Los puntos de enfoque representan las características importantes de cada principio, lo que

permite que sean más fáciles de entender y que la entidad pueda evaluar si el principio está
presente y funcionando en su sistema de control interno. Para determinar que el Sistema de
Control Interno es efectivo se requiere que los cinco componentes y los principios estén
presentes y funcionando:

 Presente: la determinación de que los componentes y los principios relevantes existen

en el diseño y la implementación del sistema de control interno para lograr los
objetivos especificados.
 Funcionando: la determinación de que los componentes y los principios relevantes
continúan existiendo en la dirección del sistema de control interno para lograr los
objetivos especificados.

No todos los puntos de enfoque son requeridos para valorar la efectividad del sistema de
control. La administración puede determinar que algunos de estos no son relevantes y puede
identificar y considerar otros. De esta manera, el Marco Integrado de Control Interno facilita la
labor de diseño y supervisión del Sistema de Control Interno y permite comprender con más
claridad el contenido, significado y el impacto que los Sistemas de Control Interno
implementados tienen al momento de mitigar los riesgos de la organización.

COMPONENTE PRINCIPIOS PUNTOS DE ENFOQUE-

ATRIBUTOS
I. Entorno de control 1. La organización Establece el tono de la
demuestra compromiso con gerencia. la Junta Directiva,
la integridad y los valores la Alta Gerencia y el personal
éticos supervisor están
comprometidos con los
valores y principios éticos y
los refuerzan en sus
actuaciones
Establece estándares de
conducta. La integridad y los
valores éticos son definidos
en los estándares de
conducta de la entidad y
entendidos en todos los
niveles de la organización y
por los proveedores de
servicio externos y socios de
negocios.
Evalúa la adherencia a
estándares de conducta. Los
procesos están en su lugar
para evaluar el desempeño
de los individuos y equipos
en relación con los
estándares de conducta
esperados
Aborda y decide sobre
desviaciones en forma
 oportuna. Las desviaciones
de los estándares de
conducta esperados en la
entidad son identificadas y
corregidas oportuna y
adecuadamente.
2. El consejo de Establece las
administración demuestra responsabilidades de
independencia de la supervisión de la dirección.
dirección y ejerce la La Junta Directiva identifica y
supervisión del desempeño acepta su responsabilidad de
del sistema de control supervisión con respecto a
interno. establecer requerimientos y
expectativas.
Aplica experiencia
relevante. La Junta directiva
define, mantiene y
periódicamente evalúa las
habilidades y experiencia
necesaria entre sus
miembros.
Conserva o delega
responsabilidades de
supervisión.
Opera de manera
independiente. La Junta
Directiva tiene suficientes
miembros, quienes son
independientes de la
Administración y objetivos
en evaluaciones y toma de
decisiones.
Brinda supervisión sobre el
Sistema de Control Interno.
La Junta Directiva conserva
la responsabilidad de
supervisión del diseño,
implementación y
conducción del Control
Interno de la Administración:
 Entorno de Control:
establece integridad y
valores éticos, estructuras de
supervisión, autoridad y
responsabilidad,
expectativas de
competencia, y rendición de
cuentas a la Junta.
 Evaluación de Riesgos:
monitorea las evaluaciones
de riesgos de la
 administración para el
cumplimiento de los
objetivos, incluyendo el
impacto potencial de los
cambios significativos,
fraude, y la evasión del
control interno por parte de
la administración.
 Actividades de Control:
provee supervisión a la Alta
Dirección en el desarrollo y
cumplimiento de las
actividades de control.
 Información y
Comunicación: analiza y
discute la información
relacionada con el
cumplimiento de los
objetivos de la entidad.
 Actividades de
Supervisión: evalúa y
supervisa la naturaleza y
alcance de las actividades de
monitoreo y la evaluación y
mejoramiento de la
administración de las
deficiencias.
3. La dirección establece con Considera todas las
la supervisión del Consejo, estructuras de la entidad. La
las estructuras, líneas de Administración y la Junta
reporte y los niveles de Directiva consideran las
autoridad y responsabilidad estructuras múltiples
apropiados para la utilizadas (incluyendo
consecución de los objetivos. unidades operativas,
entidades legales,
distribución geográfica, y
proveedores de servicios
externos) para apoyar la
consecución de los objetivos
Establece líneas de reporte.
La Administración diseña y
evalúa las líneas de reporte
para cada estructura de la
entidad, para permitir la
ejecución de autoridades y
responsabilidades, y el flujo
de información para
gestionar las actividades de
la entidad
Define, asigna y delimita
autoridades y
responsabilidades. La
Administración y la Junta
Directiva delegan autoridad,
definen responsabilidades, y
utilizan procesos y
tecnologías adecuadas para
asignar responsabilidad,
segregar funciones según
sea necesario en varios
niveles de la organización:
 Junta directiva: conserva
autoridad sobre las
decisiones significativas y
revisa las evaluaciones de la
administración y las
limitaciones de autoridades
y responsabilidades.
 Alta Dirección: establece
instrucciones, guías, y
control habilitando a la
administración y otro
personal para entender y
llevar a cabo sus
responsabilidades de control
interno.
 Administración: guía y
facilita la ejecución de las
instrucciones de la Alta
Dirección dentro de la
entidad y sus sub-unidades.
 Personal: entiende los
estándares de conducta de
la entidad, los riesgos
evaluados para los objetivos,
y las actividades de control
relacionadas con sus
respectivos niveles de la
entidad, la información
esperada y los flujos de
comunicación, así como las
actividades de monitoreo
relevantes para el
cumplimiento de los
objetivos.
 Proveedores de servicios
externos: cumple con la
definición de la
administración del alcance
de la autoridad y la
responsabilidad para todos
los que no sean empleados
 comprometidos.
4. La organización Establece políticas y
demuestra compromiso para prácticas. Las políticas y
atraer, desarrollar y retener prácticas reflejan las
a profesionales expectativas de competencia
competentes, en necesarias para apoyar el
concordancia con los cumplimiento de los
objetivos de la organización objetivos
Evalúa la competencia y
direcciona las deficiencias.
La Junta Directiva y la
Administración evalúan la
competencia a través de la
organización y en los
proveedores de servicios
externos, de acuerdo con las
políticas y prácticas
establecidas, y actúa cuando
es necesario direccionando
las deficiencias
Atrae, desarrolla y retiene
profesionales. La
organización provee la
orientación y la capacitación
necesaria para atraer,
desarrollar y retener
personal suficiente y
competente y proveedores
de servicios externos para
apoyar el cumplimiento de
los objetivos.
Planea y se prepara para
sucesiones. La Alta Dirección
y la Junta Directiva
desarrollan planes de
contingencia para la
asignación de la
responsabilidad importante
para el control interno.
5. La organización define las Hace cumplir la
responsabilidades de las responsabilidad a través de
personas a nivel de control estructuras, autoridades y
interno para la consecución responsabilidades. La
de los objetivos Administración y la Junta
Directiva establecen los
mecanismos para comunicar
y mantener profesionales
responsables para el
desempeño de las
responsabilidades de control
interno a través de la
organización, e implementan
acciones correctivas cuando
es necesario.
Establece medidas de
desempeño, incentivos y
premios. La Administración y
la Junta Directiva establecen
medidas de desempeño,
incentivos, y otros premios
apropiados para las
responsabilidades en todos
los niveles de la entidad,
reflejando dimensiones de
desempeño apropiadas y
estándares de conducta
esperados, y considerando el
cumplimiento de objetivos a
corto y largo plazo.
Evalúa medidas de
desempeño, incentivos y
premios para la relevancia
en curso. La Administración
y la Junta Directiva alinean
incentivos y premios con el
cumplimiento de las
responsabilidades de control
interno para la consecución
de los objetivos.
Considera presiones
excesivas. La administración
y la Junta Directiva evalúan y
ajustan las presiones
asociadas con el
cumplimiento de los
objetivos; asimismo asignan
responsabilidades,
desarrollan medidas de
desempeño y evalúan el
desempeño
Evalúa desempeño y
premios o disciplina los
individuos. La
Administración y la Junta
Directiva evalúan el
desempeño de las
responsabilidades de control
interno, incluyendo la
adherencia a los estándares
de conducta y los niveles de
competencia esperados, y
proporciona premios o
 ejerce acciones disciplinarias
cuando es apropiado
II. Evaluación de riesgos 6. La organización define los Objetivos Operativos:
objetivos con suficiente  Refleja las elecciones de la
claridad para permitir la administración.
identificación y evaluación  Considera la tolerancia al
de los riesgos relacionados riesgo.
 Incluye las metas de
desempeño operativo y
financiero.
 Constituye una base para
administrar los recursos.
Objetivos de Reporte
Financiero Externo:
 Cumple con los estándares
contables aplicables.
 Considera la materialidad.
 Refleja las actividades de
la entidad.
Objetivos de Reporte
Financiero Externo:
 Cumple con los estándares
contables aplicables.
 Considera la materialidad.
 Refleja las actividades de
la entidad.
Objetivos de Reporte
interno:
 Refleja las elecciones de la
administración.
 Considera el nivel
requerido de precisión.
 Refleja las actividades de
la entidad.
Objetivos de Cumplimiento:
 Refleja las leyes y
regulaciones externas.
 Considera la tolerancia al
riesgo.
7. La organización identifica Incluye la entidad,
los riesgos para la sucursales, divisiones,
consecución de sus objetivos unidad operativa y niveles
en todos los niveles de la funcionales. La organización
entidad y los analiza como identifica y evalúa los riesgos
base sobre la cual determina a nivel de la entidad,
cómo se deben gestionar sucursales, divisiones,
unidad operativa y niveles
funcionales relevantes para
la consecución de los
objetivos.
Evalúa la consideración de
 factores externos e internos
en la identificación de los
riesgos que puedan afectar a
los objetivos.
Involucra niveles apropiados
de administración. La
dirección evalúa si existen
mecanismos adecuados para
la identificación y análisis de
riesgos.
Analiza la relevancia
potencial de los riesgos
identificados y entiende la
tolerancia al riesgo de la
organización.
Determina la respuesta a los
riesgos. La evaluación de
riesgos incluye la
consideración de cómo el
riesgo debería ser
gestionado y si aceptar,
evitar, reducir o compartir el
riesgo.

8. La organización considera Considera varios tipos de

la probabilidad de fraude al fraude: La evaluación del
evaluar los riesgos para la fraude considera el Reporte
consecución de los objetivos fraudulento, posible pérdida
de activos y corrupción.
La evaluación del riesgo de
fraude evalúa incentivos y
presiones
La evaluación del riesgo de
fraude tiene en
consideración el riesgo de
fraude por adquisiciones no
autorizadas, uso o
enajenación de activos,
alteración de los registros de
información, u otros actos
inapropiados.
La evaluación del riesgo de
fraude considera cómo la
dirección u otros empleados
participan en, o justifican,
acciones inapropiadas.
9. La organización idéntica y Evalúa cambios en el
evalúa los cambios que ambiente externo. El
podrían afectar proceso de identificación de
significativamente al sistema riesgos considera cambios en
de control interno los ambientes regulatorio,
 económico, y físico en los
que la entidad opera.
Evalúa cambios en el
modelo de negocios. La
organización considera
impactos potenciales de las
nuevas líneas del negocio,
composiciones alteradas
dramáticamente de las
líneas existentes de
negocios, operaciones de
negocios adquiridas o de
liquidación en el sistema de
control interno, rápido
crecimiento, el cambio de
dependencia en geografías
extranjeras y nuevas
tecnologías.
Evalúa cambios en
liderazgo. La organización
considera cambios en
administración y respectivas
actitudes y filosofías en el
sistema de control interno.
III. Actividades de control 10. La organización define y Se integra con la evaluación
desarrolla actividades de de riesgos. Las actividades
control que contribuyen a la de control ayudan a asegurar
mitigación de los riesgos que las respuestas a los
hasta niveles aceptables riesgos que direccionan y
para la consecución de los mitigan los riesgos son
objetivos llevadas a cabo.
Considera factores
específicos de la entidad. La
administración considera
cómo el ambiente,
complejidad, naturaleza y
alcance de sus operaciones,
así como las características
específicas de la
organización, afectan la
selección y desarrollo de las
actividades de control.
Determina la importancia
de los procesos del negocio.
La administración determina
la importancia de los
procesos del negocio en las
actividades de control.
Evalúa una mezcla de tipos
de actividades de control.
Las actividades de control
 incluyen un rango y una
variedad de controles que
pueden incluir un equilibrio
de enfoques para mitigar los
riesgos teniendo en cuenta
controles manuales y
automatizados, y controles
preventivos y de detección.
Considera en qué nivel las
actividades son aplicadas. La
administración considera las
actividades de control en
varios niveles de la entidad.
Direcciona la segregación de
funciones. La administración
segrega funciones
incompatibles, y donde dicha
segregación no es práctica,
la administración selecciona
y desarrolla actividades de
control alternativas.
11. La organización define y Determina la relación entre
desarrolla actividades de el uso de la tecnología en
control a nivel de entidad los procesos del negocio y
sobre la tecnología para los controles generales de
apoyar la consecución de los tecnología: La dirección
objetivos entiende y determina la
dependencia y la vinculación
entre los procesos de
negocios, las actividades de
control automatizadas y los
Controles Generales de
tecnología.
Establece actividades de
control para la
infraestructura tecnológica
relevante: la Dirección
selecciona y desarrolla
actividades de control
diseñadas e implementadas
para ayudar a asegurar la
completitud, precisión y
disponibilidad de la
tecnología.
Establece las actividades de
control para la
administración de procesos
relevantes de seguridad: la
dirección selecciona y
desarrolla actividades de
control diseñadas e
 implementadas para
restringir los derechos de
acceso, con el fin de
proteger los activos de la
organización de amenazas
externas
Establece actividades de
control relevantes para los
procesos de adquisición,
desarrollo y mantenimiento
de la tecnología: la dirección
selecciona y desarrolla
actividades de control sobre
la adquisición, desarrollo y
mantenimiento de la
tecnología y su
infraestructura.
12. La organización despliega Establece políticas y
las actividades de control a procedimientos para apoyar
través de políticas que el despliegue de las
establecen las líneas directivas de la
generales del control interno administración: la
y procedimientos. administración establece
actividades de control que
están construidas dentro de
los procesos del negocio y
las actividades del día a día
de los empleados a través de
políticas estableciendo lo
que se espera y los
procedimientos relevantes
especificando acciones.
Establece responsabilidad y
rendición de cuentas para
ejecutar las políticas y
procedimientos: la
administración establece la
responsabilidad y rendición
de cuentas para las
actividades de control con la
administración (u otro
personal asignado) de la
unidad de negocios o
función en el cual los riesgos
relevantes residen.
Funciona oportunamente: el
personal responsable
desarrolla las actividades de
control oportunamente,
como es definido en las
políticas y procedimientos.
 Toma acciones correctivas:
el personal responsable
investiga y actúa sobre
temas identificados como
resultado de la ejecución de
actividades de control.
Trabaja con personal
competente: personal
competente con la suficiente
autoridad desarrolla
actividades de control con
diligencia y continúa
atención.
Reevalúa políticas y
procedimientos: la
administración revisa
periódicamente las
actividades de control para
determinar su continua
relevancia, y las actualiza
cuando es necesario.
IV. Información y 13. La organización obtiene o Identifica los
comunicación genera y utiliza información requerimientos de
relevante y de calidad para información: un proceso
apoyar el funcionamiento está en ejecución para
del identificar la información
requerida y esperada para
apoyar el funcionamiento de
los otros componentes del
control interno y el
cumplimiento de los
objetivos de la entidad.
Captura fuentes internas y
externas de información: los
sistemas de información
capturan fuentes internas y
externas de información.
Procesa datos relevantes
dentro de la información:
los sistemas de información
procesan datos relevantes y
los transforman en
información.
Mantiene la calidad a través
de procesamiento: los
sistemas de información
producen información que
es oportuna, actual, precisa,
completa, accesible,
protegida, verificable y
retenida. La información es
 revisada para evaluar su
relevancia en el soporte de
los componentes de control
interno.
Considera costos y
beneficios: la naturaleza,
cantidad y precisión de la
información comunicada
están acorde con, y apoyan,
el cumplimiento de los
objetivos.
14. La organización Comunica la información de
comunica la información control interno: un proceso
internamente, incluidos los está en ejecución para
objetivos y comunicar la información
responsabilidades que son requerida para permitir que
necesarios para apoyar el todo el personal entienda y
funcionamiento del sistema lleve a cabo sus
de control interno responsabilidades de control
interno.
Se comunica con la Junta
directiva: existe
comunicación entre la
administración y la Junta
Directiva; por lo tanto,
ambas partes tienen la
información necesaria para
cumplir con sus roles con
respecto a los objetivos de la
entidad.
Proporciona líneas de
comunicación separadas:
separa canales de
comunicación, como líneas
directas de denuncia de
irregularidades, las cuales
sirven como mecanismos a
prueba de fallos para
permitir la comunicación
anónima o confidencial
cuando los canales normales
son inoperantes o
ineficientes.
Selecciona métodos de
comunicación relevantes:
los métodos de
comunicación consideran
tiempo, público y la
naturaleza de la información.
15. La organización se Se comunica con grupos de
comunica con los grupos de interés externos: los
interés externos sobre los procesos están en
aspectos clave que afectan al funcionamiento para
funcionamiento del control comunicar información
interno relevante y oportuna a
grupos de interés externos,
incluyendo accionistas,
socios, propietarios,
reguladores, clientes,
analistas financieros y demás
partes externas.
Permite comunicaciones de
entrada: canales de
comunicación abiertos
permiten los aportes de
clientes, consumidores,
proveedores, auditores
externos, reguladores,
analistas financieros, entre
otros, y proporcionan a la
administración y Junta
Directiva información
relevante.
Se comunica con la Junta
Directiva: la información
relevante resultante de
evaluaciones conducidas por
partes externas es
comunicada a la Junta
Directiva.
Proporciona líneas de
comunicación separadas:
separa canales de
comunicación, como líneas
directas de denuncia de
irregularidades, las cuales
sirven como mecanismos a
prueba de fallos para
permitir la comunicación
anónima o confidencial
cuando los canales normales
son inoperantes o
ineficientes.
Selecciona métodos de
comunicación relevantes:
los métodos de
comunicación consideran el
tiempo, público, y la
naturaleza de la
comunicación y los
requerimientos y
expectativas legales,
 regulatorias y fiduciarias.
V. Actividades de 16. La organización Considera una combinación
supervisión – monitoreo selecciona, desarrolla y de evaluaciones continuas e
realiza evaluaciones independientes: la
continuas y/o administración incluye un
independientes para balance de evaluaciones
determinar si los continuas e independientes.
componentes del sistema Considera tasa de cambio: la
están presentes y administración considera la
funcionando tasa de cambio en el negocio
y los procesos del negocio
cuando selecciona y
desarrolla evaluaciones
continuas e independientes
Establece un punto de
referencia para el
entendimiento: el diseño y
estado actual del sistema de
control interno son usados
para establecer un punto de
referencia para las
evaluaciones continuas e
independientes.
Uso de personal capacitado:
los evaluadores que
desarrollan evaluaciones
continuas e independientes
tienen suficiente
conocimiento para entender
lo que está siendo evaluado.
Se integra con los procesos
del negocio: las evaluaciones
continuas son construidas
dentro de los procesos del
negocio y se ajustan a las
condiciones cambiantes.
Ajusta el alcance y la
frecuencia: la administración
cambia el alcance y la
frecuencia de las
evaluaciones independientes
dependiendo el riesgo.
Evalúa objetivamente: las
evaluaciones independientes
son desarrolladas
periódicamente para
proporcionar una
retroalimentación objetiva.
17. La organización evalúa y Evalúa resultados: la
comunica las deficiencias de Administración o la Junta
control interno de forma Directiva, según
oportuna a las partes corresponda, evalúa los
responsables de aplicar resultados de las
medidas correctivas, evaluaciones continuas e
incluyendo la alta dirección y independientes.
el consejo, según Comunica deficiencias: las
corresponda deficiencias son
comunicadas a las partes
responsables para tomar las
acciones correctivas y a la
Alta Dirección y la Junta
Directiva, según
corresponda.
Supervisa acciones
correctivas: la
administración monitorea si
las deficiencias son
corregidas oportunamente.