Sistema de Control

en el Sector Público
REV052022

Módulo 3
Control interno bajo el
enfoque COSO
 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Contenido
INTRODUCCIÓN ..................................................................................................................................... 5

OBJETIVOS DEL MÓDULO ....................................................................................................................... 6

1. COSO.................................................................................................................................................. 7

1.1. SURGIMIENTO DE COSO ......................................................................................................................... 7

1.2. MISIÓN DE COSO.................................................................................................................................. 9
1.3. PRINCIPALES PUBLICACIONES DE COSO .................................................................................................... 10

2. DEFINICIÓN DE CONTROL INTERNO BAJO EL ENFOQUE COSO .......................................................... 11

2.1. CONTROL Y CONTROLAR ........................................................................................................................ 12

2.2. CONTROL INTERNO ............................................................................................................................... 11
2.3. CONCEPTOS CLAVE RELACIONADOS CON LAS DEFINICIONES DE CONTROL INTERNO DE COSO ............................... 13
2.3.1. Proceso .................................................................................................................................... 14
2.3.2. Efectuado por personas .......................................................................................................... 14
2.3.3. Adaptable a la estructura de la entidad.................................................................................. 15
2.3.4. Capaz de brindar seguridad razonable ................................................................................... 16
2.3.5. Engranado para el logro de objetivos ..................................................................................... 16

3. COMPONENTES DEL CONTROL INTERNO BAJO EL ENFOQUE COSO .................................................. 19

3.1. ENTORNO DEL CONTROL ........................................................................................................................ 21

3.1.1. Conceptualización de entorno de control................................................................................ 21
3.1.2. Principios relativos al entorno del control ............................................................................... 22
3.2. VALORACIÓN DE RIESGOS ...................................................................................................................... 23
3.2.1. Enfoques para conceptualizar el riesgo .................................................................................. 23
3.2.1.1. Riesgo bajo un enfoque de adversidad ........................................................................................... 24
3.2.1.2. Riesgo bajo un enfoque de bipolaridad ........................................................................................... 24
3.2.2. Eventos, oportunidades y riesgos según COSO ....................................................................... 25
3.2.2.1. Evento ............................................................................................................................................. 25
3.2.2.2. Oportunidad y riesgo ....................................................................................................................... 26
3.2.2.3. Perspectivas para evaluar posibles eventos .................................................................................... 26
3.2.3.4. Monto de riesgo (amount of risk) .................................................................................................... 29
3.2.3.5. Apetito de riesgo (risk appetite) ...................................................................................................... 30
3.2.3.6. Categorías de respuesta al riesgo .................................................................................................... 34
3.2.3.7. Riesgo inherente y riesgo residual .................................................................................................. 35
3.2.3. Evaluación / valoración de riesgos como un proceso.............................................................. 38
3.2.4. Principios relativos con la valoración de riesgos ..................................................................... 39
3.3. ACTIVIDADES DE CONTROL ..................................................................................................................... 40
3.3.1. Conceptualización de las actividades de control ..................................................................... 40
3.3.2. Tipos de actividades de control transaccional ........................................................................ 40
3.3.3. Actividades de control preventivas y detectivas ..................................................................... 41
3.3.4. Principios relativos a las actividades de control ...................................................................... 42
3.4. INFORMACIÓN Y COMUNICACIÓN ............................................................................................................ 43
3.4.1. Conceptualización de información .......................................................................................... 43
3.4.2. Conceptualización de comunicación ....................................................................................... 43
3.4.2.1. Comunicación interna y externa...................................................................................................... 44
3.4.3. Principios relativos con la información y la comunicación ...................................................... 44
3.5. ACTIVIDADES DE MONITOREO ................................................................................................................. 45
3.5.1. Conceptualización de actividades de monitoreo ..................................................................... 45

MAESTRÍA EN GESTIÓN PÚBLICA 2 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas ....................................................... 45

3.5.2. Principios relativos a las actividades de monitoreo ................................................................ 46

CONCLUSIONES .................................................................................................................................... 47

BIBLIOGRAFÍA ...................................................................................................................................... 49

Figuras
Figura 1. James Treadway Jr. (a la derecha) en una foto de 1984 ............................................................... 8
Figura 2. Esquematización gráfica de la misión de COSO ............................................................................. 9
Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013. ...................... 14
Figura 4. Grupos de personas en la organización (esquematización basada en COSO [2013]). ................ 15
Figura 5. Categorías de objetivos de control interno basadas en el ICIF 1992 ........................................... 16
Figura 6. Categorías de objetivos de control interno basadas en el ICIF 2013. .......................................... 18
Figura 7. Componentes del control interno en ICIF 1992 ........................................................................... 21
Figura 8. Relación entre objetivos, componentes y la entidad .................................................................. 21
Figura 9. Entorno del control ...................................................................................................................... 22
Figura 10. Enfoques para conceptualizar el riesgo ..................................................................................... 23
Figura 11. Esquematización del concepto de evento basado en el ERMIF 2004. ...................................... 25
Figura 12. Contraste entre los conceptos de oportunidad y riesgo ........................................................... 26
Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas. El
mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables. .................................................................................................................................................... 28
Figura 14. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un evento
y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. El mapa
ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas variables: 28
Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres valores
hipotéticos discretos y cualitativos. ........................................................................................................... 29
Figura 16. Curva de apetito de riesgo que pasa por los puntos P, Q y R, cuando las variables verosimilitud
y adversidad son numéricas continuas....................................................................................................... 31
Figura 17. Curva de apetito de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un evento
y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento. ............ 32
Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de verosimilitud
y adversidad. .............................................................................................................................................. 33
Figura 19. Categorías de respuesta al riesgo según el ICIF 2013. ............................................................... 34
Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual. ........... 35
Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas ............................................................................................................................ 37
Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las variables
verosimilitud y adversidad son continuas. ................................................................................................. 37
Figura 23. Valoración de riesgos ................................................................................................................. 38
Figura 24. Actividades de control ............................................................................................................... 40
Figura 25. Controles detectivo y preventivo basados en el ICIF 2013 ........................................................ 42
Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013) .. 43
Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización basada
en el ICIF 2013) ........................................................................................................................................... 43
Figura 28. Tipología de comunicaciones (basada en ICIF 2013). ................................................................ 44
Figura 29. Actividades de monitoreo ......................................................................................................... 45
Figura 30. Formas de monitorear basada en ICIF-COSO (2013) ................................................................. 46

MAESTRÍA EN GESTIÓN PÚBLICA 3 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Tablas
Tabla 1. Componentes del control interno en las dos versiones del ICIF ................................................... 19
Tabla 2. Descripción de componentes del control interno basada en el ICIF 2013.................................... 20
Tabla 3. Algunos tipos de actividades de control transaccional señalados en el ICIF 2013 ....................... 41

MAESTRÍA EN GESTIÓN PÚBLICA 4 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Introducción
En este curso, el término enfoque COSO de control interno o control interno bajo
el enfoque COSO (abreviadamente, enfoque COSO) designa al abordaje que en
diversos estudios y publicaciones patrocinados por el denominado Committee of
Sponsoring Organizations of the Treadway Commission (Comité de
Organizaciones Patrocinantes de la Comisión Treadway, conocido como COSO,
por sus siglas en inglés), se da a un tipo de proceso de control de la gestión
organizacional que en dichas publicaciones ha sido etiquetado como control
interno.

En este capítulo, basado en la exposición de Aliaga Calderón (2017, págs. 71-

104), se pone en contexto el surgimiento de COSO. Se analiza, además, bajo el
enfoque COSO, el concepto de control interno. Por último, se desarrollan los cinco
componentes de control interno bajo el mismo enfoque: entorno del control,
evaluación de riesgos, actividades de control, información y comunicación y
actividades de monitoreo.

MAESTRÍA EN GESTIÓN PÚBLICA 5 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Objetivos del módulo

Describir el contexto en el cual surge

COSO, reconocer su misión e
identificar sus principales
publicaciones.

Bajo el enfoque COSO, definir control

interno.

Bajo el enfoque COSO, identificar los

componentes del control interno.

MAESTRÍA EN GESTIÓN PÚBLICA 6 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

1. COSO
Una de las instituciones más influyentes en una temática que ha sido denominada
convencionalmente como control interno es el Committee of Sponsoring
Organizations of the Treadway Commission (Comité de Organizaciones
Patrocinantes de la Comisión Treadway), conocido internacionalmente como
COSO, por su sigla en inglés. En esta sección, se aborda el surgimiento de COSO
y su misión, así como algunas de las principales publicaciones que ha
patrocinado.

1.1. Surgimiento de COSO

En junio de 1985 se estableció en Estados Unidos la National Commission on

Fraudulent Financial Reporting (Comisión Nacional sobre Reporteo Financiero
Fraudulento), una iniciativa independiente. Desde octubre de 1985 hasta
septiembre de 1987, dicha Comisión estudió el sistema de reporteo financiero en
los Estados Unidos. Su misión era identificar (National Commission on Fraudulent
Financial Reporting, 1987, p. 1) lo siguiente:

 Los factores causales que pueden conllevar al reporteo financiero

fraudulento.

MAESTRÍA EN GESTIÓN PÚBLICA 7 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 Los pasos para reducir su incidencia.

Dicha comisión tuvo como primer chairman al abogado James C. Treadway Jr.
De ello deriva que fuera conocida como la Treadway Commission. Treadway Jr.
era General Counsel de Pain Weber Inc. y anteriormente fue miembro de la U. S.
Securities and Exchange Commission.

Figura 1. James Treadway Jr. (a la derecha) en una foto de 1984 1

La referida Comisión fue patrocinada y financiada conjuntamente por cinco

instituciones (National Commission on Fraudulent Financial Reporting, 1987, p.
1):

 American Institute of Certified Public Accountants (AICPA).

 American Accounting Association (AAA).
 Financial Executives Institute (FEI).
 Institute of Internal Auditors (IIA).

1 Foto recuperada el 1 de abril de 2013, de

http://www.sechistorical.org/collection/photos/full/1984_0101_sec_4.jpg

MAESTRÍA EN GESTIÓN PÚBLICA 8 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 National Association of Accountants (NAA), que actualmente es The

Association for Accountants and Financial Professionals in Business (IMA).

La iniciativa formada por las cinco instituciones del sector privado patrocinadoras
de la citada comisión fue denominada Committee of Sponsoring Organizations of
the Treadway Commission (Comité de Organizaciones Patrocinantes de la
Comisión Treadway). Es referida usualmente mediante sus siglas en inglés:
COSO.

1.2. Misión de COSO

La misión de COSO está formulada en los siguientes términos:

«The Committee of Sponsoring «La misión del Comité de

Organizations’ (COSO) mission is to Organizaciones Patrocinadoras (COSO)
provide thought leadership through the es brindar liderazgo de ideas a través
development of comprehensive del desarrollo de marcos comprensivos
frameworks and guidance on enterprise y orientación en manejo de riesgos
risk management, internal control and empresariales, control interno y
fraud deterrence designed to improve disuasión de fraude, diseñados para
organizational performance and mejorar [la] performance y [la]
governance and to reduce the extent of gobernanza organizacional y reducir la
fraud in organizations» (COSO, 2011b) extensión de[l] fraude en [las]
organizaciones».

Figura 2. Esquematización gráfica de la misión de COSO

Manejo de riesgos
Marcos empresariales
BRINDAR exhaustivos
a través del sobre
THOUGHT desarrollo de
Control interno
LEADERSHIP
Orientación Disuasión de
fraudes

diseñados para

Mejorar Reducir

Performance Extensión de fraude

Gobernanza
organizacional en las organizaciones

MAESTRÍA EN GESTIÓN PÚBLICA 9 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

1.3. Principales publicaciones de COSO

Entre las principales publicaciones de COSO se encuentran:

 Report of the National Commission on Fraudulent Financial Reporting,

publicado en 1987.
 Internal Control-Integrated Framework (ICIF), versión de 1992,
desarrollado por Coopers & Lybrand2.
 Enterprise Risk Management-Integrated Framework (ERMIF), versión de
septiembre de 2004, desarrollado por Pricewaterhouse Coopers LLP.
 Risk Assessment in Practice, versión de 2012, desarrollado por Patchin
Curtis y Mark Carey.
 Internal Control-Integrated Framework (ICIF), versión de mayo de 2013,
desarrollado por PwC3.
 Enterprise Risk Management-Integrated Framework: Integrating with
Strategy and Performance (ERMIF), versión de junio de 2017, desarrollado
por Pricewaterhouse Coopers LLP.

El presente módulo aborda el concepto de control interno y sus componentes

tomando como referencias principales las versiones de 1992 y de 2013 del ICIF.

2 COOPERS & LYBRAND fue la denominación de una firma establecida en 1957, resultante de la fusión realizada
de COOPER BROTHERS & CO (Reino Unido), MCDONALD, CURRIE AND CO (Canadá) and LYBRAND, ROSS BROS &
MONTGOMERY (Estados Unidos de América) (PwC, 2013).
3 PRICEWATERHOUSECOOPERS fue la denominación de la firma establecida en 1998 resultante de la fusión a

escala global de PRICE WATERHOUSE y COOPERS & LYBRAND. En el año 2010, PRICEWATERHOUSECOOPERS adoptó
formalmente el nombre comercial PwC, aunque la denominación PRICEWATERHOUSECOOPERS se mantiene como
nombre completo de la organización a nivel global para fines legales (PwC, 2013).

MAESTRÍA EN GESTIÓN PÚBLICA 10 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

2. Definición de control interno bajo el

enfoque COSO
2.1. Control interno

Bajo el enfoque COSO, el control interno está conceptualizado como un proceso.

En efecto, las versiones de los años 1992 y 2013 del ICIF definen control interno
en un sentido procesal, tal como se indica a continuación:

MAESTRÍA EN GESTIÓN PÚBLICA 11 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

COSO (1992, p. 13)

«Internal control is a process, «[El] control interno es un proceso,

effected by an entity’s board of efectuado por [el] consejo de directores,
directors, management, and other [la] gerencia y otro personal, diseñado
personnel, designed to provide para proveer seguridad razonable
reasonable assurance regarding the respecto al logro de objetivos de las
achievement of objectives in the siguientes categorías
following categories:
• Efectividad y eficiencia de
• Effectiveness and efficiency of operaciones.
operations.
• Fiabilidad de[l] reporting financiero.
• Reliability of financial reporting.
• Cumplimiento de leyes y regulaciones
• Compliance with applicable laws aplicables.»
and regulations.»

COSO (2013, p. 1)

«Internal control is a process, «El control interno es un proceso llevado

effected by an entity’s board of a cabo por el consejo de administración,
directors, management, and other la dirección y el resto del personal,
personnel, designed to provide diseñado con el objeto de proporcionar
reasonable assurance regarding the un grado de seguridad razonable en
achievement of objectives relating cuanto a la consecución de objetivos
to operations, reporting, and relacionados con las operaciones, la
compliance.» información y el cumplimiento.»4

En el marco del ICIF 2013, se considera que el control interno tiene los siguientes
cinco componentes:

 control environment (entorno del control),

 risk assessment (evaluación de riesgos),
 control activities (actividades de control),
 information and comunication (información y comunicación) y
 monitoring activities (actividades de monitoreo).

4 Traducción del Instituto de Auditores Internos (IAI) de España. Una traducción alternativa, más literal,
sería la siguiente: «[El] control interno es un proceso, efectuado por [el] consejo de directores, [la] gerencia
y otro [o el resto del] personal, diseñado para brindar seguridad razonable respecto al logro de objetivos
relativos a operaciones, reporteo (producción de reportes) y cumplimiento.»

MAESTRÍA EN GESTIÓN PÚBLICA 12 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

El ICIF 2013 establece la existencia de diversos principios que representan los

conceptos fundamentales asociados a cada componente. El total de dichos
principios asciende a 17. Un tratamiento más detallado de estos componentes y
el listado de los 17 principios son desarrollados más adelante en el presente
capítulo.

2.2. Control y controlar

Bajo el enfoque COSO y en el marco del ICIF 2013, dentro de cada componente
de control interno existen controles. El sustantivo control hace referencia a una
política o procedimiento que es parte del control interno mientras que el verbo
controlar hace referencia a establecer o implementar una política o procedimiento
que lleva a efecto un principio. En efecto, en la referida publicación se incluye la
siguiente definición:

“Control (1) A noun (i.e., existence of a control), a policy or procedure that is part of internal
control. Controls exist within each of the five components. (2) A verb (i.e., to control), to
establish or implement a policy or procedure that effects a principle.” (COSO, 2013)

Política Que forma

parte del
Control control
Procedimiento interno

enunciado
Según el ICIF 2013, una política es un enunciado de un miembro de la gerencia
o del consejo respecto a qué se debería hacer para llevar a efecto el control
acción una política.
interno. Un procedimiento es una acción que implementa

2.3. Conceptos clave relacionados con la definición de control

interno de COSO

Cuatro conceptos clave implícitamente señalados en las definiciones de control

interno, anteriormente citadas, son proceso, personal, aseguramiento razonable,
objetivos. Otro concepto clave es el de adaptabilidad, el cual, aunque no es
señalado explícitamente en las definiciones citadas, sí está vinculado
implícitamente con tales definiciones. En efecto, según COSO (2013, p. 3), el
control interno es

MAESTRÍA EN GESTIÓN PÚBLICA 13 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 un proceso,
 efectuado por personas,
 adaptable a la estructura de la entidad,
 capaz de brindar seguridad razonable,
 engranado para el logro de objetivos.

Figura 3. Conceptos clave asociados a la definición de control interno según el ICIF 2013.

Efectuado
por Personal

Adaptable a la
Proceso estructura de
la entidad

Para Aseguramiento respecto a

lograr Objetivos
razonable

2.3.1. Proceso

Según COSO (2013, p. 3), el control interno no es un evento o circunstancia

única. Es un proceso dinámico e iterativo. Consiste en tareas y actividades en
marcha. Es un medio para un fin, y no un fin en sí mismo.

Según COSO (2013, pp. 3, 145), incorporado dentro de este proceso están los
controles. Como se mencionó, un control es aquello que es parte del control
interno sea como:

 una política (policy), es decir, un enunciado de un miembro de la gerencia o

del consejo respecto a qué se debería hacer para llevar a efecto el control
interno; o

 un procedimiento (procedure), es decir, una acción que implementa una

política.

2.3.2. Efectuado por personas

Según COSO (2013, p. 1), el control interno no es no es meramente acerca de

manuales de política y de procedimientos, sistemas y formularios, sino acerca de

MAESTRÍA EN GESTIÓN PÚBLICA 14 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

personas y de las acciones que toman a todo nivel de una organización para
efectuar el control interno.

Las personas que efectúan el control interno son

 El consejo de directores (board of directors5), cuyas responsabilidades

incluyen brindar consejo y dirección a la gerencia, desafiar
constructivamente a la gerencia, aprobar políticas y transacciones y
monitorear las actividades de la gerencia,
 la gerencia (management6), que juntamente con el consejo de directores
marcan la pauta para la organización respecto a la importancia del control
interno y los estándares esperados de conducta en la entidad y
 el resto del personal (other personnel).

Figura 4. Grupos de personas en la organización (esquematización basada en COSO [2013]).

Consejo de Board of Consejo de

directores directors Administración (*)

PERSONAS DE LA
Gerencia Management Dirección (*)
ORGANIZACIÓN

Resto del Other Resto del

personal personnel personal (*)

(*) Los términos en inglés son los que aparecen en la versión original del ICIF 2013. Los términos señalados con
asterisco corresponden a la traducción efectuada por el IAI de España. Los términos consignados en los recuadros
amarillos corresponden a una traducción más literal.

2.3.3. Adaptable a la estructura de la entidad

El ICIF 2013 considera que el control interno es flexible en aplicación (COSO,

2013, p. 1) para la entidad entera o para una subsidiaria, división, unidad
operativa o proceso de negocio particular.

5 El IAI de España traduce board of directors como consejo de administración.

6 El IAI de España traduce managemente como dirección.

MAESTRÍA EN GESTIÓN PÚBLICA 15 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

2.3.4. Capaz de brindar seguridad razonable

El ICIF 2013 considera que el control interno es capaz de brindar seguridad

razonable, pero no absoluta a la alta gerencia y al consejo de directores de la
entidad respecto al logro de determinados objetivos (COSO, 2013, pp. 1, 4). La
expresión seguridad razonable, en vez de seguridad absoluta, reconoce que
existen limitaciones en todos los sistemas de control interno, y que pueden existir
incertidumbres y riesgos que nadie puede confiablemente predecir con precisión
(COSO, 2013, p. 4).

2.3.5. Engranado para el logro de objetivos

El tema de los objetivos de control interno es un punto relevante en las dos

versiones del ICIF. Ambas puntualizan tres categorías de objetivos de control
interno distintos, pero traslapados. En la versión 1992, estas categorías son:

 Operaciones. Relacionado con el uso efectivo y eficiente de los recursos

de la entidad.
 Reporting financiero. Relacionado con la preparación de confiables
estados financieros publicados.
 Cumplimiento. Relacionado con el cumplimiento por parte de la entidad
de leyes y regulaciones que le sean aplicables.

Estos objetivos pueden vincularse respectivamente con resultados evaluados en

tres dimensiones, las cuales por razones didácticas pueden ser designadas
(empleando una terminología alternativa a la de COSO) como desempeño,
transparencia financiera y juridicidad. La relación entre los objetivos citados y las
dimensiones mencionadas están representadas en la figura siguiente.

Figura 5. Categorías de objetivos de control interno basadas en el ICIF 1992.

Relacionados Efectivo
con el uso de
Operaciones recursos Desempeño
Eficiente

CATEGORÍAS DE
Relacionado Estados
OBJETIVOS DEL Reporting con la Transparencia
preparación de financieros
CONTROL INTERNO financiero confiables
financiera
SEGÚN ICIF 1992
Relacionados Leyes
con el
Cumplimiento cumplimiento Juridicidad
de
Regulaciones

MAESTRÍA EN GESTIÓN PÚBLICA 16 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

La versión 2013 también establece tres categorías de objetivos del control interno
distintas pero traslapadas. Ello queda reflejado en la cita siguiente:

«The Framework sets forth three «El Marco establece tres categorías
categories of objectives, which de objetivos, que permiten a las
allow organizations to focus on organizaciones centrarse en
separate aspects of internal control: diferentes aspectos del control
interno:
• Operations Objectives. These
pertain to effectiveness and • Objetivos operativos-Hacen
efficiency of the entity’s referencia a la efectividad y la
operations, including operational eficiencia de las operaciones de la
and financial performance goals, entidad, incluidos sus objetivos de
and safeguarding assets against rendimiento financiero y
loss. operacional y la protección de sus
activos frente a posibles pérdidas
• Reporting Objectives. These
pertain to internal and external • Objetivos de información-Hacen
financial and non-financial referencia a la información
reporting and may encompass financiera y no financiera interna y
reliability, timeliness, externa y pueden abarcar
transparency, or other terms as aspectos de confiabilidad,
set forth by regulators, standard oportunidad, transparencia u
setters, or the entity’s policies. otros conceptos establecidos por
los reguladores, organismos
• Compliance Objectives. These reconocidos o políticas de la
pertain to adherence to laws and propia entidad.
regulations to which the entity is
subject» (COSO, 2013, p. 2). • Objetivos de cumplimiento-Hacen
referencia al cumplimiento de las
leyes y regulaciones a las que está
sujeta la entidad.7

7 Traducción según el IAI de España. Una traducción más literal sería la siguiente:
«El Marco establece tres categorías de objetivos, que permiten a [las] organizaciones enfocarse en aspectos separados de control interno:

• Objetivos de operaciones. Estos se refieren a [la] efectividad y [la] eficiencia de [las] operaciones de la entidad, incluyendo metas de
desempeño operacional y financiero y [la] salvaguarda de activos contra pérdidas

• Objetivos de reporting. Estos se refieren al reporting financiero y no financiero interno y externo y pueden abarcar confiabilidad,
oportunidad, transparencia u otros términos estipulados por reguladores, fijadores de estándares u las políticas de la entidad.

• Objetivos de cumplimiento / conformidad. Estos se refieren a la adherencia a leyes y regulaciones a la cual la entidad está sujeta.»

Téngase presente que reporting hace referencia a producción o emisión de informes o reportes.

MAESTRÍA EN GESTIÓN PÚBLICA 17 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 6. Categorías de objetivos de control interno basadas en el ICIF 2013.

Efectividad y
Objetivos de eficiencia
Pertinentes a
Incluido
operaciones
Salvaguarda de
activos

Financiero
CATEGORÍAS DE
Objetivos de No financiero
OBJETIVOS DEL Pertinentes a
información reporting
CONTROL INTERNO Interno
(reporting)
SEGÚN ICIF 2013
Externo

Leyes
Objetivos de Pertinentes a
adherencia a
cumplimiento Regulaciones

De la cita anterior, se aprecia que existe una importante diferencia cualitativa en

la segunda categoría de objetivos. Mientras que en la versión 1992 está referido
al reporting financiero en particular, en la versión 2013 está referido al reporting
en general, sea financiero o no, y tanto al interno como al externo.

MAESTRÍA EN GESTIÓN PÚBLICA 18 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3. Componentes del control interno

bajo el enfoque COSO
Las dos versiones del ICIF consideran que el control interno tiene cinco
componentes. En ambas versiones, los nombres de los componentes coinciden,
salvo en el quinto, tal como se indica en la siguiente tabla.

Tabla 1. Componentes del control interno en las dos versiones del ICIF

Nombre de componente
N°
En ICIF 1992 En ICIF 2013
1 Control environment Control environment
2 Risk assessment Risk assessment
3 Control activities Control activities
4 Information and Information and
communication communication
5 Monitoring Monitoring activities

La siguiente tabla presenta una breve descripción de los cinco componentes de

control interno basada en la versión 2013 del ICIF. Cabe indicar que una novedad

MAESTRÍA EN GESTIÓN PÚBLICA 19 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

en esta versión es la asociación explícita de cada componente con dos o más

principios, sumando en total 17 principios.

Tabla 2. Descripción de componentes del control interno basada en el ICIF 2013

Nombre de Traducción Traducción N° de

Detalle
componente aproximada oficial (*) principios
Es el conjunto de estándares,
Entorno del procesos y estructuras que
Control control / Entorno de brindan la base para llevar a
5
environment Ambiente de control cabo control interno a través de
control la organización (COSO, 2013, p.
12).
Involucra un proceso dinámico e
iterativo para identificar y
analizar riesgos para el logro de
Determinación
Risk Evaluación los objetivos de la entidad,
/ valoración 4
assessment de riesgos formando una base para
de riesgos
determinar cómo deberían
manejarse los riesgos (COSO,
2013, p. 13).
Son las acciones establecidas
por políticas y procedimientos
para ayudar a asegurar que las
Control Actividades de Actividades
directivas de la gerencia para 3
activities control de control
mitigar riesgos para el logro de
objetivos sean llevadas a cabo
(COSO, 2013, p. 13).
Información es la data que está
combinada y sumarizada con
base en relevancia para los
requerimientos de información,
los cuales son determinados por
el funcionamiento de otros
Information Información componentes de control interno
Información y
and y tomando en consideración las 3
comunicación
communication comunicación expectativas de todos los
usuarios, tanto internos como
externos (COSO, 2013, p. 106).
Comunicación es el proceso
continuo e iterativo de proveer,
compartir y obtener información
necesaria (COSO, 2013, p. 105).
Determinan si cada uno de los
Actividades cinco componentes de control
Monitoring Actividades de
de interno y principios relevantes 2
activities monitoreo
supervisión está presente y funcionando
(COSO, 2013, p. 124).
(*) Según el Instituto de Auditores Internos de España.

MAESTRÍA EN GESTIÓN PÚBLICA 20 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 7. Componentes del control interno en ICIF 1992

MONI TOREO

&
N
N

IÓ
CIÓ
ACTIV D E OL

AC
ID

N
&
ADES R

ICA
NT

RM
COMUNICACIÓ
INFORMACIÓN
C O

UN

FO
IN
M
CO
S
VALO GO
RACIÓ IES
N D ER

OL
NTR
ENT O
ORN LC
O DE

Gráfico adaptado de COSO (1992, p. 17).

Figura 8. Relación entre objetivos, componentes y la entidad

s ad
ne o id
cio rte rm
r a po fo
Op
e Re on
C
Unidad Operativa
Función

Entorno del control

Nivel de Entidad

Valoración de riesgos
División

Actividades de control

Información y comunicación

Actividades de monitoreo

Gráfico adaptado de COSO (2013, p. 5).

3.1. Entorno del control

3.1.1. Conceptualización de entorno de control

De acuerdo con COSO (2013, pp. 12, 31):

 El entorno del control es el conjunto de estándares, procesos y estructuras

que proveen la base para llevar a cabo [el] control interno a través de la
organización.

MAESTRÍA EN GESTIÓN PÚBLICA 21 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 El consejo directivo y la alta gerencia marcan desde el alto nivel la pauta

acerca de la importancia del control interno, incluidos los estándares
esperados de conducta.

Figura 9. Entorno del control

El control interno a través de la organización

para llevar a cabo

Proveen la base
CONJUNTO DE

Estándares Procesos Estructuras

Esquematización basada en COSO (2013, pp. 12, 31)

De acuerdo con COSO (2013, p. 31), el entorno del control comprende:

 La integridad y valores éticos de la organización.

 Los parámetros que permiten al consejo de directores llevar a cabo sus
responsabilidades de supervisión.
 La estructura organizacional y la asignación de autoridad y
responsabilidad.
 El proceso para atraer, desarrollar y retener individuos competentes.
 El rigor alrededor de las medidas de performance, incentivos y premios
para conducir la accountability para [la] performance.

3.1.2. Principios relativos al entorno del control

COSO (2013, p. 31) señala cinco principios relativos con este componente. A
continuación, citamos a dichos principios, así como su traducción aproximada:

«1. The organization 1. La organización demuestra un

demonstrates a commitment to compromiso con [la] integridad y
integrity and ethical values. [los] valores éticos.

2. The board of directors 2. El consejo de directores

demonstrates independence demuestra independencia de[l]

MAESTRÍA EN GESTIÓN PÚBLICA 22 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

from management and exercises management y ejerce

oversight of the development supervisión del desarrollo y [la]
and performance of internal performance de[l] control
control. interno.

3. Management establishes, with 3. [La] gerencia establece, con

board oversight, structures, supervisión de[l] consejo [de
reporting lines, and appropriate directores], líneas de reporte (*)
authorities and responsibilities in y autoridades y
the pursuit of objectives. responsabilidades apropiadas en
la persecución de objetivos.
4. The organization demonstrates a
commitment to attract, develop, 4. La organización demuestra un
and retain competent individuals compromiso para atraer,
in alignment with objectives. desarrollar y retener individuos
competentes en alineación a los
5. The organization holds objetivos.
individuals accountable for their
internal control responsibilities in 5. La organización atribuye a [los]
the pursuit objectives». individuos la rentabilidad de
cuentas por sus
responsabilidades [de] control
interno en la persecución de
objetivos.

(*) Líneas de reporte, traducción de reporting lines, puede ser interpretado

como línea de mando, cadena de mando, línea jerárquica o vía jerárquica.

3.2. Valoración de riesgos

3.2.1. Enfoques para conceptualizar el riesgo

El concepto de riesgo tiene diferentes definiciones en la bibliografía especializada.

Dos enfoques conceptuales referenciales para definir dicho concepto en relación
con el efecto que la materialización del riesgo causaría en una persona
determinada son el de adversidad y el de bipolaridad.

Figura 10. Enfoques para conceptualizar el riesgo

De adversidad
ENFOQUES PARA
CONCEPTUALIZAR
EL RIESGO
De bipolaridad

MAESTRÍA EN GESTIÓN PÚBLICA 23 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.1.1. Riesgo bajo un enfoque de adversidad

Bajo un enfoque de adversidad, para una persona P en particular, un curso de

acción c es un riesgo si se cumple las tres condiciones siguientes:

 C no está bajo el dominio de P.

 P no conoce si c se dará.
 de darse c, ello conllevaría a un efecto adverso para P.

Bajo este enfoque, el riesgo es subjetivo en el sentido de que un curso de acción

podría ser considerado una situación de riesgo por una persona, y como una
situación fuera de riesgo para otra. Por ejemplo, si en un país determinado la
subida futura del tipo de cambio se considera posible, pero no se sabe si se
producirá o no, dicho curso de acción significaría un riesgo para un arrendatario
que paga alquiler en moneda extranjera pero no para el arrendador que, en vez
de riesgo, podría verlo como una oportunidad.

3.2.1.2. Riesgo bajo un enfoque de bipolaridad

Sea una variable x y una persona P. Pueden presentarse los siguientes casos:

(a) P no decide directamente el valor de x (es decir, dicha x no es una variable

de elección para dicha persona).
(b) P no conoce el valor de x.
(c) P conoce la distribución de probabilidades de valores de x.

Bajo un enfoque de bipolaridad, P está en sentido amplio en una situación de

riesgo o incertidumbre respecto a x cuando ocurre conjuntamente (a) y (b). Si
ocurre (a) y (b), se tiene que:

 Si ocurre (c), P estará en una situación de riesgo puro respecto a x.

 Si no ocurre (c), P estará en una situación de incertidumbre pura respecto
a x.

Con este enfoque, de manera similar al anterior, el riesgo (en términos amplios
o en términos puros) es subjetivo. En efecto, respecto a una variable
determinada, una persona A puede estar en situación de riesgo y, al mismo
tiempo, una persona B estar fuera de una situación de riesgo. Analícese, por
ejemplo, el caso de una operación crediticia en la cual el acreedor puede
determinar y modificar mensualmente la tasa efectiva anual i de interés flotante
aplicable. En este caso, si el deudor ha podido establecer y conocer la distribución

MAESTRÍA EN GESTIÓN PÚBLICA 24 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

de probabilidad de valores de i para los próximos 12 meses, se tiene que para

dicho período,

 El deudor está en una situación de riesgo,

 al mismo tiempo, el acreedor está fuera de riesgo, ya que él puede
determinar el valor de i.

A este enfoque se le denomina de bipolaridad porque, tanto en el caso de que x

llegue a asumir un valor que genere un efecto adverso para P como en el caso
de que llegue a asumir un valor que genere un efecto favorable para la misma
persona, se considerará que P está en riesgo o incertidumbre respecto a x en la
medida en que se cumpla las condiciones (a) y (b) citadas.

3.2.2. Eventos, oportunidades y riesgos según COSO

En el ERMIF 2004 y el ICIF 2003, oportunidad y riesgo pueden verse como

situaciones contrapuestas que se presentan ante un evento determinado. Estos
tres conceptos (evento, oportunidad y riesgo) son abordados a continuación.

3.2.2.1. Evento

Según el ERMIF 2004 (COSO, 2004, p. 16),

 Un evento es un incidente u ocurrencia [procedente] de fuentes internas

o externas que afectan el logro de objetivos;
 Los eventos pueden tener impacto negativo, impacto positivo o ambos.

Figura 11. Esquematización del concepto de evento basado en el ERMIF 2004.

EVENTO
De fuentes
Internas
Incidente o
Externas
u
Que afectan
Ocurrencia
Logro de
objetivos

MAESTRÍA EN GESTIÓN PÚBLICA 25 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.2.2. Oportunidad y riesgo

Según el ERMIF (2004) y el ICIF (2013),

 Oportunidad es la posibilidad de que un evento ocurra y positivamente

afecte el logro de objetivos (COSO, 2004, p. 16 y 2013, p. 60); en otras
palabras, es la posibilidad de ocurrencia de un evento con impacto
positivo;
 Riesgo es la posibilidad de que un evento ocurra y adversamente afecte el
logro de objetivos (COSO, 2004, p. 16 y 2013, p. 59); en otras palabras,
es la posibilidad de ocurrencia de un evento con impacto negativo.

Figura 12. Contraste entre los conceptos de oportunidad y riesgo

… con impacto
Oportunidad
positivo
Posibilidad de
ocurrencia de
un evento ...
… con impacto
Riesgo
negativo

Para la conceptualización del riesgo, COSO adopta elementos de un enfoque de

adversidad (en este caso, vinculado con objetivos). Sin embargo, ello no implica
que los riesgos (así como las oportunidades) así conceptualizados no puedan ser
sujetos a estudios probabilísticos.

3.2.2.3. Perspectivas para evaluar posibles eventos

Según el ERMIF 2004, la incertidumbre de eventos potenciales es evaluada desde

dos perspectivas denominadas con los términos likelihood e impact, que pueden
ser traducidas como verosimilitud e impacto. Al respecto, COSO (2004, p. 50)
señala:

 Likelihood (verosimilitud) representa la posibilidad de que un evento dado

ocurra.
 Impact (impacto) representa su efecto.

De manera complementaria a lo señalado por COSO, se puede mencionar lo

siguiente:

MAESTRÍA EN GESTIÓN PÚBLICA 26 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 La variable verosimilitud hace referencia a un indicador de cuán verosímil

es el hecho de que el evento se materialice. Como indicador de
verosimilitud se puede usar:

 La probabilidad de que el evento se materialice, probabilidad

entendida en el sentido de las definiciones convencionales dadas en
Estadística Matemática, por lo cual sus posibles valores están
restringidos a números reales entre cero y uno;
 otra variable relacionada con la posibilidad de ocurrencia de un
evento con impacto adverso, pero que no calce con las referidas
definiciones de probabilidad; por ejemplo, en un caso particular se
puede decir que la verosimilitud es, usando valores cualitativos,
baja, media o alta; o, usando valores numéricos, 1, 2 o 3.

 El impacto directamente asociado a un riesgo (en el sentido definido por

COSO) es de naturaleza adversa para el cumplimiento de objetivos. Por lo
tanto, se podría señalar que, en el caso particular de los riesgos, ellos
pueden ser evaluados bajo las dos perspectivas siguientes: verosimilitud y
adversidad.
 La verosimilitud y la adversidad pueden ser vistas como dos atributos
básicos del riesgo, los cuales pueden ser representados en lo que se
denomina mapa de riesgos.

Ejemplos de mapas de riesgo se ilustran en:

 La figura 13, correspondiente a un caso en el cual ambos atributos son

variables numéricas continuas y algunos valores hipotéticos de ambas
variables son representados mediante puntos;
 La figura 14, correspondiente a un caso en el cual el atributo verosimilitud
se refiere a la probabilidad de ocurrencia de un evento (probabilidad
entendida en el sentido dado en Estadística Inferencial) y la adversidad se
refiere a un importe de pérdida que se generaría en el caso de ocurrencia
del mismo evento.

MAESTRÍA EN GESTIÓN PÚBLICA 27 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 13. Mapa de riesgos cuando las variables verosimilitud y adversidad son numéricas continuas.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables.

P = (1;4)

4
Adversidad
3
Q = (2;2)
2

R = (4;1)
1

1 2 3 4
Verosimilitud

Figura 14. Mapa de riesgos cuando la variable verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento.
El mapa ilustra mediante puntos tres de las infinitas combinaciones hipotéticas de valores de ambas
variables:
$100 $200 $300 $400

U = (0,2;$400)
Adversidad = Pérdida

V = (0,4;$200)

W = (0,8;$100)

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

Si los dos atributos básicos indicados son variables discretas con dominio finito,
se puede usar de manera alternativa o complementaria a un mapa de riesgo
similar al ilustrado en las dos figuras precedentes, un gráfico denominado matriz
de riesgo, tal como el ilustrado en la figura 15.

MAESTRÍA EN GESTIÓN PÚBLICA 28 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 15. Mapa de riesgos cuando las variables verosimilitud y adversidad tienen cada una tres
valores hipotéticos discretos y cualitativos.

En este caso, el mapa adopta una forma matricial que ilustra las nueve posibles combinaciones
hipotéticas de valores de ambas variables:

Reducida (R) Mediana (M) Elevada (E)

(R;E) (M;E) (E;E)
Adversidad

(R;M) (M;M) (E;M)

(R;R) (M;R) (E;R)

Reducida (R) Mediana (M) Elevada (E)

Verosimilitud

3.2.3.4. Monto de riesgo (amount of risk)

El ERMIF 2004 y el ICIF 2013 emplean la expresión amount of risk, traducible

como monto del riesgo, sin definirla expresamente. No obstante, para propósitos
prácticos y didácticos, el monto del riesgo (𝑀𝑅) para un evento puede ser
conceptualizado matemáticamente como el producto de la verosimilitud (𝑉) de
dicho evento y la adversidad (𝐴) que generaría su ocurrencia; es decir,

𝑀𝑅(𝐸𝑣𝑒𝑛𝑡𝑜) = 𝑉(𝐸𝑣𝑒𝑛𝑡𝑜) × 𝐴(𝐸𝑣𝑒𝑛𝑡𝑜)

Dónde:

 𝑀𝑅(𝐸𝑣𝑒𝑛𝑡𝑜) es el monto de riesgo del evento en estudio.

 𝑉(𝐸𝑣𝑒𝑛𝑡𝑜) es la verosimilitud del mismo evento.
 𝐴(𝐸𝑣𝑒𝑛𝑡𝑜) es la adversidad que tendría para el logro de objetivos, el hecho
de que ocurra el evento en mención.

MAESTRÍA EN GESTIÓN PÚBLICA 29 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Ejemplo 1. Monto de riesgo

Para el caso de la figura 13, el monto hipotético de riesgo correspondiente a cualquiera

de los tres puntos ilustrados P, Q y R es

1×4=2×2=4×1=4

Para el caso de la figura 14, el monto hipotético del riesgo correspondiente a cualquiera
de los tres puntos ilustrados U, V y W es

0.2 × $ 400 = 0.4 × $ 200 = 0,8 × $ 100 = $ 80

3.2.3.5. Apetito de riesgo (risk appetite), umbral de riesgo y tope de

riesgo

Existe una multiplicidad de definiciones de apetito de riesgo. Así se tiene que en

el ICIF 2013, el apetito de riesgo es definido como el monto de riesgo que, en
un nivel amplio, una entidad está dispuesta a aceptar en la persecución de su
misión/visión (COSO, 2013, p. 15). Asimismo, el PMBOK 6 hace referencia al
concepto de apetito de riesgo indicando que es el grado de incertidumbre que
una organización o individuo está dispuesto a aceptar en anticipación a una
recompensa, mientras que el concepto de umbral de riesgo es el que grado,
cantidad o volumen de riesgo que podrá resistir una organización o individuo.

En el presente capítulo, se utilizará el término tope de riesgo como un genérico

que engloba el concepto de apetito de riesgo según COSO, el concepto de apetito
de riesgo según PMBOK 6 o al monto aceptable del riesgo asociado a un objetivo
en particular, en la medida que ello sea cuantificable. En este contexto, se puede
señalar que cuando verosimilitud y adversidad son variables cuantitativas, se
tiene que la curva de tope de riesgo es el conjunto de puntos del mapa de riesgo
que correspondan a un monto de riesgo igual al del tope riesgo.

Ejemplo 2. Mapa de riesgo cuando las variables verosimilitud y adversidad son numéricas continuas.

Partiendo del caso de la figura 13, si el tope de riesgo es 4, todas las

combinaciones de valores de las variables verosimilitud y adversidad que
corresponden a un monto de riesgo ascendente a 4 conformarán la

MAESTRÍA EN GESTIÓN PÚBLICA 30 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

curva de tope de riesgo. Corresponderán a montos de riesgo aceptables

cualesquiera combinaciones de valores de las referidas variables
representadas en la figura 16 por puntos

 Dentro de la curva (tales como P, Q y R),

 Al suroeste de la misma curva (tal como el punto S).

En cambio, las combinaciones de valores de dichas variables

representados por puntos ubicados al noreste de la referida curva (tal
como el punto T) corresponderán a montos de riesgo inaceptables.8

Figura 16. Curva de tope de riesgo que pasa por los puntos P, Q y R, cuando las variables verosimilitud
y adversidad son numéricas continuas.

O E

S
P = (1;4)
4

Zona al NE
de la curva
Adversidad

T = (3;3)
3

Q = (2;2)
2

S = (1;1) R = (4;1)
1

Zona al SO
de la curva

1 2 3 4
Verosimilitud

8Si se asumiera que la figura 13 representa de manera general los atributos del riesgo en un nivel amplio
de la entidad, que el apetito de riesgo puede ser cuantificado y que el tope de riesgo 4 es justamente el
apetito de riesgo, la curva de la figura 16, sería una curva de apetito de riesgo.

MAESTRÍA EN GESTIÓN PÚBLICA 31 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Ejemplo 3. Tope y mapa de riesgo cuando la variable probabilidad es numérica continua y la variable
adversidad es monetaria continua

Partiendo del caso de la figura 14, si se establece como tope de riesgo

un valor de USD 80, todas las combinaciones de valores de las variables
probabilidad y pérdida que corresponden a un monto de riesgo
ascendente a USD 80 conformarán la curva de tope de riesgo.
Corresponderán a montos de riesgo aceptables cualesquiera
combinaciones de valores de las referidas variables representadas en la
figura 17 por puntos

 Dentro de la curva (tales como U, V y W);

 Al suroeste de la misma curva (tal como el punto X).

En cambio, las combinaciones de valores de dichas variables

representadas por puntos al noreste de la referida curva (tal como el
punto Y) corresponderán a montos de riesgo inaceptables.9

Figura 17. Curva de tope de riesgo cuando la verosimilitud es la probabilidad de ocurrencia de un

evento y la variable adversidad es el importe de pérdida que resultaría de la ocurrencia de tal evento.

O E

S
$100 $200 $300 $400

U = (0,2;$400)
Adversidad = Pérdida

Zona al NE
de la curva

Y = (0,6;$300)

V = (0,4;$200)

X = (0,2;$100) W = (0,8;$100)
Zona al SO
de la curva

0,2 0,4 0,6 0,8 1,0

Verosimilitud = Probabilidad

9Si se asumiera que la figura 14 representa de manera general los atributos del riesgo en un nivel amplio
de la entidad, que el apetito de riesgo puede ser cuantificado y que el tope de riesgo coincide con el apetito
de riesgo, la curva de la figura 17 correspondería a una curva de apetito de riesgo.

MAESTRÍA EN GESTIÓN PÚBLICA 32 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Ejemplo 4. Tope y matriz de riesgo cuando las variables verosimilitud y adversidad son numérica
discretas.
La figura 18 ilustra una matriz de riesgo. Para cada combinación hipotética de
valores se indica su correspondiente monto de riesgo (MR) asociado.

Figura 18. Matriz de riesgo y niveles de riesgo asociados con cada combinación hipotética de
verosimilitud y adversidad.

1 = Reducida 2 = Mediana 3 = Elevada

(1;3) (2;3) (3;3)
MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9

= Bajo = Alto = Muy alto

Adversidad

(1;2) (2;2) (3;2)

MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6
= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3
= Bajísimo = Muy bajo = Bajo
1 = Reducida 2 = Mediana 3 = Elevada
Verosimilitud

Se asumirá que la figura precedente representa de manera general los atributos

del riesgo en un nivel amplio de la entidad y que el apetito de riesgo puede ser
cuantificado. Bajo tales supuestos, si el apetito de riesgo se establece en 3, ello
quiere decir que, en este caso,

 Es aceptable cualquiera de las cinco posibilidades del evento bajo estudio

con montos de riesgo ascendentes a 1, 2 o 3, correspondientes a

 Combinaciones que tengan reducida verosimilitud (sea cual fuere

su nivel de adversidad), situaciones representadas en la columna
izquierda de la matriz;
 Combinaciones que tengan reducida adversidad (sea cual fuera su
nivel de verosimilitud), situaciones representadas en la fila inferior
de la matriz;

 Son inaceptables las demás combinaciones de verosimilitud y adversidad,

representados por los elementos de la matriz (cuatro situaciones posibles
con montos de riesgo 4, 6 o 9).

MAESTRÍA EN GESTIÓN PÚBLICA 33 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.3.6. Categorías de respuesta al riesgo

El ERMIF 2004 y el ICIF 2013 identifican cuatro categorías de respuesta al riesgo

(risk response): aceptación (acceptance), evitación (avoidance), reducción
(reduction) y compartición (sharing). De acuerdo con dichos marcos (COSO,
2004, p. 55 y COSO, 2013, pp. 75-76):

 Aceptación ocurre cuando ninguna acción se toma para afectar la

verosimilitud o el impacto del riesgo.
 Evitación ocurre cuando se abandona las actividades que generan riesgo;
puede involucrar abandonar una línea de producto, declinar la expansión
a un nuevo mercado geográfico o vender una división.
 Reducción ocurre cuando se toma acción para reducir la verosimilitud, el
impacto o ambos; involucra típicamente una miríada de decisiones de
negocio cotidianas.
 Compartición ocurre cuando se reduce el riesgo o el impacto,
transfiriendo o compartiendo de otra manera una porción del riesgo;
técnicas comunes incluyen compra de seguros, formar joint ventures,
realizar transacciones de cobertura o tercerizar una actividad.

Figura 19. Categorías de respuesta al riesgo según el ICIF 2013.

Aceptación

CATEGORÍAS DE Evitación
RESPUESTA AL
RIESGO Reducción

Compartición

La aceptación del riesgo suele darse cuando el monto de riesgo está dentro del
apetito de riesgo. Cuando el nivel de riesgo supera al apetito de riesgo, se puede
adoptar las opciones de reducción o compartición, si se verifica previamente que,
adoptando dichas respuestas, el nivel de riesgo se reduciría hasta un nivel igual
o menor que el apetito de riesgo. Si ello no se puede verificar, entonces la
respuesta apropiada sería la evitación del riesgo.

MAESTRÍA EN GESTIÓN PÚBLICA 34 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.3.7. Riesgo inherente y riesgo residual

El ERMIF 2004 y el ICIF 2013 distinguen entre riesgo inherente y riesgo residual,
en función de que la gerencia haya adoptado —o no- acciones de respuesta al
riesgo. De acuerdo con dichos marcos (COSO, 2004, p. 49 y COSO, 2013, p. 75):

 Riesgo inherente es el riesgo para el logro de objetivos en la ausencia

de cualesquiera acciones que la gerencia podría tomar para alterar la
verosimilitud o el impacto del riesgo.
 Riesgo residual es el riesgo para el logro de objetivos que permanece
después de que se haya desarrollado e implementado respuestas de [la]
gerencia.

Figura 20. Respuesta al riesgo a partir de un riesgo inherente que conlleva a un riesgo residual.

Riesgo Riesgo
inherente residual
Respuesta al
riesgo

Ejemplo 5. Riesgo inherente, respuesta al riesgo y riesgo residual.

La implementación exitosa de un proyecto de inversión pública (PIP) parcialmente

financiado mediante una operación de endeudamiento externo tiene como factor crítico
la realización oportuna de los procesos de contratación. Se ha denominado E al evento
Retraso en dichos procesos por un período mayor a dos semanas respecto a lo
programado, el cual podría generar un impacto adverso para el logro de los objetivos de
dicho proyecto, por lo cual dicha posibilidad configura un riesgo, el cual será simbolizado
R.

El apetito de riesgo se ha establecido en 3. Al hacer la valuación de R antes de seleccionar

alguna respuesta al riesgo se ha determinado que:

 La verosimilitud de E es 3.
 La adversidad en el caso de producirse E es 3.

MAESTRÍA EN GESTIÓN PÚBLICA 35 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Con esta información se tiene que el monto de riesgo inherente asociado con el referido
evento es 9, valor que se encuentra muy por encima del apetito de riesgo. Ante esta
situación se ha identificado que en anteriores PIP, los retrasos en las contrataciones han
estado asociadas con:

 Dificultades para elaborar términos de referencia para productos complejos.

 Marco legal nacional muy restrictivo.

Ante esta situación, se ha planteado adoptar las siguientes acciones antes del inicio de la
ejecución del proyecto:

(1) Identificación de productos complejos cuya formulación de términos de referencia

(TDR) requieran apoyo técnico especializado.
(2) Contratación de consultores para que formulen y tengan concluidos los TDR de los
productos complejos referidos en (1) dentro de un plazo que venza seis meses
antes de que se requiera contratar o adquirir dichos productos.
(3) Formulación y conclusión de TDR por las áreas usuarias para aquellos bienes y
servicios que no califiquen como productos complejos dentro en un plazo que
venza seis meses antes de la fecha que se requiera iniciar el proceso de adquisición
o contratación de tales bienes y servicios.
(4) Uso de recursos del endeudamiento para financiar parcial o totalmente la
adquisición o contratación de los productos complejos.
(5) Aplicación de normativa internacional para los procesos de adquisición o
contratación de los productos complejos y de otros bienes y servicios priorizados
cuya contratación o adquisición pueda ser financiada parcialmente con recursos de
la operación de endeudamiento externo.

Al hacer la valuación de R para el caso en que se adopten las 5 acciones de respuesta al

riesgo anteriormente listadas, se ha determinado lo siguiente:

 La verosimilitud de E es 1.
 La adversidad en el caso de producirse E es 2.

Con esta información se tiene que el monto de riesgo residual asociado con E es 2, valor
que se encuentra por debajo del apetito de riesgo. Se tiene entonces que, de ser
implementadas las 5 acciones descritas, ellas configurarían respuestas al riesgo en la
categoría de reducción.

Si las variables verosimilitud y adversidad son discretas y el mapa de riesgos aplicable

para E es la matriz de la figura 18, el efecto de la respuesta al riesgo se puede representar
tal como se ilustra en la figura 21. Si las dos referidas variables son continuas, el efecto
de la respuesta al riesgo puede representarse como se ilustra en la figura 22.

MAESTRÍA EN GESTIÓN PÚBLICA 36 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 21. Matriz de riesgos del presente ejemplo para el caso en el cual las variables verosimilitud y
adversidad son discretas

En la figura se identifica el riesgo inherente y el riesgo residual:

Riesgo inherente

3 = Elevada 2 = Mediana 1 = Reducida

(1;3) (2;3) (3;3)
MR = 1 x 3 = 3 MR = 2 x 3 = 6 MR = 3 x 3 = 9

= Bajo = Alto = Muy alto

Riesgo residual

Adversidad
(1;2) (2;2) (3;2)
MR = 1 x 2 = 2 MR = 2 x 2 = 4 MR = 3 x 2 = 6

= Muy bajo = Moderado = Alto

(1;1) (2;1) (3;1)

MR = 1 x 1 = 1 MR = 2 x 1 = 2 MR = 3 x 1 = 3

= Bajísimo = Muy bajo = Bajo

1 = Reducida 2 = Mediana 3 = Elevada

Verosimilitud

Figura 22. Mapa de riesgos del presente ejemplo del presente ejemplo para el caso en el cual las
variables verosimilitud y adversidad son continuas.

En la figura se identifica el riesgo inherente y el riesgo residual:

Riesgo
inherente
A = (3;3)
Curva
3
Adversidad

de
2

ap
e ti

Riesgo de
to

residual riesg
o
B = (1;2)
1

1 2 3
Verosimilitud

MAESTRÍA EN GESTIÓN PÚBLICA 37 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.2.3. Evaluación / valoración de riesgos como un proceso

El ICIF 2013 considera que el segundo componente del control interno, es decir,
la evaluación o valoración de riesgos es un proceso. Al respecto, señala lo
siguiente (COSO, 2013, p. 59):

 Cada entidad encara una variedad de riesgos de fuentes externas e

internas.
 La evaluación / valoración de riesgos involucra un proceso dinámico e
iterativo para identificar y valorar riesgos para el logro de objetivos.
 Los riesgos para el logro de estos objetivos son considerados relativos a las
tolerancias de riesgo establecidas.
 Así, la valoración de riesgo forma la base para determinar cómo se manejará
tales riesgos.
 Una precondición para la valoración de riesgos es el establecimiento de
objetivos, vinculados con diferentes niveles de la entidad.
 La gerencia especifica objetivos dentro de las categorías relativas con
operaciones, reporteo y cumplimiento, con suficiente claridad para ser
capaz de identificar y analizar sus correspondientes riesgos.
 La gerencia también fija su consideración en la idoneidad de los objetivos
para la entidad.
 La valoración de riesgos también requiere que la gerencia considere el
impacto de posibles cambios en el entorno externo y dentro de su propio
modelo de negocios que puedan hacer que el control interno se vuelva
inefectivo.

Figura 23. Valoración de riesgos

VALORACIÓN DE RIESGOS
Riesgos
Proceso Identificar
Establecimiento Precondición de para para el
dinámico e
de objetivos logro de
iterativo Valuar
objetivos

En la terminología de COSO, resulta pertinente establecer la diferencia entre el

establecimiento de objetivos y la especificación de éstos. El establecimiento de
objetivos no es parte del proceso de valuación de riesgo en particular ni del

MAESTRÍA EN GESTIÓN PÚBLICA 38 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

proceso de control interno en general, pero sí una precondición para la valuación

de riesgos.

Por otro lado, en el marco del ICIF 2013, la especificación de objetivos sí forma
parte de dicho proceso de valuación. Al respecto, considera que una organización
especifica objetivos (COSO, 2013, p. 15)

(1) Articulando y codificando objetivos específicos, medibles u observables,

alcanzables, pertinentes y temporizados;10
(2) Valorando la adecuación de objetivos y subobjetivos para el control interno
basado en hechos, circunstancias y leyes, reglas, regulaciones y
estándares establecidos;
(3) Comunicando objetivos y subobjetivos a través de la entidad.

3.2.4. Principios relativos con la valoración de riesgos

COSO (2013, p. 59) señala cuatro principios relativos con este segundo
componente del control interno. A continuación, citamos a dichos principios, así
como una traducción aproximada de ellos:

«6. The organization specifies 6. La organización especifica

objectives with sufficient clarity objetivos con suficiente claridad
to enable the identification and para permitir la identificación y
assessment of risks relating to valuación de riesgos relativos a
objectives. [los] objetivos.

7. The organization identifies risks 7. La organización identifica riesgos

to the achievement of its para el logro de sus objetivos de
objectives across the entity and manera transversal a la entidad y
analyzes risks as a basis for analiza riesgos como una base
determining how the risks para determinar cómo los riesgos
should be managed. deberían ser manejados.

8. The organization considers the 8. La organización considera el

potential for fraud in assessing potencial de fraude al valorar
risks to the achievement of riesgos para el logro de
objectives. objetivos.

9. The organization identifies and 9. La organización identifica y

assesses changes that could valora cambios que podrían

10
En inglés, los atributos de los objetivos señalados en (1) son referidos como specific, measurable or
observable, attainable, relevant y time-based. Las iniciales correspondientes a estos cinco atributos forman
el acrónimo SMART.

MAESTRÍA EN GESTIÓN PÚBLICA 39 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

significantly impact the system impactar significativamente [en]

of internal control». el sistema de control interno.

3.3. Actividades de control

3.3.1. Conceptualización de las actividades de control

En relación con este componente, COSO (2013, p. 87) señala lo siguiente:

 Las actividades de control son las acciones establecidas a través de

políticas y procedimientos que ayudan a asegurar que las directivas de la
gerencia para mitigar riesgos en pro del logro de objetivos sean llevadas
a cabo.
 Las actividades de control son desempeñadas en todos los niveles de la
entidad, en varias etapas dentro de los procesos del negocio y sobre el
entorno tecnológico.
 Puede comprender un rango de actividades manuales y automatizadas,
tales como autorizaciones y aprobaciones, verificaciones, reconciliaciones
y revisiones de performance de negocio.

Figura 24. Actividades de control

ACTIVIDADES DE CONTROL
Políticas Para Directivas del
establecen
Acciones
Acciones
ayudar a management
establecidas - políticas
asegurar para mitigar
a través de - procedimientos ejecución
Procedimientos riesgos

3.3.2. Tipos de actividades de control transaccional

Dentro de la variedad de actividades de control transaccional, que pueden ser

seleccionadas y desarrolladas, el ICIF 2013 identifica las indicadas en la tabla
siguiente:

MAESTRÍA EN GESTIÓN PÚBLICA 40 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Tabla 3. Algunos tipos de actividades de control transaccional señalados en el ICIF 2013

Tipo señalado Traducción

Detalle (*)
en el ICIF 2013 aproximada
Una autorización afirma que una transacción es válida (es
decir, representa un evento económico real o está dentro
Authorizations Autorizaciones y de la política de una entidad). Una autorización toma
and approvals aprobaciones típicamente la forma de una aprobación por un nivel
superior de gerencia o de verificación y determinación de
si la transacción es válida (COSO, 2013, p. 92).
Las verificaciones comparan entre sí dos o más ítems o
comparan un ítem con una política, y desarrollan una
Verifications Verificaciones acción de seguimiento cuando los dos ítems no concuerdan
o el ítem no es consistente con la política (COSO, 2013, p.
92).
El equipamiento, inventario, valores, efectivo y otros
Physical activos son asegurados físicamente, y son periódicamente
Controles físicos
controls contados y comparados con los importes mostrados en los
registros de control (COSO, 2013, p. 92).
Los datos permanentes (standing data), tales como el
archivo maestro de precios, son a menudo usados para
brindar soporte al procesamiento de transacciones dentro
Controls over Controles sobre
de un proceso de negocio. La organización pone en marcha
standing data data permanente
las actividades de control sobre los procesos para ingresar,
actualizar y mantener la exactitud, completitud y validez de
estos datos (COSO, 2013, p. 92).
Las (re)conciliaciones comparan dos o más elementos de
Reconciliations (Re)conciliaciones datos y, si se identifican diferencias, se toma acción para
que los datos concuerden (COSO, 2013, p. 93).
Los controles supervisores valoran si otras actividades de
control transaccional (es decir, verificaciones particulares,
reconciliaciones, autorizaciones y aprobaciones, controles
Supervisory Controles
sobre data permanente y actividades de control físico)
controls supervisores
están siendo desempeñadas de forma completa, precisa y
de acuerdo con las políticas y procedimientos (COSO, 2013,
p. 93).

3.3.3. Actividades de control preventivas y detectivas

Según el ICIF 2013, las actividades de control pueden ser preventivas o

detectivas en naturaleza, y las organizaciones usualmente seleccionan una
mezcla. En ambos casos, la parte crítica de la actividad de control es la acción
tomada para corregir o evitar un evento o resultado no intencionado. La mayor
diferencia entre ellas es la temporización de cuándo ocurren las actividades de
control. Así, se tiene que COSO (2013, p. 93) señala:

 Un control preventivo es diseñado para evitar un evento o resultado no

intencionado en el momento de la ocurrencia inicial (por ejemplo, al
registrar inicialmente una transacción financiera).

MAESTRÍA EN GESTIÓN PÚBLICA 41 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 Un control detectivo es diseñado para descubrir un evento o resultado no

intencionado después de que el procesamiento inicial ha ocurrido, pero
antes de que el objetivo último haya concluido (por ejemplo, emisión de
informes financieros).

Figura 25. Controles detectivo y preventivo basados en el ICIF 2013

Control Diseñado para descubrir

detectivo
Evento o
ACTIVIDADES resultado no
DE CONTROL intencionado

Control
preventivo Diseñado para evitar

3.3.4. Principios relativos a las actividades de control

COSO (2013, p. 87) señala tres principios relativos con este componente. A
continuación, se citan dichos principios, así como su traducción aproximada:

«10. The organization selects and 10. La organización selecciona y

develops control activities that desarrolla actividades de
contribute to the mitigation of control que contribuyen a la
risks to the achievement of mitigación de riesgos para el
objectives to acceptable levels. logro de objetivos hasta
[lograr] niveles aceptables [de
11. The organization selects and tales riesgos].
develops general control
activities over technology to 11. La organización selecciona y
support the achievement of desarrolla actividades de
objectives. control generales sobre la
tecnología para dar soporte al
12. The organization deploys logro de objetivos.
control activities through
policies that establish what is 12. La organización despliega
expected and in procedures actividades de control a través
that put policies into action». de políticas que establecen qué
se espera y en procedimientos
que ponen las políticas en
acción.

MAESTRÍA EN GESTIÓN PÚBLICA 42 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.4. Información y comunicación

3.4.1. Conceptualización de información

En relación con este componente, según COSO (2013, p. 106),

 Información es la data que está combinada y sumarizada con base en la

pertinencia a requerimientos de información;
 Los requerimientos de información están determinados por el
funcionamiento continuo de los otros componentes del control interno,
tomando en consideración las expectativas de todos los usuarios, tanto
internos como externos.

Figura 26. Información como parte del cuarto componente del control interno (basado en ICIF 2013)

INFORMACIÓN

Combinada
Con base en la Requeri-
DATA pertinencia a mientos
Sumarizada

3.4.2. Conceptualización de comunicación

Según COSO (2013, p. 105), la comunicación es el proceso continuo e iterativo

de proveer, compartir y obtener información necesaria.

Figura 27. Comunicación como parte del cuarto componente del control interno (esquematización
basada en el ICIF 2013)

COMUNICACIÓN

Proveer
PROCESO
CONTINUO E Compartir Información
ITERATIVO necesaria
Obtener

MAESTRÍA EN GESTIÓN PÚBLICA 43 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

3.4.2.1. Comunicación interna y externa

El ICIF 2013 distingue entre comunicación interna y externa. Al respecto señala

(COSO, 2013, p. 105):

 La comunicación interna es el medio por el cual la información se disemina

a través de la organización, fluyendo ascendente, descendente y
transversalmente en la entidad. Permite al personal recibir un mensaje
claro de la alta gerencia que las responsabilidades del control deben ser
tomadas seriamente.
 La comunicación externa tiene dos caras: permite la comunicación hacia
el interior de información externa relevante y provee información a partes
externas en respuesta a requerimientos y expectativas.

Figura 28. Tipología de comunicaciones (basada en ICIF 2013).

Es el medio por [el] cual la información es

diseminada a través de la organización,
Interna fluyendo ascendente, descendente y
transversalmente en la entidad.

COMUNICACIÓN
Permite entrada de información externa relevante.
Externa
Provee información a externos.

3.4.3. Principios relativos con la información y la comunicación

COSO (2013, p. 105) señala tres principios relativos con este componente. A
continuación, se citan dichos principios, así como su traducción aproximada:

«13. The organization obtains or 13. La organización obtiene o

generates and uses relevant, genera y usa información
quality information to support relevante [y] de calidad para
the functioning of internal dar soporte al funcionamiento
control. de[l] control interno.

14. The organization internally 14. La organización comunica

communicates information, internamente información,
including objectives and incluyendo objetivos y
responsibilities for internal responsabilidades para [el]
control, necessary to support control interno, necesaria para
the functioning of internal dar suporte al funcionamiento
control. de[l] control interno.

15. The organization 15. La organización [se] comunica

communicates with external con partes externas en cuanto

MAESTRÍA EN GESTIÓN PÚBLICA 44 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

parties regarding matters a asuntos que afecten el

affecting the functioning of funcionamiento de[l] control
internal control». interno.

3.5. Actividades de monitoreo

3.5.1. Conceptualización de actividades de monitoreo

Este componente es también denominado “actividades de supervisión”, según la

traducción del ICIF 2013 realizada por el Instituto de Auditores Internos de
España. En relación con este componente, COSO (2013, p. 124) señala:

 Las actividades de monitoreo valoran si cada uno de los cinco

componentes del control interno está presente y funcionando;
 El monitoreo es un input clave de la valoración de la efectividad del control
interno de la organización.

Figura 29. Actividades de monitoreo.

ACTIVIDADES DE MONITOREO

VALORAN SI CADA Presente

está
COMPONENTE DEL y
CONTROL INTERNO Funcionando

3.5.2. Evaluaciones sobre la marcha y evaluaciones separadas

De acuerdo con COSO (2013, p. 126), el monitoreo puede ser hecho de dos
maneras: a través de evaluaciones sobre la marcha o de evaluaciones separadas,
o de alguna combinación de las dos. Al respecto indica (COSO, 2013, p. 126):

 Las evaluaciones sobre la marcha son operaciones de rutina, definidas de

manera general, incorporadas en los procesos de negocio y desempeñadas
en tiempo real, reaccionantes con las condiciones cambiantes.
 Las evaluaciones separadas son conducidas periódicamente por personal
gerencial objetivo, auditores internos, y/o partes externas, entre otros. El
alcance y la frecuencia de las evaluaciones separadas es una materia de
juicio gerencial.

MAESTRÍA EN GESTIÓN PÚBLICA 45 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Figura 30. Formas de monitorear basada en ICIF-COSO (2013).

Evaluaciones
a través de sobre la marcha
FORMAS DE alternativa o
complemen
MONITOREAR -tariamente
Evaluaciones
separadas

3.5.2. Principios relativos a las actividades de monitoreo

COSO (2013, p. 123) señala dos principios relativos con este componente. A
continuación, se citan dichos principios, así como su traducción aproximada:

«16. The organization selects, 16. La organización selecciona,

develops, and performs desarrolla y lleva a cabo
ongoing and/or separate evaluaciones sobre la marcha
evaluations to ascertain y/o separadas para determinar
whether the components of si los componentes del control
internal control are present interno están presentes y
and functioning. funcionando.

17. The organization evaluates and 17. La organización evalúa y

communicates internal control comunica deficiencias de
deficiencies in a timely manner control interno de manera
to those parties responsible for oportuna a aquellas partes
taking corrective action, responsables para tomar
including senior management acción correctiva, incluyendo al
and the board of directors, as senior management (alta
appropriate». gerencia) y el consejo de
directores, según sea
apropiado.

MAESTRÍA EN GESTIÓN PÚBLICA 46 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Conclusiones
COSO

 El denominado Committee of Sponsoring Organizations of the Treadway

Commission (COSO) es una iniciativa formada por las cinco instituciones
del sector privado patrocinadoras de la Comisión Treadway.

 Las cinco instituciones que forman dicha iniciativa se indican en la parte

derecha de esta diapositiva.

 COSO ha patrocinado diversas publicaciones en el campo de control

interno y manejo de riesgos, entre ellas, el Internal Control – Integrated
Framework (ICIF) o Marco Integrado de Control Interno del año 2013.

Control interno según COSO

De acuerdo con el Marco Integrado de Control Interno del año 2013, el control
interno es un proceso

 Efectuado por personas de los diversos niveles de la entidad;

 Diseñado para brindar seguridad razonable respecto al logro de

objetivos

• Operacionales,

• De información y

• De cumplimiento.

Componentes del control interno según COSO

El Marco Integrado de Control Interno del año 2013 considera cinco componentes
del control interno:

 Entorno del control, que es el conjunto de estándares (normas),

procesos y estructuras que sirven de base para llevar a cabo el control
interno a través de la organización;

 Evaluación de riesgos, que es un proceso dinámico e iterativo para

identificar y valuar riesgos, lo cual forma la base para determinar cómo
manejar (gestionar) riesgos;

MAESTRÍA EN GESTIÓN PÚBLICA 47 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

 Actividades de control, que puede involucrar el control detectivo

diseñado para descubrir eventos o resultados no intencionados y el control
preventivo diseñado para evitarlos;

 Información y comunicación, referida la primera a data combinada y

sumarizada con base en determinados requerimientos, y la segunda a un
proceso continuo e iterativo de proveer, compartir y obtener información
necesaria;

 Actividades de supervisión (actividades de monitoreo), con las cuales

se determina si cada componente del control interno está presente y
funcionando.

MAESTRÍA EN GESTIÓN PÚBLICA 48 | 49

 SISTEMA DE CONTROL EN EL SECTOR PÚBLICO

Bibliografía
Aliaga Calderón, Carlos Ricardo (2017). Control para la gestión pública.

COSO. (1992). Internal Control - Integrated Framework. COSO.

COSO. (2004). Enterprise Risk Management - Integrated Framework: Executive

Summary and Framework.

COSO. (2011b). About us. Recuperado el 10 de julio de 2012, de sitio web de

COSO: http://www.coso.org/aboutus.htm

COSO. (2013). Internal Control - Integrated Framework: Framework and

Appendices. COSO.

National Commission on Fraudulent Financial Reporting. (1987). Report of the

National Commission on Fraudulent Financial Reporting. National
Commission on Fraudulent Financial Reporting.

PMI. (2017). PMBOK Guide – Sixth Edition.

PwC. (2013). History and milestones. Recuperado el 5 de mayo de 2013, de

http://www.pwc.com/us/en/about-us/pwc-corporate-history.jhtml

MAESTRÍA EN GESTIÓN PÚBLICA 49 | 49