control de soporte
virtual de este
proceso
Manual y
AutomáticoPreventivo Mensual
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
17
Gastos y
Cuentas por
pagar
Suministros
René Rossano Molina (Gerente General) es
quien realiza el pago de la renta local, pago
de luz, agua, depreciaciones, etc en
efectivo.
BAJO
Control de soporte
documental de este
proceso
Manual Preventivo Mensual
Autorización por
parte del Gerente
General
INSPECCIÓN
18
Gastos y
Cuentas por
pagar
servicios
exteriores No hay servicios exteriores identificados BAJO
No se tiene soporte
documental o virtual
de este proceso
Automático Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
77
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
19
Gastos y
Cuentas por
pagar
Sueldos y
prestaciones
En plasticos y poliductos del orientes los
sueldos son exhibidos semanalmente
realizados en efectivo, no cuentan con
prestaciones de ley.
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual y
AutomáticoPreventivo Semanal
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
20
Gastos y
Cuentas por
pagar
Asuntos
pendientesNo hay asuntos pendientes identificados ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
21
Gastos y
Cuentas por
pagar
6. Pagos
Normalmente se tiene crédito a 8 días, y los
pagos los realiza el René Rossano Medina
(Director General)
ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Semanal
No se puede
monitorear el
control
-
22
Gastos y
Cuentas por
pagar
Documentos a
CP y LP
René Rossano Molina (Gerente General) es
quien unicamente debe poseer de
documentos exclusivamente confidenciales,
con el apoyo en ciertas ocasiones del
gerente general y el contador.
ALTOControl de soporte
documental
Manual y
AutomáticoPreventivo Mensual
Autorización por
parte del Gerente
General
OBSERVACIÓN
23
Gastos y
Cuentas por
pagar
Prestamos
bancarios
Si la empresa esta interesada en aportar el
crecimiento personal y la idea de alcanzar
los sueños de sus empleados se establece
la oportunidad de acceder a prestamos por
lo que estara sujeta a estudiós que avalen
la solicitud.
MEDIO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Mensual
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
24
Gastos y
Cuentas por
pagar
Antigüedad
laboral
René Rossano Molina (Gerente General) es
quien valora el desempeño de sus
empleados y otorga este beneficio,
"Ascensos".
MEDIO
control de soporte
documental o virtual
de este proceso
Manual Preventivo Anual
Autorización por
parte del Director
General, Gerente
General,
INSPECCIÓN
25
Gastos y
Cuentas por
pagar
Primas de seguro No hay primas de seguro identificadas ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
26
Gastos y
Cuentas por
pagar
Anticipos
recibidos de
clientes
No hay anticipos recibidos de clientes
identificadosALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
27
Gastos y
Cuentas por
pagar
Ingresos
percibidos por
anticipado
No hay ingresos percibidos por anticipo
identificadosALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo
No se
realizan
inventarios
No se puede
monitorear el
control
-
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
78
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1Costo de
ventas
No se tiene un
sistema de
costos
No se tiene un sistema de costos. ALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Detectivo Multiples
veces al dia
No se puede
monitorear el
control
-
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
79
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1 Nomina
1.-
INCIDENCIAS
Verificar que las
asistencias del
personal son
revisadas y
aprobadas por el
personal
facultado.
El tiempo laboral de los empleados es
controlado a través de mecanismos de
control automatizados o manuales. Todos
los eventos están registrados conforme a
política vigente.
ALTOBitácora de
asistenciaManual Preventivo Semanal
Muestra selectiva
del reporte
general del
empleado en
sistema de
control de
asistencia y
retardos vs recibo
de nomina.
CONFIRMACIÓN
2 Nomina
2.-
INCIDENCIAS
Asegurar el
correcto y
oportuno
desembolso de
pago de bonos y
comisiones
otorgados a los
empleados.
La captura en sistema de los bonos y
comisiones se realiza con base a los
lineamientos establecidos por la Dirección
General.
ALTO
Reportes de venta
Bitácoras de
asistencia
Métricas y reporte de
productividad
Manual Preventivo Semanal
Análisis del
reporte de
comisiones,
bonos y premios
sobre ventas para
ratificar que
fueron calculados
conforme a
políticas vigentes
RECALCULO
3 Nomina
3.-
INCIDENCIAS
Asegurar el
correcto y
oportuno
desembolso de
incentivos
otorgados a los
empleados.
La captura y pago de los incentivos se
realiza con base a los lineamientos
establecidos en contrato
ALTO
Contratos laborales
Reporte de calculo de
nomina
Manual Detectivo Semanal
Análisis de los
contratos
laborales y
ratificar el calculo
correcto de
obligaciones
laborales, vs
calculo de nomina
RECALCULO
4 Nomina
4.-
INDICENCIAS
Determinar la
correcta y
completa captura
de información
de movimientos
en la nómina.
Una vez capturadas las incidencias, se
calcula la nómina con todas las afectaciones
de los empleados por periodo, obteniendo
una cifra control en el sistema de nómina.
ALTO
Reportes de venta
Bitácoras de
asistencia
Métricas, reporte de
productividad y
contratos
Manual Detectivo Semanal
Validación del
listado de nómina
e incidencias
anexas.
RECALCULO
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
80
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
5 Nomina
5.-
INCIDENCIAS
Promover que
las obligaciones
del empleado
con terceros se
cumplan en
tiempo y
condiciones
establecidas.
Los descuentos realizados por concepto de
pensión alimenticia, créditos del INFONAVIT
o FONACOT se realizan con base a los
oficios girados por la autoridad, INFONAVIT
o FONACOT de forma oportuna.
ALTOExpedientes de
empleadosManual Preventivo Semanal
Validación de que
en los
expedientes de
los empleados
existan en caso
de aplicar
-Sentencia de
juzgado familiar.
-Aviso de
retención crédito
INFONAVIT.
- Carta
CONFIRMACIÓN
6 Nomina
6.-
INCIDENCIAS
Asegurar que el
endeudamiento
del personal sea
amortizado en el
plazo y
condiciones
pactadas.
Los responsables de autorizar los
descuentos derivados de préstamos, turnen
oportunamente las solicitudes autorizadas
para su procesamiento.
ALTO
Formatos de
prestamos con firma
autógrafa del
empleado
Manual Detectivo Semanal
Validar la
existencia de un
documento que
obligue al
empleado a
cumplir con la
obligación
pactada.
CONFIRMACIÓN
7 Nomina
7.- PAGO A
EMPLEADOS
Garantizar que
existe una
segregación de
funciones
apropiada.
El personal responsable del registro y
cálculo de incidencias, adeudos, pago de
sueldos y pago de impuesto estatal tienen
la responsabilidad de una sola función.
ALTOPerfiles de puestos
autorizadosAutomático Detectivo Semanal
Ratificar los
perfiles de
usuarios de los
sistemas
aplicables y
evaluación de la
descripción de
puestos
CONFIRMACIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
81
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
8 Nomina
8.- PAGO A
EMPLEADOS
Asegurar el
correcto y
oportuno pago
de bonos,
comisiones,
prima
vacacional,
aguinaldo,
finiquito y
nómina, además
de vigilar que
están
debidamente
autorizados por
el nivel
facultado.
Todas las solicitudes de fondeo, son
autorizadas por escrito por el personal
facultado.
ALTO
Correos electrónicos
Formatos autorizados
Pólizas de Cheques
Manual Detectivo Semanal
Verificar cual es
el documento
soporte que avala
la solicitud pago
de nómina.
CONFIRMACIÓN
9 Nomina
9.- PAGO A
EMPLEADOS
Asegurar que los
recibos de pago
contienen el
desglose de los
datos fiscales
obligatorios y
son entregados
únicamente al
beneficiario.
La entrega de recibos de pago se hace
únicamente al beneficiario del mismo,
previa identificación y firma en recibo
original. Los comprobantes de pago se
resguardan en un área segura con acceso
restringido.
ALTO
Recibos de nomina
con firma autógrafa
del empleado
Manual Detectivo Semanal
Revisión aleatoria
de recibos de
nómina firmado.
CONFIRMACIÓN
10 Nomina
10.- CONTABLE
Y FISCAL
Verificar el
correcto cálculo
y que el pago de
seguridad social
e impuestos se
han declarado y
liquidado en los
tiempos y formas
requeridos por
las leyes y
reglamentos
aplicables.
Se valida y autoriza el cálculo de los
impuestos estatales sobre nómina. En su
caso se verifican los cálculos de recargos,
multas y actualizaciones correspondientes.
ALTODeclaraciones de
impuestos estatalesManual Preventivo Mensual
- Copia de las
declaraciones
fiscales pagadas.
RECALCULO
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
82
INSTITUTO POLITÉNICO NACIONALESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
INFORME FINAL PARA OBTENER EL TÍTULO DE CONTADOR PÚBLICO
SEMINARIO: NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR DEL AÑO 2012
CASO PRÁCTICO. MATRIZ DE EVALUACIÓN DE CONTROL INTERNO (COSO 2013)
"PLASTICOS Y POLIDUCTOS DEL ORIENTE"
COMPONENTES
EVALUACIÓN
DE RIESGOS
No.
CTRLRUBRO ACTIVIDADES DESCRIPCIÓN DE LA ACTIVIDAD
RIESGO
IDENTIFICADO
FUENTE DE
INFORMACIÓN
Manual/
Automatico
(IT)
Preventivo/
Detectivo
Frecuencia
del control
DESCRIPCIÓN
DE LA PRUEBATÉCNICA
1Impuestos por
pagar
1. Contabilidad
electrónica
No se tiene un control de la contabilidad
electrónica, ya que esté aplicará para el
ejercicio 2015
ALTO
No se tiene soporte
documental o virtual
de este proceso
Automático Preventivo Mensual
No se puede
monitorear el
control
RECALCULO
2Impuestos por
pagar
2. Control y
resguardo de
CFDI
No se tiene un control de los CFDI
obtenidosALTO
No se tiene soporte
documental o virtual
de este proceso
Manual Preventivo Mensual
No se puede
monitorear el
control
-
3Impuestos por
pagar
3. Determinación
de impuestos
federales y
locales.
El contador realiza cálculos de impuestos
federales en archivos en excel, sin
embargo, estos no son revisados ni
autorizados.
ALTOCálculos en Archivos
en ExcelManual Preventivo Mensual
No se cuenta con
firmas de
autorización
RECALCULO
4Impuestos por
pagar
4. Presentación
de declaraciones
mensuales y
Anual
El Contador presenta las declaraciones
mensuales, sin embargo no se tiene un
control de las declaraciones presentadas
durante el año.
ALTODeclaraciones de
impuestos Manual Preventivo Mensual
Revisión y
supervisón de las
declaraciones
presentadas
INSPECCIÓN
ACTIVIDADES DE CONTROL SISTEMAS DE INFORMACIÓN MONITOREO
83
Manual de políticas y procedimientos
Después de la evaluación realizada en las matrices de riesgos, se propone el
siguiente Manual de políticas y procedimientos para dar confort a los rubros
detectados con mayor susceptibilidad a fraude o errores materiales y mitigar
los riesgos identificados.
Efectivo y equivalentes de efectivo
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: efectivo y equivalentes.
Políticas
El dueño de la empresa, debe guardar la chequera en un lugar seguro
donde solamente él sepa dónde está
Los pagos con cheque no serán mayores a la cantidad de $5,000.00
El Contador general deberá realiza conciliaciones bancarias para
detectar las diferencias entre los estados de cuenta del banco y los
registros de movimientos por la organización
PROCEDIMIENTO PARA LA EMISIÓN DE CHEQUES.
No de operación Responsable Descripción de la
actividad
1. Director general. El resguardo de la
chequera siempre estará a cargo del
responsable
2. Director general. El responsable deberá realizar pagos con la
chequera siempre y cuando no rebase el
monto estipulado, el deberá firmar los
cheques y entregarlos a los beneficiarios
84
3. Director general. Deberá llenar un
formato (formato para emisión de cheques)
con los datos de cheque
4. Beneficiarios Es responsabilidad del beneficiario; firmar de
recibido en el formato para la emisión de
cheques
5 Contador general. El contador deberá registrar la operación
FORMATO EMISIÓN DE CHEQUES
NOMBRE DEL BENEFICIARIO:
FOLIO
FECHA
No. CHEQUE
DESCRIPCIÓN IMPORTE
Nombre y firma del beneficiario
Autorizó (Director general)
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
85
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: efectivo y equivalentes
Políticas
Es responsabilidad del gerente general, mantener la caja chica con
honestidad y no realizar préstamos, ni pagos que no estén
relacionados con la actividad de la empresa
La cantidad de dinero con la que se debe mantener la caja chica será
de $3,000.00
El dueño de la organización deberá realizar arqueos sorpresa, para
detectar que no exista un mal manejo de la caja chica
Los pagos con dinero de la caja chico no podrán rebasar la cantidad de
$500.00
PROCEDIMIENTO PARA LA ADMINISTRACIÓN DE LA CAJA CHICA.
No de operación Responsable Descripción de la actividad
1. Gerente general. Será asignada la caja
chica al encargado para administrarla; el recibirá
la cantidad de dinero en efectivo acordada para
realizar pagos
2. Gerente general. El responsable debe
generar un recibo, de
acuerdo el concepto y el importe para lo que es
requerido el dinero
3. Todo el personal Es obligación de los
responsables firmar el recibo y verificar que el
concepto y el importe sean los correctos
4. Contador general. El contador deberá
registrar las operaciones necesarias de los pagos
efectuados
86
5. Director general. El responsable al ser
notificado que hay disminución de la caja
chica debe realizar un arqueo y deberá volver
a poner dinero en la caja chica para llegar al
monto establecido con el que debe mantenerse la
caja chica
RECIBO DE PAGO “CAJA CHICA” Nombre :
FOLIO
FECHA
CANTIDAD DESCRIPCIÓN IMPORTE
TOTAL $
TOTAL LETRA:
Nombre y firma del solicitante
Autorizó (Gerente general)
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
87
Propiedad, planta y equipo
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: propiedad, planta y equipo.
Políticas
La compañía reconoce y valúa el activo fijo de acuerdo a los objetivos
de la misma
Para el reconocimiento y capitalización de activo fijo, esté será con
base a montos superiores a $2,000.00, salvo que el director general,
de acuerdo a su criterio autorice un monto diferente
El activo fijo se identifica como sigue:
Tipo de activo Integración Depreciación* (%)
Vida útil estimada (años)
Equipo de computo
Computadoras de
escritorio, laptops,
impresoras
30% 3
Mobiliario y
equipo de oficina
Escritorios, sillas,
muebles para archivos
10% 10
Maquinaria
Todas las
maquinas necesarias para la
elaboración de los productos
10% 10
Equipo de
transporte
Todos los vehículos que
sean necesarios
para el objeto del negocio
25% 4
* El porcentaje de depreciación será de acuerdo la LISR
88
PROCEDIMIENTO PARA LA ADQUISICIÓN DE ACTIVO FIJO.
No de operación
Responsable Descripción de la actividad
1. Todo el
personal
Solicitud de activo fijo
Cada departamento deberá realizar la solicitud del activo fijo, mediante una requisición (ver formato
de requisición), especificar el tipo de activo fijo solicitado, área para la cuál será utilizado y
objetivo del activo fijo. Esta requisición debe estar firmada por el solicitante
2. Director
general
Gerente general
Autorización
La Requisición es transferida al director general o gerente general.
En caso de ser autorizada, esta se firma y pasa al departamento de compras (secretaria)
En caso de no ser autorizada, se pone la leyenda en la Requisición de “no autorizado” y la firma del
director general o gerente general.
3. Secretaria Compra La secretaria realiza la cotización y efectúa la
compra La secretaria solicita el CFDI (factura) y verifica los
requisitos fiscales (ver ciclo de impuestos por pagar)
En caso de ser una compra de contado, se paga en cuanto se obtiene el CFDI (factura)
En caso de ser a crédito, se programa la fecha de pago
4. Secretaria y
persona solicitante
del activo fijo
Entrada del activo fijo
Se verifica la entrada del activo fijo de acuerdo a las especificaciones de la requisición y la factura.
En caso de coincidir se pone la Leyenda “activo fijo recibido” tanto en la requisición como en el CFDI
(Factura). Así como fecha, nombre y firma de quién recibió el activo.
En caso de no coincidir, se aclaran las diferencias y se deja una explicación, en caso de ser necesario,
se rechaza el activo fijo y se solicita devolución de lo pagado.
5. Contador Resguardo de CFDI (factura).
El CFDI (factura) y la requisición con la leyenda “activo fijo recibido” son resguardados por el
89
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
contador en una carpeta exclusiva para activo fijo
FORMATO DE REQUISICIÓN Área solicitante:
FOLIO
FECHA
Tipo de requisición: Materia prima Activo fijo Gastos de administración
CANTIDAD SOLICITADA
DESCRIPCIÓN DE LO SOLICITADO OBJETIVO
Nombre y firma del solicitante
Autorizó (Director o Gerente general)
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
90
Rubro: propiedad, planta y equipo
Políticas
El contador registra y controla la totalidad de los activos fijos de la
compañía.
El contador tiene la obligación de realizar los cálculos de acuerdo al
tipo de activo y a la vida útil estimada.
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
PROCEDIMIENTO PARA LOS REGISTROS CONTABLES
No de operación Responsable Descripción de la actividad
1. Contador Registro contable.
El contador realiza el registro
contable y agrega copia del CFDI (factura) en la póliza
como soporte.
2. Contador Control de activos El contador controla en hojas
de cálculo de excel los activos fijos, especificar:
a) fecha de adquisición,
b) tipo de activo y área al que pertenece,
c) fecha de inicio de uso, d) MOI (monto original de
inversión), e) Porcentaje de depreciación
contable y fiscal (de acuerdo en lo establecido
en la tabla inicial), f) depreciación mensual y
anual.
3. Contador El contador realiza cálculos fiscales por la depreciación
en hojas de Excel.
91
Rubro: propiedad, planta y equipo
Políticas
Las bajas por activo fijo, sólo se puede dar por:
a. Venta
Este será vendido de acuerdo al criterio del director general,
considerar el precio de mercado, vida útil restante y condiciones
en que se encuentre.
b. Inservible para los objetivos de la compañía
Sólo en los casos en que ya no sea posible reparar el activo y/o
que deje de ser útil para el negocio, este será autorizado por el
director general.
PROCEDIMIENTO PARA LOS REGISTROS CONTABLES
No de operación Responsable Descripción de la actividad
1. Todo el personal Se llenará el formato de baja o venta de activo,
según corresponda y se le enviará directamente al
director general.
2. Director general El director general revisará el formato
proporcionado por el solicitante, y este será
autorizado.
92
Ingresos y cuentas por cobrar Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: cuentas por cobrar
Rubro: ingresos y cuentas por cobrar
Políticas
Política 3: La compañía reconoce los ingresos y cuentas por cobrar de
acuerdo a lo establecido en la NIF C-3.
La NIF C-3 establece las reglas particulares de aplicación de los principios de
contabilidad, relativos a las cuentas por cobrar de empresas industriales y
comerciales. Las cuentas por cobrar representan derechos exigibles
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
FORMATO DE BAJA O VENTA DE ACTIVO
FOLIO
FECHA
Motivo de la baja: Venta Activo Fijo dañado / inservible Activo Fijo obsoleto
Área que solicita la baja: _________________________
TIPO DE ACTIVO (Especificar detalles de la baja, en caso de ser por venta poner monto)
Nombre y firma del Solicitante Autorizó (Director General)
93
originados por ventas, servicios prestados, otorgamiento de préstamos o
cualquier otro concepto análogo.
Políticas
El área de cuentas por cobrar e ingresos tiene la obligación de dar de
alta un pedido, surtirlo, cobrar y registrarlo contablemente de acuerdo
al siguiente procedimiento.
PROCEDIMIENTO PARA INGRESOS Y CUENTAS POR COBRAR
No de operación Responsable Descripción de la actividad
1. Director general, gerente general y/o asesor de
planeación
En caso de ser un cliente nuevo, los
responsables serán los
encargados de hacer la propuesta con esté y
darle a conocer sus productos y precios.
2. Gerente general
Se hace una negociación con el
cliente y la autorización final la hará el
responsable.
3. Contador general Si el cliente es nuevo para la compañía, el
responsable deberá darlo de alta en el
sistema de acuerdo al siguiente formato, así
mismo para el caso en que se deba de
modificar algún dato de los ya existentes. Este
formato deberá ir
firmado por el director y gerente general para
hacerles de su conocimiento la
modificación o alta del cliente y quede
autorizado.
4. Asesor de planeación El cliente podrá solicitar
el pedido vía telefónica,
94
fax o correo
electrónico, siempre y cuando el responsable
lo registre en el siguiente formato, el
cual deberá estar firmado por el director
y gerente general.
5. Gerente general Las tres primeras
ventas serán de contado,
posteriormente a partir
de la cuarta venta, el cliente podrá solicitar
un crédito no mayor a 30 días. En caso de ser
mayor el crédito, deberá ser autorizado
por el responsable.
6. Asesor de planeación Una vez que se tiene
autorizada la solicitud
de pedido, el responsable revisará
cuanto material está disponible para la venta
y el faltante lo mandará a producir.
7. Asesor de planeación Una vez que se tiene el pedido completo, se
procede a darle salida del almacén. El
responsable elaborará
una nota de remisión la cual debe estar
autorizada por el director y gerente
general.
95
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
96
Inventarios almacén
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: inventarios
Rubro: Almacén de materia prima
Políticas
Es responsabilidad del director general verificar que al recibir la
mercancía, esté en buenas condiciones.
Por ningún motivo los operadores deberán tomar mercancía sin la
autorización del director o gerente general.
La mercancía debe tomar conforme fue entrando (primeras entradas-
primeras salidas).
Es responsabilidad del director general y gerente general realizar un
inventario físico de materia prima por lo menos una vez por semana.
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
97
PROCEDIMIENTO PARA ENTRADA Y SALIDA DE MERCANCÍA DEL
ALMACEN DE MATERIA PRIMA.
No de operación Responsable Descripción de la
actividad
1. Director general y gerente general
Los responsables tienen la obligación de recibir la
mercancía según el pedido.
2. Operadores Los encargados deben
pesar y checar la mercancía para verificar
que sea lo requerido.
3. Director general y gerente
general
Los responsables deberán
firmar de recibido y en su caso recibir la factura y/o
pagar.
4.
Operadores Los responsables deberán
llevar y acomodar la mercancía en el almacén.
5. Contador general El Contador deberá
registrar la entrada al almacén de la materia
prima.
6. Operadores Cuando se necesite
material en el área de producción los
responsables deberán de llenar un formato para
requisición de materia prima del almacén.
7. Director general y gerente general
Los responsables deberán revisar el formato de
solicitud de materia prima y si lo consideran viable
autorizarán la salida de mercancía.
8. Operadores Ya que fue autorizada la
salida de materia prima
98
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: inventarios
Rubro: almacén de producto terminado
Políticas.
Es responsabilidad del director general y del gerente general verificar
que el producto terminado cuente con las especificaciones de medida,
color y calidad antes de entrar al almacén.
Es responsabilidad del director general y del gerente general realizar
un inventario por lo menos una vez a la semana y en base a los
cálculos y experiencia verificar que la materia prima que se utilizó
corresponda a la del producto terminado.
Nadie podrá tomar productos del almacén sin la autorización del
director general y del gerente general.
El producto terminado se debe tomar conforme fue entrando al
almacén (primeras entradas – primeras salidas).
del almacén los
responsables procederán a sacarla.
9. Contador general Una vez entregado el formato de requisición de
materia prima al contador este deberá registrar la
salida de materia prima del almacén.
PROCEDIMIENTO PARA ENTRADA Y SALIDA DE MERCANCÍA DEL
ALMACÉN DE PRODUCTO TERMINADO.
No de operación Responsable Descripción de la
actividad
1. Operadores Una vez terminado el
producto los responsables
deberán llevarlo al almacén y se realizará un
formato de mercancía de producto terminado.
2. Director general y del gerente Los responsables deberán
99
general revisar el formato de
entrada al almacén del producto terminado y
constatar que sea con lo que esté en el almacén.
3. Director general y del gerente
general
El responsable registrará
las operaciones necesarias.
4.
Director general y del gerente general
En el momento en el que se efectúa una venta, los
responsables indicaran cual y cuanta mercancía
debe salir del almacén y se realizará un formato
de salida de mercancía del almacén de producto
terminado.
5. Operadores Los responsables sacaran
la mercancía del almacén y la pondrán en el
vehículo para ser llevada a su destino.
6. Contador general El responsable efectuara el registro de la salida del
almacén.
100
Gastos y cuentas por pagar
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: gastos y cuentas por pagar
El área de gastos y cuentas por pagar tiene la obligación de procesar
las requisiciones de pago.
Todos los pedidos de materiales deben ser autorizados por el director
general y el gerente general.
FOLIO
FECHA
Materia prima Activo fijo
CANTIDA
D
SOLICITA
DA
Nombre y firma del Solicitante Autorizó (Director o gerente general)
FORMATO DE REQUISICIÓN
Área solicitante:
Tipo de Requisición: Gastos de administración
DESCRIPCIÓN DE LO SOLICITADO OBJETIVO
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
101
Establecer mecanismos que garanticen una menor carga
administrativa, el adecuado registro contable para aquellos conceptos
que son recurrentes y fijos.
La compañía tiene la responsabilidad de tener información actualizada
de acuerdo a las políticas de alcances.
PROCEDIMIENTO para el proceso de un gasto de administración
No de operación Responsable Descripción de la
actividad
1. Director general gerente general, Contador general
Los responsables deberán emitir
comprobantes y notificar gastos
efectuados y por efectuar.
2. Director general y gerente
general
Todos los gastos deben
ser autorizados por los
responsables.
3. Director general El responsable deberá
presentar formato requisición de pago
correctamente llenado y firmado junto con las
fichas de depósito bancario.
4. Contador general Se encargara de
facturar el recibo con requisitos fiscales y la
hoja de validación del SAT.
5.
Contador general
Mensualmente deberá
verificar que la suma de los saldos de las
cuentas por pagar coincida con los de las
cuentas de control correspondientes.
6. Gerente general Revisará y evaluara la
solidez y/o debilidades del sistema de control
interno
102
7. Gerente general Será el responsable de obtener certeza de la
realidad de los valores registrados y
transacciones de la empresa.
8. Beneficiarios Como proveedores será el responsable de
simplificar los procesos, con la finalidad de
eficientizar los trámites.
9. Beneficiarios Estará actualizado del
material solicitante,
tendrá copia del formato requisición de
pago.
10. Secretaria Se encargara de otorgar número de folio
y un sello de recepción de requisición de pago.
11. Operadores Serán los responsables de enviar
semanalmente su programa de consumo
de materiales para llevar a cabo la
planeación de las compras de las plantas
productivas.
103
FORMATO DE REQUISICIÓN DE PAGO
Área solicitante:
FOLIO
FECHA
Tipo de requisición: Materia prima Activo fijo X Gastos de administración
CANTIDAD SOLICITADA
DESCRIPCIÓN DE LO SOLICITADO OBJETIVO
Nombre y firma del solicitante
Autorizó (Director o gerente general)
PLÁSTICOS Y POLIDUCTOS DEL ORIENTE
104
Impuestos por pagar
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: impuestos por pagar
Políticas
Para efectos de dar cumplimiento con las leyes fiscales, la contabilidad
será llevada de acuerdo a las reformas vigentes para los ejercicios
2014 en adelante.
PROCEDIMIENTO PARA EL PROCESO DE CONTABILIDAD ELECTRÓNICA
No de operación Responsable Descripción de la actividad
1. Contador general El contador deberá tener identificada la siguiente
información en electrónico en formato XML en carpetas
archivadas por mes. a) Catálogo de cuentas
b) Balanza de comprobación c) Integración de pólizas
registradas en el periodo
d) Auxiliares a cuenta de nivel mayor y/o
subcuenta de primer nivel e) Integración de folios
fiscales emitidos (CFDI) los cuales deben cotejar
vs los ingresos del mes.
2. Contador general La información recabada en el proceso 1 será enviada
mensualmente directamente
al SAT por medio de su página, a través de archivos
comprimidos con formato zip por el buzón tributario, en el
105
Plásticos y Poliductos del Oriente.
Manual de políticas y procedimientos
Área: finanzas
Rubro: Impuestos por pagar
Políticas
Todos los gastos efectuados para el objeto de la compañía, deben ser
estrictamente indispensables y deben reunir los siguientes requisitos:
a. Nombre y RFC de la compañía
b. El IVA debe estar expreso y por separado
c. Las erogaciones deben ser comprobadas en formatos PDF y XML
(Factura).
apartado contabilidad
electrónica; el envío debe hacerse con firma electrónica
vigente.
PROCEDIMIENTO PARA EL PROCESO DE CONTROL Y RESGUARDO DE CFDI
No de operación Responsable Descripción de la actividad
1. Todo el personal Los gastos erogados
deben ser enviados al contador de acuerdo a
las políticas de gastos y cuentas por pagar.
2. Contador general El contador controlará
los CFDI (factura) identificando folio,
proveedor, y estos serán archivados en
carpetas virtuales (en la computadora) por
mes.
106
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: Impuestos por pagar
Políticas
El contador determinará el cálculo de impuestos a los que la compañía
está sujeta, de acuerdo al marco de obligaciones fiscales al que
pertenece:
a. Cálculo de pagos provisionales y cálculo anual de ISR
b. Retención de ISR, IVA por servicios profesionales
c. Retención de ISR por sueldos y salarios
d. Retención de IVA por fletes
e. Cálculo definitivo de IVA
f. Cálculo de impuesto sobre nómina.
3. Contador general Para generar la póliza
se anexará la factura impresa como
comprobante.
PROCEDIMIENTO PARA EL PROCESO DE CÁLCULO DE IMPUESTOS
No de operación Responsable Descripción de la actividad
1. Contador general Control sobre flujo de efectivo para IVA.
El contador elaborará
papeles de trabajo para la terminación de pago
definitivo de IVA,
identificar el IVA trasladado (derivado de
ingresos) e IVA acreditable (derivado de
107
gastos).
Debido a que el IVA es
bajo el supuesto de flujo de efectivo, éste será
cotejado vs las entradas y salidas de efectivo, hacer
una conciliación mensual para corroborar contra los
registros contables que el IVA esta efectivamente
cobrado (por medio de los ingresos) y pagado (por
medio de los gastos).
2. Contador general Los impuestos determinados, serán
declarados ante las oficinas del SAT o por
medio de pagos referenciados a través de
la banca electrónica, a más tardar los días 17 del
mes siguiente al qué se calculó.
3. Contador general Director general y/o gerente
general
El contador le informará al director general y/o
gerente general sobre la situación fiscal en la que
se presenta la compañía y le dará impreso el cálculo
de los impuestos mensuales y el impuesto
anual, para que estos sean firmados como
autorización
4. Contador general El contador realizará un
control de declaraciones presentadas, en un
archivo en Excel, identificar el mes de la
declaración, tipo de declaración (normal o
108
Nómina
Plásticos y Poliductos del Oriente
Manual de políticas y procedimientos
Área: finanzas
Rubro: nominas
El manual de políticas y procedimientos servirá al departamento de nómina
y/o personal responsable, de guía cuyo principal objetivo es detallar las
actividades y funciones necesarias para desarrollar las actividades de
acuerdo a los controles efectivos que mitiguen desviaciones en el proceso.
Es responsabilidad del gerente general, solicitar los documentos
necesarios para tener un expediente actualizado del personal.
La validación de registros asistencia y horarios de entrada y salida es
responsabilidad del Jefe de planeación estratégica.
complementaria), tipo de
impuesto e importe declarado, folio de la
declaración, fecha de pago, forma de pago y
número de referencia.
5. Contador general
Las declaraciones serán impresas mensualmente y
serán archivadas en una carpeta exclusiva de
impuestos, en la que se
agregará el cálculo mensual de los impuestos
firmados por el director general y/o gerente
general, así como el comprobante de pago.
109
El contador deberá validar la autorización y descuentos oportunos de
préstamos a los empleados.
Es responsable el contador del cálculo correcto y oportuno para el pago
oportuno de nómina los viernes a las 16:00 horas a los empleados, así
como el pago de obligaciones fiscales que apliquen.
Los empleados son responsables de firmar su recibo de pago.
PROCEDIMIENTO PARA EL PAGO DE NOMINA
No de operación
Responsable Descripción de la actividad
1 Gerente general
Solicitud al empleado de nuevo ingreso y/o empleado vigente la
documentación listada en el formato de requisitos de
admisión.
1.1 Contador general
El contador recibirá la
documentación solicitada y verificará si está completa
situando una marca en el espacio correspondiente a cada
documento que se recibió.
1.2 Gerente general
El gerente general recibirá del
contador el expediente completo así como el contrato laboral el
cual deberá detallar: puesto, horario de trabajo,
salario, días de vacaciones y prestaciones.
2 Jefe de planeación
estratégica
Al inicio de la jornada verificará
que todo el personal que se encuentra laborando tenga el
registro de ingreso a la empresa en la bitácora de asistencia.
2.1 Contador general
Registro de la pre nómina de las
incidencias reportadas en el reporte semanal de asistencia.
110
2.2 Empleados
Deberá llenar el campo de observaciones en bitácora de
asistencia en caso de retardos, indicar que reconoce que está
infringiendo en el cumplimiento de su horario asentado en su
contrato laboral y es responsable de las sanciones
que de acuerdo a normas y políticas de la empresa pudiera
ser acreedor.
3 Director general
Los préstamos solicitados por
empleados, tienen que estar
autorizados por el director general de la empresa los cuales
deberán ser soportados por el formato pagare de préstamos.
3.1 Contador general
Realizar los descuentos en
tiempo y forma de préstamos, así como la custodia pagare de
préstamos.
3.2 Contador general
Integra pagos y descuentos, así
como el cálculo de los impuestos y cuotas de seguridad social
correspondientes.
4 Director general
Recibe el cálculo de la pre
nómina y otorga su visto bueno, para proceder a liberar los
pagos correspondiente.
4.1 Contador general
Deberá entregar el recibo de
pago en original y copia la copia al trabajador y el original queda
como respaldo y deberá ser archivado en el expediente del
trabajador.
5 Empleados
Firmaran el recibo de pago con
el que se acuerda que el pago es acorde a lo establecido en
contrato.
111
112
Conclusión
La presente práctica fue enfocada a PyME´s, con la intención de implementar
y adaptar los controles necesarios para mitigar riesgos de fraude o error que
puedan afectar la integridad de la compañía.
Como resultado de las indagaciones con la administración y después de la
evaluación de su control interno, se realizó un manual de políticas y
procedimientos, lo que permite comprender que el control interno COSO, es
un plan de organización en el cual se utilizan métodos y procedimientos que
en forma coordinada se adoptan en una entidad para salvaguardar sus
activos, verificar la razonabilidad y confiabilidad de su información financiera.
Los componentes COSO ayudan a administrar a todas las empresas para el
logro de los objetivos, los cuales integran 17 principios fundamentales,
ademas permite a la misma compañía evitar y detectar arbitrariedades,
decisiones indebidas, incompetencias y otros hechos de más gravedad.
Al comparar lo que pudiera ser la causa de que en ocasiones determinados
directivos sean remisos a la aplicación de un sistema controlado y limitado.
113
Es debido a esto que el presente trabajo permitirá tener una buena
organización y sobre todo el cuidado profesional de los colaboradores que
manejan los diferentes departamentos, en base a una estructura de base
legal, normatividad clara y completa para el cumplimiento eficiente de las
funciones y responsabilidades de cada área.
114
CONCLUSIONES
La ley SOX fomenta que las empresas que cotizan en la bolsa de valores de
los estados unidos de américa operen con controles internos adecuados que
garanticen la transparencia de sus operaciones, de acuerdo a la sección 404
de esta ley, es indispensable realizar una evaluación anual de los controles
internos, los cuales deberán incluir la declaración de responsabilidades
gerenciales del establecimiento y mantenimiento de los controles internos
para elaborar estados financieros, documentación soporte del marco de
referencia utilizado por la organización, así como el diagnóstico de la
gerencia de los controles internos actuales.
Un control efectivo permite detectar oportunamente desviaciones, con lo cual
la organización tiene la certeza de estar trabajando con efectividad y
eficiencia, y confiar en que su información financiera y operación se rige de
acuerdo a los lineamientos de las leyes aplicables de su actividad. El marco
de control interno COSO sirve de guía para detectar eventos que pudieran
afectar a la organización así como la administración de los riesgos
identificados para que no se vean afectados los objetivos de la empresa y
conseguir los resultados óptimos en materia de rentabilidad y rendimiento.
Los 5 elementos del control interno son indispensables para que la empresa
logre el desarrollo de sus objetivos y garantice que la información financiera
es veraz eficaz y oportuna, la aportación de cada componente es la
siguiente:
Ambiente control es la base para el desarrollo de los demás componentes
nos muestra la estructura, valores, filosofía, lineamientos y dirección de la
organización.
Evaluación de riesgos, cualquier empresa se enfrenta a eventos internos y
externos, que pueden ponerla en riesgo, para minimizar estos sucesos, se
recomienda establecer un sistema de detección que garantice la prevención
de eventos futuros, es recomendable que esta actividad se desarrolle de
forma continua.
Actividades de control son las guías internas de la empresa (políticas y
procedimientos) que dan una seguridad de que se trabaja conforme a
perfiles autorizados, segregación de funciones de acuerdo a niveles
facultados.
115
Sistemas de información y comunicación, el flujo e intercambio de
información es indispensable, es necesario promover un sistema abierto y
efectivo con el personal de forma clara y oportuna, asegurando que el
mensaje fluya en todas las direcciones y niveles con el contexto original,
también es fundamental una comunicación externa efectiva con accionistas,
autoridades, proveedores y clientes.
Actividades de monitoreo de controles, es imprescindible supervisar el
funcionamiento de las actividades de la entidad para poder identificar
oportunamente modificaciones en los procesos que pudieran afectar la
operación por ser obsoletos o insuficientes.
Los 5 componentes al integrarse e implementarse, sirven para identificar si
el sistema de control interno con el que opera la empresa es eficaz, ya que
gestionan las operaciones y procesos, que sirve de guía para desarrollar un
sistema de prevención de riesgos que permite tomar las medidas necesarias
para mitigar o eliminar el impacto que pudiera poner en riesgo a la entidad
por fraudes, fugas y malos manejos.
Actualmente las empresas PyME´s no consideran necesario la
implementación de un modelo de control interno, lejos de visualizar la
mejoras de estos modelos internacionales lo consideran un proceso que no
dejara ningún beneficio a la organización, principalmente esto obedece a que
sus producciones son artesanales, el uso de tecnología es limitado e incluso
nulo, son organizaciones familiares, y no tienen fácil acceso a fuentes de
financiamiento, mantienen una unidad de mando vinculando funciones
administrativas con operativas, en ocasiones la calidad de sus productos es
deficiente por que no cuentan con controles de calidad.
Las PyME´s pueden garantizar su crecimiento adoptando un adecuado
ambiente de control interno, se recomienda el desarrollando del marco
integrado COSO con sus 5 componentes y principios, se lograrían los
siguientes beneficios; crecimiento, generación de empleos formales, posibles
fusiones, mayores utilidades y menos mermas, poder adquisitivo mayor para
poder contratar personal capacitado y expandir su producto a nivel nacional
e internacional, con estándares de calidad, implementar este modelo
garantiza el desarrollo de especialistas en detección de riesgos y monitoreo
esto dará la certeza de una evaluación de forma periódica a la empresa y se
darán las recomendaciones oportunas para el logro de metas y objetivos
trazados y generará una cultura de enfoque de riesgo al personal.
116
RECOMENDACIONES
Como consecuencia de la investigación y revisión elaborada en la empresa
Plásticos y Poliductos del Oriente, se observó que la organización cuenta con
demasiadas deficiencias que ponen en riesgo su estabilidad, ya que no
cuenta con las suficientes medidas para evitar errores y fraudes.
A continuación se darán las siguientes sugerencias a la compañía, ya que
podrían servir de guía para lograr los objetivos de la empresa.
Deberá implementar una normatividad interna aplicada a la operación y giro
de la entidad y desarrollar una misión, visión y valores, esto con el objetivo
de generar un sentido de pertenencia y compromiso por parte de los dueños
empleados y de la entidad.
La organización aparte de cumplir con la normatividad interna, debe cumplir
con las leyes y reglamentos externos con la finalidad de no afectar las
operaciones.
Se recomienda el uso del manual de políticas y procedimientos elaborado por
el grupo de auditores para formalizar y mejorar el control interno de la
compañía.
La administración interna tiene como responsabilidad, contratar al personal
con el perfil deseado, capacitar y evaluar su desempeño.
Para evitar accidentes durante la operación, la compañía debe contar con las
medidas de seguridad e higiene.
Es necesario elaborar una estrategia de trabajo para identificar los riesgos
que actualmente ponen en peligro a la PyME, es conveniente implementar el
uso de las herramientas desarrolladas por los contadores públicos como
checklist, matrices de riesgos, manual de políticas y procedimientos, ya que
estos servirán de guía para evaluar los riesgos.
Una vez detectados los errores y riesgos que ponen en peligro a la empresa
es necesario crear un plan de trabajo para mitigar y eliminar riesgos.
Cabe destacar que la dirección general tiene el compromiso de actualizar los
procesos y controles de nuevas actividades en la operación.
117
Es importante mantener la maquinaria en buen estado y utilizar material que
cumpla con las normas de calidad.
Podría ser de gran ayuda, las asesorias y sugerencias de especialistas y
auditores para mejorar el desarrollo de la empresa; así se desarrolla el
componente de actividades de control.
Se sugiere mejorar los medios de comunicación y el flujo oportuno de
información, con pizarrones, medios informáticos, cartas o memorándums,
es importante utilizar los formatos elaborados por los contadores en los
procesos.
Las personas con mayor grado de responsabilidad como director general,
gerente general y encargados deben recabar y emitir información veraz y
oportuna para evitar confusiones, retrasos y riesgos en los procesos.
Se debe mantener una excelente comunicación con personas externas como
clientes, proveedores, bancos, etc.; y la información emitida por parte de
ellos deberá ser atendida por niveles jerárquicos correspondientes, con esto
se involucra al componente de sistemas información y comunicación.
Se deben realizar revisiones continuas y periódicas a cada área de la
empresa de acuerdo a un plan de trabajo, herramientas, y aunado a esto, la
experiencia y pericia del supervisor.
El encargado de realizar la supervisión tendrá que ejecutar tareas como
arqueo de caja, inventarios físicos de materia prima producto terminado y
activo fijo, así como recabar opiniones y sugerencias del personal.
En caso de identificar nuevos riesgos y deficiencias en los proceso se tendrá
que informar a los encargados de cada área; con esto se concluye que es
necesario monitorear cada componente para el logro de metas y objetivos.
Es de gran importancia tomar en cuenta estas recomendaciones que están
apegadas con los cinco principios del COSO; ya que a pesar de la trayectoria
que tiene la PyME en el mercado, no cuenta con un sistema de control
interno que le permita trascender en su giro, la PyME tiene la capacidad de
crecer y convertirse en una empresa líder en el mercado.
118
BIBLIOGRAFÍA
American Institute of Certified Public Accountants. (2013, Mayo 31). Internal
Control - Integrated Framework, Executive Summary. Committee of
Sponsoring Organizations of the Treadway Commission, 20.
American Institute of Certified Public Accountants. (2013, Mayo 31). Internal
Control - Integrated Framework, Framework and Appendices. COSO
Committee of Sponsoring Organizations of the Treadway Commission,
198.
Auditool. (2014, Noviembre 7). El Informe COSO I y II. Retrieved Noviembre
7, 2014, from Auditool: http://www.auditool.org/blog/control-
interno/290-el-informe-coso-i-y-ii
Comintte of Sponsoring Organizations Of the Treadway Commission. (30 de
Noviembre de 2014). COSO. Recuperado el 30 de Noviembre de 2014,
de Comintte of Sponsoring Organizations Of the Treadway
Commission: http://www.coso.org/
JURNAL AUDITOR. (20 de Diciembre de 2012). Pengertian atau Definisi
COSO. Recuperado el 20 de Diciembre de 2012, de JURNAL AUDITOR:
https://www.google.com.mx/search?q=coso+1&espv=2&biw=1366&bi
h=667&source=lnms&tbm=isch&sa=X&ei=VNEHVIXEGozboAS1k4DAB
g&ved=0CAYQ_AUoAQ#facrc=_&imgdii=_&imgrc=DnpduuXtHkepaM%
253A%3BwfFJu-
t21nK0TM%3Bhttp%253A%252F%252F1.bp.blogspot.com%252F-
1pfdqpE0aeA%252FU
México. (2014). 3ª Resolución Fiscal Miscelánea . México, D.F.
México. (2014). Código de Comercio. México, D.F.
México. (14 de Marzo de 2014). Código Fiscal de la Federación. México, D.F.,
., México.
México. (2014). Ley General de Sociedades Mercantiles. México, D.F.
México. (2014). Reglamento del Código Fiscal de la Federación. México, D.F.
NIA. (2014). Normas Internacionales de Auditoria. México: .
PwC. (2012, Diciembre 6). Otra mirada hacia los problemas de información
financiera. Punto Vista COSO, 8.
119
SOX y Auditoría Interna. (2012, Septiembre 1). COSO I y COSO II. Retrieved
Septiembre 1, 2012, from SOX y Auditoria Interna:
http://es.slideshare.net/greis2392/coso-i-ycosoii11
120
ANEXO A
Derivado de los 5 componentes y 17 principios desarrollados en el capítulo
VII “Componentes y principios del COSO”, a continuación se presenta un
checklist, en el que se establecen los requisitos mínimos que debe reunir la
entidad para saber si el control interno opera conjuntamente, es decir, que
los 5 componentes funcionen en congruencia con los objetivos y estructura
de la entidad y que las deficiencias surgidas, no den lugar a debilidades
materiales.
INSITUTO POLITÉCNICO NACIONAL
ESCUELA SUPERIOR DE COMERCIO Y ADMINISTRACIÓN
UNIDAD TEPEPAN
SEMINARIO NUEVAS NORMAS INTERNACIONALES DE AUDITORÍA A PARTIR
DEL AÑO 2012
CHECK LIST DE CONTROL INTERNO
CON BASE EN EL COSO 2013
FECHA:
DEPARTAMENTO A EVALUAR:
RESPONSABLE DEL DEPARTAMENTO:
NOMBRE Y CARGO DEL EVALUADOR:
COMPONENTE/ DESCRIPCIÓN DEL CONTROL RESPUESTA
PRINCIPIO SI NO
1.
AM
BIE
NTE D
E C
ON
TRO
L
PRINCIPIO 1. La organización demuestra compromiso con la integridad y valores éticos.
1 Los objetivos de cada área o departamento están alineados con la misión u objetivo general de la organización.
2 La organización cuenta con un Código de conducta que le permita concientizar al personal sobre los valores éticos que deben aplicar.
3 Se tienen establecidos procesos para evaluar el desempeño de las personas de acuerdo a las normas de conducta.
4 En caso del incumplimiento del Código de Conducta, la organización toma medidas oportunas para dar solución a este problema.
PRINCIPIO 2. El consejo de administración demuestra su independencia con la administración y ejerce la supervisión del desarrollo y desempeño del control interno.
1 La organización promueve los valores y eficiencia en cada miembro para realizar su trabajo.
2 La organización define la autoridad y responsabilidades para cada área y miembro de la misma.
3
4 Se realizan evaluaciones periódicas para medir la eficiencia del trabajador.
121
PRINCIPIO 3. La administración establece, con supervisión del consejo, estructuras para líneas de la información, así como la asignación de autoridades y responsabilidades apropiadas para alcanzar los objetivos.
1 La organización establece líneas de comunicación e información que permitan el cumplimiento de los objetivos.
2 Los manuales de organización y procedimientos son acorde a la estructura organizacional y a los reglamentos.
3 La experiencia y competencia profesional del personal directivo es el adecuado para cumplir con sus responsabilidades.
4 Se realizan evaluaciones periódicas para medir el ambiente de trabajo y se toman acciones para mejorarlo.
PRINCIPIO 4. La organización demuestra su compromiso de reclutar, capacitar y tener personas competentes y alineadas con los objetivos.
1 Las políticas reflejan las expectativas de la organización de competencia necesaria para el cumplimiento de los objetivos.
2
La administración evalúa la competencia entre la organización y el personal subcontratado en relación al cumplimiento de las políticas y otorga la debida atención a las fallas y deficiencias.
3 La organización proporciona la capacitación necesaria para el crecimiento de su personal.
4 La organización desarrolla planes estratégicos en caso de alguna contingencia en las responsabilidades de su personal con funciones importantes.
PRINCIPIO 5. La organización retiene a personal de confianza y comprometido para hacerse cargo de las responsabilidades de control interno que alcancen los objetivos.
1 La organización otorga incentivos o premios a su personal por su buen desempeño.
2 La organización evalúa y ajusta las presiones asociadas con el cumplimiento de objetivos conforme a sus responsabilidades.
3 La organización evalúa el desempeño de las responsabilidades de control interno en relación a las normas de conducta y eficiencia de su trabajo.
4 La organización promueve y da oportunidad al personal de crecer dentro de la compañía y tener un nivel más alto.
2.
EVALU
ACIÓ
N D
E R
IESG
OS
PRINCIPIO 6. La organización especifica los objetivos con suficiente claridad para permitir la identificación y evaluación de riesgos relacionadas con el logro de los objetivos.
1 La organización cumple con la normatividad necesaria para el logro de sus objetivos enfocados a pronunciamientos contables.
2 La organización determina la naturaleza, el alcance de los procedimientos de evaluación de riesgos para obtener evidencia necesaria de los estados financieros.
3 El gobierno corporativo considera relevante las actividades de la segregación de funciones que se aplica en la organización.
PRINCIPIO 7. La organización identifica los riesgos para el logro de sus objetivos a través de la entidad y analiza los riesgos, para determinar cómo se deben mitigar.
1 El auditor evaluará la indagación, observación e inspección del diseño de controles que utiliza la entidad para validar la información financiera.
2 El análisis financiero y no financiero nos muestra una pauta en el procedimiento de valoración de riesgo.
3 La administración posee y da seguimiento al Manual de políticas y procedimientos por niveles jerárquicos según su función a realizar e importancia.
4 Los riesgos identificados son parte importante para la entidad de los cuales se dará el seguimiento necesario para determinar cómo se deben mitigar dichos riesgos.
5 La administración evaluara los riesgos significativos de cada área operativa y
corregirá cualquier problema de manera oportuna.
PRINCIPIO 8. La organización considera la posibilidad del fraude en la evaluación de riesgos para el logro de los objetivos.
1 La actividad de auditoría interna considera la posibilidad de la existencia de algún tipo de fraude.
2
Los responsables del fraude que pertenecen a la organización son aceptados por la
administración y funcionarios.
122
3 Para cometer fraude se considera la oportunidad y el momento indicado.
4 El valor de irracionalidad o la también llamado actitud de deshonestidad es un factor importante para dejarse llevar por sus impulsos y cometer fraude.
PRINCIPIO 9. La organización identifica y evalúa los cambios que podrían afectar significativamente el sistema de control interno.
1 Se revisan constantemente los cambios que puedan afectar significativamente a la entidad en el entorno externo o a la competencia.
2 Considerar el impacto potencial que implica un sistema de control interno a nivel global, puede producir cambios en el modelo que utiliza la entidad.
3 Se investiga y controla constantemente el cambio que puede producir un nuevo líder u equipo de trabajo para la organización.
3.
ACTIV
IDAD
ES D
E C
ON
TRO
L
PRINCIPIO 10. La organización selecciona y desarrolla actividades de control que contribuyan a mitigar los riesgos para el logro de los objetivos a niveles aceptables.
1 Existen los controles de seguridad adecuados para el acceso a documentos e información de la entidad.
2 Establecimiento de matrices de responsabilidades y autorizaciones para garantizar el correcto flujo de toma de decisiones.
3 Análisis de los indicadores de desempeño (métricas, metas de venta, logro de objetivos) para evaluar el desempeño de los empleados.
PRINCIPIO 11. La organización selecciona y desarrolla actividades de controles generales de tecnología para apoyar el logro de los objetivos.
1 Se valida si los sistemas de información, actuales cuentan con controles que garanticen accesos y perfiles de usuarios de acuerdo a sus actividades.
2 Ingresos a sistemas informáticos, así como registro de acceso a las instalaciones.
3 Monitoreo de metas y objetivos establecidos por la entidad.
4 Verificaciones y conciliaciones para garantizar que el las actividades se cumplan los resultados esperados por la organización.
PRINCIPIO 12. La organización implementa las actividades de control a través de políticas que establecen lo que se espera y los procedimientos para implementar en la práctica las políticas.
1 Evalúa que las actividades se desarrollen considerando los lineamientos actualmente establecidos por la organización (manuales, flujo gramas, procedimientos).
2 Conocimiento de la organización de procedimientos para la actualización de los sistemas de información.
3 Implementación de un procedimiento interno para obtener un servicio en soporte técnico para las tecnologías de información.
4.
SIS
TEM
AS D
E I
NFO
RM
ACIÓ
N Y
CO
MU
NIC
ACIÓ
N PRINCIPIO 13. La organización obtiene o genera y utiliza, información de calidad relevante
para apoyar el funcionamiento del control interno.
1 La administración mantiene comunicación interna para generar la información requerida para alcanzar sus objetivos.
2 La administración establece controles para obtener información externa (condiciones de mercado, competencia, regulaciones legales, cambios económicos, etc.) confiable y oportuna para el desarrollo de sus objetivos.
3 El sistema de información utilizado por la administración, genera reportes confiables, y oportunos de acuerdo a la naturaleza de la entidad.
4 La administración desarrolla sistemas de información adecuados para recopilar,
capturar y procesar información interna o externa.
5 Los sistemas de información producen información que es oportuna, actual, exacta, completa, accesible, protegida, verificable y que se conserva, lo que permite un monitoreo efectivo.
PRINCIPIO 14. La organización comunica internamente la información, incluye los objetivos y las responsabilidades de control interno, para apoyar el funcionamiento del control interno.
1 La alta administración establece medios adecuados para concientizar a todo el personal de sus responsabilidades y actividades que permitan lograr los objetivos de la entidad.
123
2 El personal conoce y ejecuta de manera correcta el Manual de políticas y procedimientos establecidos por la alta administración.
3 Los empleados conocen sus responsabilidades y los objetivos de sus actividades y la forma de cómo contribuir para el logro de los objetivos de toda la entidad.
4 Se mantiene canales de comunicación separados, como líneas de denuncia, y sirven como mecanismos a prueba de fallas que permiten comunicación anónima o confidencial cuando los canales normales son ineficaces o no operativos.
5 La alta administración, está enterada de los acontecimientos que ocurren en toda la entidad, gracias a los reportes efectuados por el personal.
PRINCIPIO 15. La organización mantiene comunicación con las partes externas involucradas con respecto a los asuntos que afectan el funcionamiento de los controles internos.
1 Existen canales de comunicación con partes externas a la entidad, como clientes, proveedores, abogados, etc., para mantener los objetivos de la entidad.
2 Tanto clientes, proveedores, y cualquier persona externa conoce los principios y expectativas de la entidad.
3 La administración es receptiva a quejas o sugerencias que pudieran surgir por parte de sus clientes o proveedores y propone planes de acción.
4 El método de comunicación considera la oportunidad, audiencia y naturaleza de la comunicación y los requerimientos y expectativas legales, regulatorias y fiduciarias.
5.
ACTIV
IAD
ES D
E M
ON
ITO
REO
DE C
ON
TRO
LES
PRINCIPIO 16. La organización selecciona, desarrolla y lleva a cabo evaluaciones en marcha y/o por separado para determinar si los componentes del control interno están presentes y en función.
1 Se realiza una revisión continua por la administración a la entidad.
2 Auditoría interna realiza revisiones operativas y financieras a la empresa.
3 Se realizan evaluaciones continuas y periódicas del control interno de cada área de la empresa.
4
Se realizan inspecciones físicas del activo con el que cuenta la empresa y los resultados se comparan con el sistema de información para verificar su reguardo y registro.
5 Se corrobora información con terceros como clientes, proveedores, organismos públicos, etc.; para detectar errores en las transacciones realizadas con los mismos.
17. La organización evalúa y comunica deficiencias del control interno en forma oportuna a
las partes responsables que toman acciones correctivas, incluye la alta administración y el consejo de administración, según el caso.
1 Las deficiencias son evaluadas objetivamente y se les da su justa dimensión.
2 Las deficiencias son comunicadas a las personas correspondientes.
3 Las deficiencias más significativas son comunicadas a los directivos oportunamente.
4 Se implementan juntas con el personal correspondiente para comunicar las deficiencias y resolverlas lo antes posible.
5 Se toman medidas correctivas de las deficiencias detectadas para crear un nuevo diseño del control interno.