Framework COSO 2013: Los 5 componentes del control interno

¿Qué es el Framework COSO 2013?

El Framework COSO 2013 es uno de los modelos más utilizados a nivel mundial para diseñar, implementar y evaluar el control interno en una organización. Fue desarrollado por el Committee of Sponsoring Organizations of the Treadway Commission (COSO) y su actualización de 2013 reforzó el enfoque basado en riesgos, gobierno corporativo, prevención de fraude y calidad de la información.

En términos prácticos, COSO 2013 ayuda a responder una pregunta clave: ¿la organización cuenta con controles suficientes para cumplir sus objetivos operativos, financieros y de cumplimiento?

En el contexto peruano, este marco resulta especialmente útil para:

• Empresas familiares que están profesionalizando su gestión.
• Medianas empresas que buscan ordenar procesos antes de crecer.
• ONGs que administran fondos de cooperación internacional y deben rendir cuentas con transparencia.
• Empresas sujetas a fiscalización tributaria, laboral o regulatoria.

Aunque COSO no es una ley peruana, su aplicación fortalece el cumplimiento de obligaciones previstas en diversas normas, como la Ley General de Sociedades, Ley N.° 26887, especialmente en materia de responsabilidad de directores y diligencia en la gestión, así como la adecuada documentación de operaciones para fines tributarios y de auditoría.

¿Por qué es importante el control interno en Perú?

En la práctica profesional, muchas contingencias no se originan por fraude sofisticado, sino por debilidades básicas de control interno: pagos sin sustento, conciliaciones bancarias atrasadas, inventarios no supervisados, rendiciones incompletas o accesos excesivos a sistemas.

En Perú, estas fallas pueden generar consecuencias concretas:

• Reparos tributarios ante SUNAT por gastos sin sustento suficiente.
• Observaciones de auditores externos por deficiencias de control.
• Pérdidas operativas por errores en compras, caja o almacén.
• Riesgos reputacionales en ONGs frente a cooperantes y donantes.
• Incumplimientos laborales o regulatorios por falta de seguimiento.

Por ello, comprender los 5 componentes de COSO 2013 no es un ejercicio teórico. Es una herramienta de gestión para proteger recursos, mejorar procesos y dar confianza a socios, directores, financiadores y terceros.

Los 5 componentes del control interno según COSO 2013

COSO 2013 estructura el control interno en cinco componentes interrelacionados. Ninguno funciona de forma aislada. Si uno falla, el sistema completo pierde efectividad.

1. Ambiente de control

El ambiente de control es la base sobre la cual se construye todo el sistema. Refleja el tono ético de la organización, la estructura de gobierno, la asignación de responsabilidades y el compromiso con la integridad.

Incluye aspectos como:

• Valores éticos y código de conducta.
• Supervisión del directorio o consejo directivo.
• Estructura organizacional clara.
• Definición de funciones y niveles de autoridad.
• Políticas de recursos humanos y evaluación de desempeño.

En muchas empresas peruanas, el principal problema no es la ausencia de controles escritos, sino que nadie sabe quién aprueba qué, o que una misma persona compra, recibe, registra y paga. Eso evidencia un ambiente de control débil.

Ejemplo práctico

Una empresa comercial en Trujillo con ventas anuales de S/ 8 millones tenía al gerente general aprobando compras, pagos y contrataciones de manera verbal. No existían niveles de autorización ni manual de funciones. Como resultado, se detectaron pagos duplicados a proveedores por S/ 42,000. El problema no fue solo administrativo; era una falla de ambiente de control porque no había reglas claras ni supervisión formal.

2. Evaluación de riesgos

La evaluación de riesgos consiste en identificar y analizar los eventos que podrían impedir el logro de los objetivos de la organización. COSO 2013 exige que los riesgos se evalúen considerando su probabilidad e impacto.

Esto implica:

• Definir objetivos claros.
• Identificar riesgos internos y externos.
• Analizar cambios en el entorno.
• Considerar el riesgo de fraude.

En Perú, por ejemplo, los riesgos pueden incluir:

• Cambios tributarios frecuentes.
• Dependencia de un solo cliente o financiador.
• Alta rotación de personal contable.
• Debilidad en ciberseguridad.
• Falta de sustento documental para gastos.

Una evaluación de riesgos bien hecha permite priorizar recursos. No todas las amenazas tienen la misma relevancia. Una ONG que administra proyectos en zonas rurales, por ejemplo, tendrá riesgos logísticos y de rendición distintos a los de una empresa industrial en Lima.

Ejemplo práctico

Una ONG que ejecutaba fondos de cooperación en Cajamarca identificó como riesgo crítico la rendición tardía de viáticos y gastos de campo. Al analizar el problema, encontró que el personal viajaba sin formatos estandarizados y entregaba comprobantes semanas después. El riesgo no solo era operativo, sino también financiero y reputacional, porque podía afectar la elegibilidad del gasto ante el cooperante.

3. Actividades de control

Las actividades de control son las políticas y procedimientos concretos que reducen los riesgos identificados. Aquí se materializa el control interno en acciones diarias.

Entre las actividades más comunes están:

• Autorizaciones y aprobaciones.
• Segregación de funciones.
• Conciliaciones bancarias.
• Revisiones presupuestales.
• Controles físicos sobre efectivo, inventarios y activos.
• Restricciones de acceso a sistemas.
• Verificaciones independientes.

En auditoría, este componente suele ser el más visible. Sin embargo, un error frecuente es creer que basta con tener firmas o sellos. Un control solo es útil si está bien diseñado y realmente se ejecuta.

Por ejemplo, una conciliación bancaria firmada pero no revisada a detalle no aporta valor real. Del mismo modo, una orden de compra aprobada por una persona sin autoridad formal tampoco constituye un control sólido.

Ejemplo práctico

Una empresa distribuidora de repuestos en Chiclayo detectó faltantes recurrentes de inventario. La revisión mostró que el encargado de almacén también actualizaba el sistema y participaba en los conteos físicos. Se implementaron controles simples: conteos cíclicos mensuales, aprobación de salidas por ventas, acceso restringido al sistema y revisión independiente por administración. En seis meses, los ajustes de inventario se redujeron en 70%.

4. Información y comunicación

El cuarto componente se refiere a la capacidad de la organización para generar, procesar y comunicar información relevante y oportuna, tanto interna como externamente.

Esto abarca:

• Calidad de la información contable y operativa.
• Reportes gerenciales confiables.
• Canales de comunicación entre áreas.
• Comunicación de políticas y responsabilidades.
• Mecanismos para reportar irregularidades.

Muchas organizaciones tienen controles razonables, pero fallan porque la información no llega a tiempo. Un presupuesto puede existir, pero si la gerencia revisa las desviaciones dos meses después, la capacidad de reacción es limitada.

En el caso de ONGs, este componente es crítico para asegurar que la información financiera, presupuestal y programática sea consistente entre lo reportado al cooperante, lo registrado en contabilidad y lo ejecutado en campo.

Ejemplo práctico

Una asociación sin fines de lucro en Lima manejaba tres proyectos financiados por distintas agencias. Cada coordinador llevaba su propio control en Excel y contabilidad registraba la información con criterios diferentes. El resultado era una diferencia de S/ 18,500 entre el avance presupuestal reportado al donante y los registros contables. La solución fue establecer un calendario de cierre mensual, formatos únicos y validación cruzada entre administración, contabilidad y coordinación de proyectos.

5. Actividades de monitoreo

El quinto componente es el monitoreo, es decir, la evaluación continua o periódica de si los controles siguen funcionando como fueron diseñados.

Incluye:

• Supervisión diaria por jefaturas.
• Revisiones mensuales de indicadores.
• Auditoría interna o revisiones independientes.
• Seguimiento de observaciones y planes de acción.

Un control que fue adecuado hace dos años puede ser insuficiente hoy por cambios en personal, sistemas, volumen de operaciones o regulación. Por eso, COSO 2013 insiste en que el control interno debe revisarse y actualizarse.

En Perú, esto es particularmente importante en empresas en crecimiento. Cuando una organización pasa de facturar S/ 2 millones a S/ 15 millones, los controles que antes funcionaban de manera informal suelen quedarse cortos.

Ejemplo práctico

Una empresa de servicios en Piura había implementado políticas de caja chica y rendiciones. Sin embargo, nunca verificaba su cumplimiento. En una revisión interna se detectó que varios reembolsos incluían consumos personales y comprobantes fuera de plazo por más de S/ 9,000 acumulados. El problema no era la falta de política, sino la ausencia de monitoreo y seguimiento.

Tabla comparativa de los 5 componentes de COSO 2013

¿Cómo se relaciona COSO 2013 con la auditoría?

Desde la perspectiva de auditoría, evaluar el control interno es fundamental para entender los riesgos de incorrección material y diseñar procedimientos adecuados. En este punto, resulta relevante la NIA 315 (Revisada 2019), Identificación y valoración de los riesgos de incorrección material mediante el conocimiento de la entidad y de su entorno, que exige comprender el sistema de control interno para identificar riesgos y planificar la auditoría.

Asimismo, la NIA 330, Respuestas del auditor a los riesgos valorados, establece que el auditor debe diseñar respuestas frente a los riesgos identificados, lo que incluye pruebas de controles cuando corresponda.

En otras palabras, una empresa con controles internos sólidos no elimina la auditoría, pero sí facilita procesos más ordenados, documentación más confiable y menor exposición a observaciones recurrentes.

Aplicación práctica de COSO 2013 en empresas y ONGs peruanas

En empresas

Para una empresa comercial o de servicios, COSO 2013 puede aplicarse gradualmente:

• Definir organigrama y funciones.
• Establecer niveles de autorización por montos en S/.
• Implementar controles sobre compras, pagos, ventas e inventarios.
• Crear reportes mensuales de gestión.
• Revisar periódicamente las incidencias y mejoras necesarias.

En ONGs

En organizaciones sin fines de lucro, la aplicación suele enfocarse en:

• Control de fondos restringidos por proyecto.
• Rendición documentada de gastos de campo.
• Separación entre ejecución programática y aprobación financiera.
• Conciliación entre presupuesto aprobado, ejecución y contabilidad.
• Seguimiento a observaciones de auditoría y cooperantes.

Errores frecuentes al implementar COSO 2013

En nuestra experiencia, los errores más comunes son:

• Creer que COSO es solo documentación: no basta con manuales si no se aplican.
• Copiar políticas de otra empresa: los controles deben responder a riesgos reales.
• No involucrar a la gerencia: el tono de control empieza arriba.
• Descuidar el monitoreo: sin seguimiento, los controles se debilitan.
• No considerar el riesgo de fraude: aspecto expresamente reforzado en COSO 2013.

Base legal y marco de referencia en Perú

Aunque el Framework COSO 2013 no forma parte de una ley específica en Perú, su implementación contribuye al cumplimiento de deberes de diligencia y adecuada administración previstos en la Ley General de Sociedades, Ley N.° 26887. Por ejemplo:

• Artículo 171: establece la responsabilidad de los directores por los acuerdos contrarios a la ley, al estatuto o realizados con dolo, abuso de facultades o negligencia grave.
• Artículo 177: regula la responsabilidad de los gerentes por incumplimiento de sus obligaciones, dolo, abuso de facultades y negligencia grave.

Un sistema de control interno razonable ayuda precisamente a demostrar diligencia en la gestión, supervisión y resguardo del patrimonio de la entidad.

Ejemplo práctico integral

Una mediana empresa agroindustrial en Lambayeque, con ventas de S/ 25 millones, enfrentaba tres problemas simultáneos: diferencias de inventario, retrasos en cobranzas y observaciones tributarias por sustentos incompletos. Al evaluar su sistema bajo COSO 2013 se detectó lo siguiente:

• Ambiente de control: funciones poco definidas y exceso de decisiones centralizadas.
• Evaluación de riesgos: no existía matriz de riesgos ni priorización.
• Actividades de control: conciliaciones tardías y falta de segregación en almacén.
• Información y comunicación: reportes comerciales y contables no coincidían.
• Monitoreo: no había seguimiento a incidencias repetitivas.

Se implementó un plan de mejora de seis meses con responsables, cronograma e indicadores. Como resultado, la empresa redujo sus ajustes de inventario, mejoró la recuperación de cuentas por cobrar y ordenó la documentación de gastos observables por SUNAT. El cambio no provino de un solo control, sino del fortalecimiento coordinado de los cinco componentes.

Conclusión

El Framework COSO 2013 sigue siendo una referencia clave para entender y fortalecer el control interno en empresas y ONGs. Sus cinco componentes —ambiente de control, evaluación de riesgos, actividades de control, información y comunicación, y monitoreo— permiten construir una gestión más ordenada, transparente y resistente a errores, fraudes y contingencias.

En la realidad peruana, aplicar COSO 2013 no significa burocratizar la operación, sino establecer controles proporcionales al tamaño y riesgo de cada organización. Un buen sistema de control interno protege recursos, mejora decisiones y genera confianza frente a socios, directivos, donantes, bancos, SUNAT y auditores.

Si su empresa u ONG necesita evaluar o fortalecer su sistema de control interno, puede escribirnos a auditor@carloslingan.pe para una revisión especializada.