- Evaluación de Riesgos: Todas las entidades se enfrentan a diversos riesgos procedentes de fuentes tanto internas como externas, lo que debe ser detectado y evaluado al nivel correspondiente. La detección oportuna de los riesgos relevantes atenúa el efecto nocivo que pueden ocasionar y que inciden en el logro de los objetivos de la entidad, pudiendo adoptar acciones correctivas; de hecho el control Interno eficaz está concebido para limitar el efecto de dichos riesgos. Sus normas son:

- Identificación del riesgo
- Estimación del riesgo
- Determinación de los objetivos de control
- Detección del cambio y evaluación

La entidad debe ser consciente de los riesgos y enfrentarlos. Debe señalar objetivos, integrados con ventas, producción, mercadeo, finanzas y otras actividades de manera que opere concertadamente. También debe establecer mecanismos para identificar, analizar y administrar los riesgos relacionados.

- Actividades de Control: Son todas las políticas y procedimientos que aseguran que las instrucciones de la administración se lleven a cabo y se relacionan con los riesgos detectados; dichas actividades se ejecutan en todos los niveles de la entidad y en cada una de las etapas de su gestión. Incluye aspectos como separación de funciones, organización de la documentación, niveles de autorización definidos, acceso a los recursos, control del sistema de información, indicadores de desempeño, la función de la auditoría interna, las normas de este componente:

- Separación de tareas y responsabilidades
- Coordinación entre áreas
- Documentación
- Niveles definidos de autorización
- Registro oportuno y adecuado de transacciones
- Acceso restringido a los recursos
- Rotación del personal
- Control del sistema de información y su tecnología
- Indicadores de desempeño
- Auditoría interna

Se deben establecer y ejecutar políticas y procedimientos para ayudar a asegurar que se están aplicando efectivamente las acciones identificadas por la administración como necesarias para manejar los riesgos en la consecución de los objetivos de la entidad.

- Información y Comunicación: Se debe obtener, procesar y comunicar la información pertinente de manera oportuna a las personas de la entidad para que se encuentren en condiciones de asumir su responsabilidad. Los informes deben ser claros, concretos y comprensibles. El proceso de comunicación ha de permitir la difusión de los valores éticos de la entidad, así como de su misión, políticas, objetivos y resultados de su gestión. Las normas son:

- Su Información y responsabilidad
- Contenido y flujo de información
- Calidad de la información
- Flexibilidad al cambio
- Sistema de información
- Compromiso de la dirección
- Canales de comunicación

Los sistemas de información y comunicación se interrelacionan. Ayudan al personal de la entidad a capturar e intercambiar la información necesaria para conducir, administrar y controlar sus operaciones.

· Supervisión y monitoreo: El control interno tiene que ser supervisado y evaluado de forma sistemática para determinar si el mismo se desarrolla en la forma esperada. Las actividades de monitoreo permanente incluyen las supervisiones ejecutadas por la dirección de la entidad, por los responsables de las áreas o por el trabajador en su propio puesto de trabajo. La manera actualizada de implementar el control interno exige la modificación de la forma en que el mismo se evaluaba, al tener que incorporar los componentes que lo integran haciendo mas integral su análisis; a diferencia de las evaluaciones que se practicaban que hacían mayor énfasis en la revisión de los aspectos puramente contables de la entidad sin incluir otros elementos que inciden en la gestión de la entidad. Siendo sus normas:

- Evaluación del sistema de control interno
- Eficacia del sistema de control interno
- Auditoría del sistema de control interno
- Validación de los supuestos asumidos
- Tratamiento de las deficiencias detectadas

Debe monitorearse el proceso total, y considerarse como necesario hacer modificaciones. De esta manera el sistema puede reaccionar dinámicamente, cambiando a medida que las condiciones lo justifiquen.

Estos componentes se integran en el proceso de gestión y operan en distintos niveles de efectividad y eficiencia, los que permiten que los directores se ubiquen en el nivel de evaluadores de los sistemas de control, en tanto que los gerentes que son los verdaderos ejecutivos, se posicionen como los propietarios del sistema de control interno, a fin de fortalecerlo y dirigir los esfuerzos hacia el cumplimiento de sus objetivos.