Professional Documents
Culture Documents
Marco y Apéndices - Parte 1 2013
Marco y Apéndices - Parte 1 2013
Marco y Apéndices
pwc
Control Interno - Marco Integrado
Marco y Apéndices
Mayo 2013
-
pwc . h&lll\ltOtk
AudJtore lntemos
Committee of Sponsoring Organizations of
: e Treadway Commission
0 .'/C-Autor
Miembros en General
Jennifer Burns James Deloach Trent Gazzaway
Deloitte Protiviti G rar:; "'"hom ton
Partner Managing Director Pa~r
Observadores
James Dalkin Harrison E. Greene Jr. Christian Pea
Government Accountability Office Federal Deposit lnsurance Securities and Exchange
Director in the Financia/ Corporation Commission
Management and Assistant Chief Accountant Professtonal Accounting Fellow
Assurance Team (Through June 2012)
"'1arco
Apéndices
En estos veinte años desde la creación del marco original, las organizaciones y su en-
torno operativo y de negocio han cambiado de forma dramática, siendo cada vez más
complejos, globales y tecnológicos. Al mismo tiempo, los grupos de interés están más
comprometidos buscando una mayor transparencia y responsabilidad con respecto a la
integridad de los sistemas de control interno que apoyan la toma de decisiones y el buen
gobierno corporativo de la organización.
Previo a la publicación del Marco, COSO pubUcó a G::.te ::-.=:a s:.t:l9'l~..... ::<Es s<emas
de control interno para ayudar a las organizaci<Y'es a :?'"'"":n-~ ~ ~es de
supervisión dentro de un sistema de control -·e:'""C. S - =-
~ g¡.;¡a ~ -= ::r:o;>-rada para
ayudar en la aplicación del marco ong1nal. COSC ~?::. a:E .sg:E ;::r: ::;a.ra e
Marco actualizado.
Por último, el consejo de COSO quiere agradece~ a o-.-. e y a. ::onse.::- :.s.:s.-""'1!" ::xy su con-
tribución en el desarrollo del Marco y de los docure--:.:::s .,.~~ Su : "austrva
consideración de las aportaciones realizadas oor os cs-..;rr.:os ;-""..:.:JOS ~ -..eres ; sus
análisis han sido fundamentales para garant1zar cue los 01~r;:.:::; :::~ ·~:s ::e: k: :s~ctura
original hayan sido conservados, aclarados y fortalecioos.
Jay:c _ Landsittel
.~ cerre de COSO
26 de Junio de 2014
Esta definición de control interno es intencionadamente amplia por dos razones. En pri-
mer lugar, captura conceptos importantes que son fundamentales para las organizacio-
nes respecto a cómo diseñar, implementar y desarrollar el control interno, así como para
El Marco usa el térm1no "consejo de adm1n1stración'' para refenrse al máximo órgano de gobierno. Inclui-
dos los consejeros, los socios generales, los propietarios o el conseJO de supeNisión.
evaluar la eficacia del sistema de control interno. cons¡_7;.. :r_,: :s -..a:;¿_~ :Jara su
aplicación en diferentes t ipos de organizaciones. sec:or-:::5 -= __ g:-::.o= ~- -:as. En se-
gundo lugar, la definición se adapta también a los c.s- -os s.....=:=-..:-=-,-..:: ~~ .::orrrol in-
terno.
El Marco establece tres categorías de objetivos e-= :::~=- =. =" ~2."".::.ac ones cen-
trarse en diferentes aspectos del control tnterno:
Estas categorías diferenciadas y a la vez con areas e"' ce.----- -"" ~ esoec'fico =
puede recaer en más de una categoría- abordan o"erer:es a:~ces • :J-... ooen
constituir la responsabilidad directa de diferentes personas ::S¿s ~:S ::z:gCTlas tam-
bién indican las expectativas que se espera del conrro ~=""'o .
Un sistema de control interno debe aportar a una orgar,n;cor ..- - ::.. ::e asegura-
miento razonable para la consecución de los ob¡ettvos re ac100aeos ::o.- a -•o,....,ación
externa y el cumplimiento de las leyes y las regulactones _a co-~ ::: esos objeti-
vos, los cuales se basan principalmente en leyes. d1rectrices -eg_ a::ac ~es o "10nllas es-
tablecidas por legisladores, reguladores y organismos de GOr'-"'D cs-:r.:-ce'a de como se
lleven a cabo las actividades que se encuentren ba¡o e contra oe a orga; z.acto'1. En
términos generales, la dirección y/o el consejo de admin1srrac O" so,.. mas conservado-
res a la hora de fijar objetivos de información interna que no es.e"' ""'': ,aaos POr los
agentes externos anteriormente citados. Sin embargo, la orga..n..::.ac or ¡x.eoe optar por
alinear los objetivos de información interna y externa de manera a~..e a nfofT"'lactón in-
terna respalde la información externa de la organtzacton.
En aquellos casos en los que sea improbable que eventos externos puedan tener un im-
pacto significativo en la consecución de determinados objetivos operacionales o cuando
la organización pueda predecir, de manera razonable, la naturaleza y el momento en el
que se produzcan determinados eventos externos y mitigar su impacto a un nivel acep-
table, la organización podrá obtener un nivel de seguridad razonable de que podrá cum-
plir estos objetivos. Por ejemplo, imaginemos que la dirección establece el objetivo de
llevar a cabo el mantenimiento rutinario de los equipos cada 500 horas de funciona-
miento. La dirección cree que la consecución de este objetivo se encuentra en gran me-
dida bajo su control, si bien reconoce que pueden existir eventos externos -como
pueda ser una pandemia que provoque una reducción significativa de su plantilla de per-
sonal y por tanto la correspondiente reducción en las horas de mantenimiento llevadas a
cabo- que puedan impactar en la consecución de este objetivo, pero que es improba-
ble que se produzcan.
Un proceso
Los procesos de negocio, que se llevan a cabo dentro de un área operativa o un área
funcional específica o a través de varias de ellas, son gestionados a través de las activi-
dades habituales de la dirección, tales como la planificación, la ejecución y la supervi-
sión. El control interno se integra por tanto, en todos estos procesos. El control interno
integrado en estos procesos y actividades es más eficiente y efectivo que aquellos con-
troles desarrollados de manera aislada.
2 Aunque se pueda hacer referencia al control 1nterno como un proceso, en realidad 1ncluye múlt1ples pro-
cesos.
El control interno es llevado a cabo por el corse¡a ce ac- - -.._.d: :;- a a rección y otros
miembros de la organización. Por tanto, son 1as ::>ersCX".as e; ..a :xga:-;zac1ón quienes lo
desarrollan a través de lo que dicen y lo que 1-,ace"' Sor. tas ~.as c ... enes estable-
cen los objetivos de la organización y ponen er' ,...are :a las acoones para conseguir los
objetivos establecidos.
Todos los días surgen cuest iones y problem as en la gestlo"' ce --.a ocgar.:zac1on. En una
organización puede haber personas que no comprendan p e"la.~er:~a a r.a:uraleza de
estas cuestiones y problemas o las alternativas que t ener a su o SOOSICIO'l' puede que
no las comuniquen eficazmente, o que no las desarro. en oe marera coherente. Cada
persona aporta a su organización un perfil único de capac.caces y •orrnac1on profesional
y cada una de ellas tiene por tanto prioridades y neces oaoes es: ":as Estas diferencias
individuales pueden resultar enormemente valiosas y bemr''ciOSaS ae cara a la innova-
ción y a la productividad, pero si no se alinean de forma aoecuada con 10S objetivos de
la organización, pueden resultar contraproducentes. S1n e'""oargo caoa profesional de
una organización debe conocer sus responsabilidades y e ,....,~e oe su auwndad. Por
consiguiente, es necesario que exista un vínculo claro y esrrec'10 e"' --re as func1ones y
responsabilidades de las personas y la forma en que estas oo gac o,es son comunica-
das, llevadas a cabo y son alineadas con los objetivos de la organ zac101"
La seguridad razonable no implica que una organización siempre vaya a conseguir sus
objetivos. Un control interno efectivo incrementa la probabilidad de que una organiza-
ción consiga sus objetivos. Sin embargo, la probabilidad de consecucton de dichos ob-
jetivos se ve afectada por las limitaciones inherentes a todos los s1stenas de control
interno, tales como los errores humanos, las incertidumbres Inherentes at entena profe-
sional y el potencial impacto de acontecimientos externos a¡enos al control de la direc-
ción. De igual manera, las personas pueden eludir un sistema de contra Interno si existe
connivencia o confabulación entre ellas. Además, si la direcc1ón es capaz de eludir los
El control interno puede por tanto aplicarse, en base a las decisiones de la dirección y en
el contexto de los requisitos legales o regulatorios, sobre el modelo operativo adoptado
por la dirección, la estructura de la organización jurídica o combinación de ambas.
Introducción
Una organización adopta una mistón y una" 1$1()("', es-...a:J:ece ~gg•as. fija objetivos a
conseguir y formula planes para lograrlos. :>tenas oc: I!'.J5;::); a::er ~ · arse para una or-
ganización en su conjunto o bien pueden a ng rse a ac;;; ~ esoecr"icas de la organi-
zación. Si bien existen objetivos específicos oara caca :xga.na:ac ~ a_¡gunos de ellos
pueden considearse comunes. Por ejem plo, a.g nos o _ ~ e-=
sor comunes a la
mayoría de las organizaciones son la con5eCUC100 e: :xno COGlO Cf'92.."t.ZaCión, la infor-
mación a las partes interesadas, la contrataCIOO y r::EOOCCi. ue ~::¡, aaoos motivados y
competentes, la obtención y mantenim1emo oe -.a reo'-~ co;-....<Ya:t;,a posit iva y el
cumplimiento de la normativa y regulac1ón.
Para apoyar a la organización en sus esfuerzos oor logaT S;.;S OOj~vos. se dispone de
los cinco componentes del control interno:
• Entorno de control
• Evaluación de riesgos
• Actividades de control
• Información y comunicación
• Actividades de supervisión
3. A lo largo del Marco, la expresión "la organizac1ón y sus subunidades" hace referenoa dE manera colec-
tiva al con¡unto de la organización. divisiones. filiales. unidades operatiVaS y ~.es
Cada organización debería tener un sistema de control interno específico y distinto al del
resto de organizaciones. Las organizaciones, objetivos y sistemas de control interno di-
fieren en función del sector y el entorno regulatorio así como en función de factores in-
ternos tales como el tamaño, la naturaleza del modelo operativo adoptado por la
dirección, la tolerancia al riesgo, la dependencia en tecnología, la capacidad del perso-
nal y los recursos de personal disponible. Por tanto, si bien todas las organizaciones ne-
cesitan de cada uno de estos componentes para mantener un control interno efectivo
sobre sus actividades, el sistema de control interno de una organización siempre será di-
ferente al de cualquier otra organización.
Objetivos
La dirección, bajo supervisión del consejo de administración, establece objetivos a nivel
de organización que se alinean con la misión, visión y estrategias de la organización.
Estos objetivos de alto nivel reflejan las opciones elegidas por la dirección y el consejo
de administración con respecto a la manera en que la organización trata de crear, con-
servar y materializar el valor para sus grupos de interés. Estos objetivos pueden cen-
trarse en las necesidades específicas de las operaciones de la organización o bien
alinearse con las leyes, reglas, regulaciones y normas impuestas por los legisladores, or-
Las personas que forman parte del sisteMa de cc~<:::lfl :no:: :::-oe-- comprender los
planes estrategicos y objetivos generales estao eoccs OCK .a a-:...ar- -=ac•ón. Como parte
del control interno, la dirección especrfica aoje: .os ao..=c-...a.."'CS ~= '""1arera que puedan
identificarse y evaluarse los riesgos ex stertes para a co.-..sacocor de d1chos objetivos.
El establecimiento de estos objetivos 1nclu1 e la arJco_ a =- :.:-_-.os ootettvos que sean
específicos, medibles u observables, alcanzaD es. re a a.~-:s y -.acos en el tiempo.
Sin embargo, puede haber casos en los que una organ:zac«X'i oc GOCuMente expresa-
mente un objetivo. Los objetivos especrficados a ....... ,., =::: ..::E!a : aaecuado podrán
ser comprendidos con mayor facilidad por aque, as oorso.~.as e e ;raoa,en directamente
para conseguirlos.
Categorías de Objetivos
El Marco agrupa los objetivos de una organrzac1or- er :res ccr.egorias. operativos, de in-
formación y de cumplimiento.
Objetivos Operacionales
Los objetivos operacionales hacen referencia a la consec..JC'Dr' ce 'a m•s•ón y visión bási-
cas de la organización, la razón fundamental de Sú ex 1s:e~ Es:os oOietiVOS varían en
función de las opciones elegidas por la direccion en relació,.. cor e "1odelo operacional,
las características sectoriales y el desempeño. Los ob¡et ..os a "' . e de organización se
desglosan a su vez en subobjetivos para las operaciones espec~cas centro de las sub-
divisiones, filiales, unidades operativas y funciones. ding1oos a no-ernentar la eficiencia y
eficacia en la consecución de su objetivo principal.
Por tanto, los objetivos operacionales pueden estar relacionados con 1a mejora del des-
empeño financiero, la productividad (por ejemplo, reduc1r los desoero1C1os de materias
primas y la duplicidad de tareas), la calidad , las prácttcas med OaTl"Oienta•es. la innova-
ción y la satisfacción del cliente y de los empleados. Estos objet1vos son aplicables a
todo tipo de organizaciones. Por ejemplo, una organización con an mo oe ucro puede
centrarse en la generación de ingresos, en la rentabilidad, en el retomo sobre los activos
y la liquidez. Por el contrario, una organización sin ánimo de lucro S• b1en es evidente
que se preocupará por la generación de ingresos y los niveles de gasto se centrará en
aumentar la participación de sus donantes. Por su parte, una admin1strac1ón pública
puede centrarse en conseguir la misión establecida por el correspondiente organo de
gobierno o legislador, gestionando de manera eficiente y eficaz los programas específi-
cos del gobierno y su gasto en línea con los objetivos establecidos. S 1os objetivos ope-
racionales de una organización no están bien definidos o claramente especificados, sus
recursos podrían ser utilizados de manera deficiente.
Protección de Activos
Las leyes, reglas, regulaciones y normas externas han creado la expectativa de que la in-
formación proporcionada por la dirección sobre el control interno debe incluir los contro-
les relativos a la prevención y detección de adquisiciones, usos o ventas no autorizados
de los activos de la organización. De igual manera, algunas organizaciones consideran la
protección de los activos como una categoría aparte de objetivos, y de hecho esta visión
tiene cabida también en la aplicación del Marco.
Objetivos de Información
~
• Se preparan de acuerdo
Estados Financieros Informes de Sostenibilidad con normas externas
Intermedios
Cadena de Suministro/
...E Publicaciones de Resultados Custodia de Activos
• Puec;:n ser exigidOs por
reguladores contratos,
Q.)
>< acuerdos
...
!:!::!.
E Los objetivos de información Los objetivos de información
Q.)
financiera interna pueden no financiera interna pueden
~ hacer referencia a: hacer referencia a: • Pueden utilizarse para
Informes Financieros de Utilización de Activos/ gestionar el negocio y la
Divisiones Personal toma de decisiones
Análisis de Rentabilidad de Parámetros de Satisfacción • Establecidos por la
Clientes del Cliente d1rección y el consejo
Cálculos de Covenants Parámetros de Salud
Bancarios y Seguridad
fuerzas de integración efectuados con respecto a una fusión, la organización debe espe-
cificar objetivos de información interna (por ejemplo, preparar informes confiables, rele-
vantes y de utilidad), asignar responsabilidades a personas competentes, evaluar los
riesgos relacionados con determinados objetivos, seleccionar y desarrollar los controles
dentro de los cinco componentes necesarios para mitigar dichos riesgos y supervisar los
componentes del control interno que asisten en la consecución del objetivo de informa-
ción no financiera especificado.
Objetivos de Cumplimiento
Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de definir sus
objetivos de cumplimiento, la organización debe comprender qué leyes, reglas y regula-
ciones son aplicables transversalmente a la organización. Muchas leyes y regulaciones
son, en general bien conocidas, como por ejemplo aquellas que guardan relación con
los recursos humanos, la fiscalidad y el cumplimiento de la legislación medioambiental;
pero otras pueden resultar menos conocidas, como por ejemplo aquellas aplicables a
una organización que quiera llevar a cabo sus operaciones en una jurisdicción o territorio
extranjero remoto.
Las leyes y las regulaciones establecen unas normas mínimas de conducta esperables
de una organización. La organización debe incorporar estas normas a los objetivos esta-
blecidos para la organización. Algunas organizaciones fijarán objetivos a un nivel de
desempeño superior al requerido por las leyes y regulaciones. A la hora de fijar estos ob-
jetivos, la dirección puede ejercer prudencia en relación a la actividad de la organización .
Por ejemplo, una ley en particular podría limitar el número de horas que un menor de
edad pueda trabajar fuera del horario escolar hasta un máximo de 18 horas a la semana.
Sin embargo, una cadena de restaurantes podría optar por limitar dicho máximo de
horas para menores de edad a 15 horas a la semana.
Estos objetivos vienen establecidos en su mayor parte por a eg:s:aox. o la reg ulación,
y se consideran dentro de la categoría de objetivos oe c..~mo - en:o. c e 'nformación ex-
terna o, como en estos ejemplos, en ambos.
Objetivos y Subobjetivos
La dirección vincula los objetivos definidos a nivel de organización con subobjetivos más
específicos que se trasladan a todos los niveles de la organización. Los subobjetivos
también se establecen como parte o resultado del proceso de definición de la estrategia,
afectando a la organización y sus unidades de negocio y a sus actividades tales como
ventas, producción, ingeniería, marketing, productividad, recursos humanos, innovación
y tecnologías de la información. La dirección alinea estos subobjetivos con los objetivos
definidos a nivel de organización y los coordina a todos los niveles de la organización.
Cuando los objetivos a nivel de organización son coherentes con el desempeño y las
prácticas anteriores, la conexión entre estas actividades suele ser evidente. Cuando los
objetivos se distancian de las prácticas anteriores de la organización, la dirección debe
abordar estas conexiones o aceptar el correspondiente incremento de los riesgos. Por
ejemplo, un objetivo a nivel de organización relacionado con la satisfacción del cliente
dependerá de los objetivos específicos relacionados con la introducción de servicios
que utilicen una infraestructura tecnológica más nueva y menos probada. Puede que
sea necesario cambiar significativamente estos subobjetivos si las prácticas anteriores
utilizaban tecnologías más maduras y probadas.
Las organizaciones pueden establecer múltiples subobjetivos para cada actividad, deri-
vados tanto de los objetivos establecidos a nivel de organización como de las normas
existentes en relación con los objetivos de cumplimiento y de información, según se
considere pertinente de acuerdo con las Circunstancias. Por ejemplo, los objetivos ope-
racionales en el área de compras de una organización pueden hacer referencia a:
Puede observarse otro ejemplo similar cuanoo a ::s...::..= =:c::r : : : :.s acecuados de in-
formación externa relativos a la preparacion ce !JS :s=:- -='"'-~:ros :-r.emos, la di-
rección tiene en cuenta las normas contab es as ¿ .a_~~ r;;: -::cas en los estados
financieros y las características cualitativas cue sor a.:;...:;¿:~~ a ;x:....a~ zac1ón y a sus
unidades de negocio. Por ejemplo, la direcciOf' o...a::: :s:a..:: =--sr -- :::::
:t o de informa-
ción financiera externa a nivel de orgamzaCKY' ce .as-;- :r-..: -..z.¡:-ra_ ~ Jestra compa-
ñía prepara estados financieros confiables que ~e a.-- = :c:r-.:;.C~-:s, aconteci-
mientos de acuerdo con los principios contab es ger::r::~ ~:acos.-
La dirección también especifica subob¡etivos ac~..s ::.a-=: as ::. s.ores, filiales, uni-
dades operativas y funciones con suficiente e arcar. :::as r=:s:;;a;;--a: s..s objetivos a nivel
de organización. Por ejemplo, la dirección esoecrfi:a ~....::.:: I':J:S :Jara as transacciones
de ventas sobre los que se aplican las noiT'las c;or.-..,_.,es :l~-: ·:os ce acuerdo con las
circunstancias y que abordan las afirmac1ones -e e e:.: ;es ="=e-~ en os estados fi-
nancieros y sus características cualitativas. ta.es cor..c;
A continuación se incluye un resumen de cada uno de los e 'leo co~oo-entes del sis·
tema control interno y de los principios relativos a cada com¡:xwer:e Caoa pnncipio es
analizado dentro del capítulo sobre el componente correspono e'"'te·
Entorno de Control
El entorno de control es el conjunto de normas, procesos y estructuras aue constituyen
la base sobre la que llevar a cabo el sistema de control interno de la organiZación. El
4 A los efectos del Marco. cuando se describen los pnncipios, se utiliza el term oo •orga¡-,.zac10f1" para cap-
turar (colectivamente) el significado del consejo de administración. la drecc100 y e res¡o del personal.
Normalmente el consejo de administración actúa en su calidad supervisora de acue-dO con este término.
Evaluación de Riesgos
La evaluación de riesgos implica un proceso dinámico e iterativo para identificar y anali-
zar los riesgos asociados a la consecución de los objetivos de la organización, constitu-
yendo así la base sobre la que determinar cómo se deben gestionar dichos riesgos. La
dirección considera los posibles cambios que se puedan producir en el entorno externo
así como aquellos dentro de su propio modelo de negocio y que puedan impedir su ca-
pacidad para lograr los objetivos.
Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y procedi-
mientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la direc-
ción para mitigar los riesgos que incidan en la consecución de los objetivos. Las
actividades de control se llevan a efecto a los niveles de la organización, en las diferen-
tes etapas de los procesos de negocio y sobre el entorno tecnológico.
Información y Comunicación
La información es necesaria para que la orgaJ"' z.aciOfi oue-~ a.' a caoo sus responsa- =
bilidades de control interno en aras de consegu r sus oo::: ::::s .....a corr.umcac1ón ocurre
tanto interna como externamente y proporciona a a orgar ~ a - •orrnación necesa-
ria para llevar a cabo los controles necesanos e'l SlJ da a c;a _a COCT'untcación permite
a las personas comprender sus responsabilidades oen~ ce ~=:na de control interno
y su importancia con respecto a la consecucion de os oo¡:nvos
Actividades de Supervisión
Las evaluaciones continuas, las evaluaciones separadas o una comb,nación de ambas
son utilizadas para determinar si cada uno de los cinco componentes del sistema de
control interno -incluidos los controles para cumplir los princ1p1os de cada componente-
están presentes y funcionan adecuadamente. Los hallazgos se evalúan y las deficien-
cias se comunican de forma oportuna, al tiempo que los asuntos mas graves se reportan
a la alta dirección y al consejo.
• El hecho de contar con un consejo de administración que incluya a miembros con in-
dependencia suficiente de la dirección y que lleven a cabo su función de supervisión
es parte del control interno. No obstante, muchas decisiones alcanzadas por el con-
sejo no son parte del control interno; por ejemplo, la aprobación de una visión o mi-
sión en particular. El consejo también.desempeña una serie de responsabilidades de
gobierno además de sus responsabilidades de supervisión del control interno.
Como parte del sistema de control interno, una organización especifica sus objetivos:
- - -- - - -
5 "ApetitO de riesgo'' se define como la cantidad de nesgo. a n1ve1 general. que una organización está diS-
puesta a aceptar en su 1ntento por cumplir su m1S1ón/vis1on.
Establecer
Las partes externas esta- Se fijan ob¡et1vos estra:e- Se ut,rzan los objetivos y
blecen leyes, reglas y nor- gICOS y Se seleCCIOna la sus objetivos especifica-
mas (en caso aplicable) estrategia en el contexto JOS como base para la
relativas a los objetivos de de la visión o m1s1ón esta- eva;uación de riesgos.
cumplimiento y de infor- blecida por la organ,za-
mación financiera externa ción.
Se f1jan los ob¡etrvos a
mvel de orgamzac1ón y se
desarrollan las to1eranc1.1s
al riesgo en base a requ s-
tos de la orgamzac1ón aoe-
cuados a las
c1rcunstanc1as
Se alinean los obtetivos
con la estrategia de la or-
ganización y el apetito al
riesgo general
Se lr¡an ObJetlvos y sub-
ObJetivos para la orgamza-
ción y sus unrdades de
negocio adecuados a las
circunstancras.
S
El Financtal Accounting Nuestra compañia prepara la a reroo- en...a y ox::- ....a e ;ce on ídenltfica y
Standards Board (FASB) estados financieros confia- r..!T!Ia au; los -: E.' :: e-t4-C os BSQOS relati-
estableció principios con- bles que refle1an las opera- son aa~ a las ·- DS .a J.a oreparacrón de es-
tables generalmente acep-
tados en Estados Unidos
ciones y acontecimientos
de acuerdo con los US
cunstanaas ="
trano la d ~¡pe¡;¡
cas. ~ ta..~ ",nanc"eros
co,..._..a:J ~ oue reflejan las
(US GAAP) GAAP. sus co.~:::2.."1CS :on P-S- aa; caves de acuerdo
~0 t'rDC:-50 t1e .. con os US GAAP
Un organismo regulatono Nuestra compañia reco- CtÓO Oé o: :" .~
establece una norma con- noce los ingresos por ven- la e ·w: on fmancrera de
table sobre el reconoci- tas en el momento de la l.a U" Ciad operatrva identi-
miento de mgresos. instalación de los equipos , t.a . evalúa los riesgos
en el caso de los arrenda- rela~.os al registro de los
mientos de capital en mo- mgresos relacionados con
dalidad de venta o las \entas de equipos de
reconoce los ingresos por att~erdo con los US GAAP.
alquileres durante el pe-
riodo del arrendamrento
operativo.
No apltcable para ob)etrvos Nuestra compañia trata de La d1reccrón de la unróad !.a ll reccrón de la umdad
operacionales mejorar los resultados rn- operatrva evalúa la rdoner- ooera:.va 1dent11rca y eva-
crementando la ratio de dad de los ObJetivos ope- lúa los nesgas existentes
rotación de existencias a racionales en relación con C:e cara a cumplimiento de
12 veces al año. al tiempo las metas establecidas de -na ca¡¡o de rotación de
que es consciente de que rotación de existencras y e ·~:nc¡¡¡s de 12 veces al
unos menores niveles de productos no dispon1bles año.
existencias pueden derivar en stock. En caso contra-
en un mayor número de rio. la direccrón financ era
productos no disponibles de la unidad operativa
en stock para los clientes. aporta sus comentarros
con respecto al proceso de
fijacrón de objetrvos.
Li m itac iones del control interno
El Marco reconoce que, si bien un sistema efectivo de control interno proporciona una
seguridad razonable acerca de la consecución de los objetivos de la organización, exis-
ten limitaciones inherentes. Incluso un sistema de control interno efectivo puede experi-
mentar fallos . Estas limitaciones pueden ser el resultado de:
• La idoneidad de los objetivos establecidos como condición previa para el control in-
terno.
• Incidencias que se pueden producir por fallos humanos, tales como el producto de
errores.
• Cada uno de los cinco componentes del control interno y los principios relevantes
estén presentes y en funcionam iento6 •
• Operacionales-la organización:
El Marco establece que los componentes y los principios son requisitos para un sist ema
de control interno efectivo. No establece, sin embargo, el proceso sobre cómo la direc-
ción debe evaluar su eficacia.
6. En el Capitulo 4. Constderaciones adicionales, se introducen una sene de puntos de interés que constttu-
yen Importantes caracterisl!cas de los princ¡pios. El Marco no requtere que la direcctón evalúe por sepa-
rado s1 estos puntos de tnterés se encuentran presentes.
Idoneidad y relevancia de los componentes y prin-
CIPIOS
El Marco considera que todos los componentes del control interno son adecuados y re-
levantes para todas las organizaciones.
Los principios son conceptos fundamentales asociados con los componentes. Como
tales, el Marco considera que los 17 principios son adecuados para todas las organiza-
ciones. El Marco considera que los principios son relevantes porque tienen una influen-
cia significativa en la presencia y el funcionamiento de un componente asociado. Por
consiguiente, si un principio relevante no se encuentra presente y en funcionamiento, el
componente asociado no puede estar presente y en funcionamiento.
Presente y en funcionamiento
La expresión " presente y en funcionamiento" es aplicable tanto a componentes como a
principios.
Funcionar juntos
El Marco requiere que los cinco componentes funcionen juntos de forma integrada.
"Funcionar juntos" se refiere a la determinación de que los cinco componentes de ma-
nena conjunta reducen, a un nivel aceptable, el riesgo de no alcanzar un objetivo.
Cuando existe una deficiencia grave, la organización no puede concluir que haya cum-
plido los requisitos de un sistema de control interno efectivo. Existe una deficiencia
grave en el sistema de control interno cuando la dirección determina que un compo-
nente y uno o más principios relevantes no están presentes o en funcionamiento , o que
los componentes no funcionan juntos.
Para determinar si los componentes y los principios relevantes están presentes y en fun-
cionamiento, la dirección puede tener en cuenta controles que lleven a cabo los princi-
pios7. Por ejemplo, a la hora de evaluar si el principio Evaluar el riesgo de fraude se
encuentra o no presente y en funcionamiento, la organización puede considerar determi-
nados controles para llevar a cabo otros principios, tales como aquellos que guardan re-
lación con Establece estructuras, autoridad, responsabilidades hace cumplir la
responsabilidad por la rendición de cuentas. Al tener en cuenta controles inicialmente
considerados en el contexto de otros principios, la dirección puede determinar que el
principio Evalúa el riesgo de fraude está presente y en funcionamiento.
7. En el Cap1tulo 4, Consideraciones adicionales. se describe con mayor deten1m~ento el papel de los con-
troles y cómo llevan a cabo los princ1p1os.
En aquellos casos en los que una orgaP zaciO" a.P c ... e u"a ey. regla, regulación o norma
externa, la dirección deberá utilizar unrca,....e"te os crr:e..,os retevantes contenidos en di-
chos documentos para clasificar la gravedao o e as Oe.-e enc.as de control interno, en
lugar de basarse en las clasificaciones estab ecodas e" e Marco. El Marco reconoce que
cualquier deficiencia de control interno que de como resu .ado un sistema de control in-
terno no efectivo en virtud de tales cntenos amo en ..,oed ra que la dirección pueda
concluir que la organización ha cumplido os requ stos oe un sistema de control interno
efectivo de acuerdo con el Marco (por ejemplo. un ncump mrento importante relacio-
nado con objetivos operacionales o de cumpl m1ento o una deb1hdad material relativa a
objetivos de cumplimiento o de informacion externa
4. Consideraciones adicionales
Criterio profesional
El Marco requiere la aplicación del criterio profesional a la hora de diseñar, implementar
y ejecutar el sistema de control interno y evaluar su eficacia. El uso de dicho criterio pro-
fesional mejora la capacidad de la dirección para tomar mejores decisiones sobre el sis-
tema de control interno, pero no puede-garantizar resultados perfectos.
Dentro de los lfmites establecidos por las leyes, reglas, regulaciones y normas, la direc-
ción ejercita su criterio profesional en áreas importantes tales como:
• La aplicación de los componentes del control interno en relación con las categorías
de objetivos.
• La aplicación de los componentes del control interno y los principios dentro de la es-
tructura de la organización.
Puntos de interés
El Marco describe una serie de puntos de n;:e.-es co..~e son características importantes de
los principios. La dirección puede determ nar co..~e a.Jg~;rcs de estos puntos de interés no
son adecuados o relevantes y puede rdenMcar 1 ~e~er en cuenta otros puntos de interés
Con base en las circunstancias especrrcas de a orgarcactón. Estos puntos de interés
pueden ayudar a la dirección a la hora de d1señar 'l"D erentar y llevar a cabo el control
interno así como al evaluar si los principios re e11antes están de hecho presentes y en
funcionamiento. El Marco no requiere que 1a direceton evalue por separado si estos pun-
tos de interés se encuentran presentes.
Tecnolog ía
La tecnología puede resultar esencial para apoyar a - - :ce "'""'"' ='"' a consecución de
los objetivos de la organización y me¡orar e con· s.:x::r: -e: ac; ldades de la organiza-
8. Dado que se trata de un marco basado en pnnc1p10S y dado que la tecnol0g1a esta constantemente evo-
lucionando. el Marco no aborda tecnologías espec1f>CaS ta:es como e cloud cor1putlng o las redes socia-
les.
Entidades de mayor tamaño frente a
org anizaciones de menor tamaño
_os principios que subyacen a los componentes del control interno son aplicables tanto
a as organizaciones de mayor tamaño como a las de menor tamaño. Stn embargo, los
modelos utilizados para su implementación pueden variar en el caso de las organizacio-
'1es de menor tamaño, con independencia de si la organización cotiza en un mercado de
valores, es de propiedad privada, es un organismo público o una organización sin ánimo
de lucro. Por ejemplo, todas las organizaciones cotizadas cuentan con un consejo de
administración u otro órgano de gobierno similar con responsabilbidades de supervisión
sobre la información de la organización. Una organización de menor tamaño puede tener
una estructura societaria y un modelo operativo de gestión menos complejos así como
una comunicación con los administradores más frecuente, lo cual permita adoptar un
enfoque diferente de supervisión por parte del consejo. De igual manera, de la misma
manera que muchas organizaciones cotizadas a menudo est án obligadas a contar con
un canal de denuncias, este tipo de procedimientos de comunicación pueden variar en
el caso de organizaciones de menor tamaño u otro tipo de grandes compañías no coti-
zadas. En una organización de grandes dimensiones, por ejemplo, el volumen de even-
tos comunicados puede exigir que inicialmente se comunique un incidente a un
departamento interno de personal previamente identificado, mientras que en una organi-
zactón de menor tamaño puede que se comunique directamente al presidente del co-
mtté de auditoría.
Las organizaciones de menor tamaño suelen tener una serie de ventajas diferenciadas
q ue pueden contribuir a conseguir un sistema de control interno efectivo. Estas ventajas
pueden incluir un mayor alcance del control ejercido por la alta dirección y una mayor
Interacción directa con el personal. Por ejemplo, las organizaciones de menor tamaño
puede que encuentren que las reuniones informales con los miembros del personal re-
sultan enormemente eficaces para comunicar información relevante para el desempeño
operacional de la organización, mientras que las compañías de mayor tamaño puede
q ue requieran de mecanismos más formales tales como la preparación de informes por
escrito, portales en la intranet, reuniones formales periódicas o teleconferencias para co-
municar asuntos similares.
Otros beneficios del sistema de control interno e'ect1v0 r'IC u1en tos siguientes aspectos:
• Una base para aquellas decisiones en las que sea necesario hacer uso del criterio
profesional en aspectos altamente subjetivos y significativos.
• Centrarse en aquellas áreas de riesgo que superen los niveles aceptables y deban ser
gestionados a todos los niveles de la organización puede reducir los esfuerzos desti-
nados a la mitigación de riesgos en áreas de menor importancia.
lUmiU~JdUUII~ H UiliUUCII~)
• Aplicar un lenguaje común -el Marco- que aborde los procesos y controles operacio-
nales, de información y de cumplimiento puede reducir el número de lenguajes utili-
zados para describir el control interno a todos los niveles de organización.
Costes
Generalmente, es más fácil abordar el aspecto de los costes a la hora de realizar una va-
loración coste/beneficio dado que en la mayoría de los casos los costes financieros se
pueden cuantificar de manera más precisa. Por lo general, se suelen considerar todos
los costes directos asociados a la implementación de medidas y respuestas de control
interno, más los costes indirectos cuando sea viable cuantificarlos. Algunas organizacio-
nes también incluyen los costes de oportunidad asociados al uso de los recursos.
En líneas generales, la dirección considera una amplia gama de factores de costes en re-
lación con los beneficios previstos a la hora de seleccionar y desarrollar los controles in-
ternos. Estos factores pueden incluir los siguientes:
• Considerar los pros y contras de contratar y retener empleados con un mayor nivel
de capacidades y los mayores costes de retribución que esto lleve aparejados. Por
ejemplo, una empresa privada, estable y de pequeñas dimensiones puede que no
quiera o pueda contratar a un director financiero que tenga experiencia trabajando
para empresas cotizadas.
• Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo activida-
des de control; el posible incremento de esfuerzos que dicha actividad añada al pro-
ceso de negocio; y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.
• Evaluar los efectos del aumento de la dependencia en las tecnologías. Si bien el es-
fuerzo requerido para llevar a cabo el control y el impacto que puedan tener los nue-
vos controles basados en tecnologías sobre el proceso de negocio puede que sean
pequeños, el coste relacionado con la selección, desarrollo, mantenimiento y actuali-
zación de la tecnología podría ser significativo.
• Comprender cómo los cambios en los requisitos de información pueden exigir una
mayor recopilación, procesamiento y almacenamiento de datos, lo cual podría impul-
sar de manera exponencial el volumen de datos necesarios. Con un mayor volumen
de datos a disposición de la organización, ésta afrontará el reto de evitar la sobre-
carga de información asegurándose un flujo de información adecuado, en el formato
Depende por tanto de la dirección cómo evaluar en una organización los costes frente a
los beneficios derivados de planteamientos alternativos a la implementación de un SIS-
tema de control, y qué medidas adoptar en ultimo término. No obstante. el coste por si
solo no es una razon aceptable para no Implementar el sistema de control 1nterno Las
valoraciones coste/beneficio respaldan la capacidad de la direcc1ón para desarrollar y
mantener un sistema de control interno que sopese la asignación de recursos humanos
en relacion con las areas de mayor nesgo, complejidad u otros factores relevantes para
los ob]et1vos de la organ1zac1ón.
Do e u mentación
Las organ1zac1ones desarrollan y mantienen una determinada documentación para su
s1stema de control 1nterno por diferentes de razones. Una de ellas cons1ste en aportar
claridad a las funciones y responsabilidades. lo cual favorece la coherencia a la hora de
cumplir las practicas. políticas y procedimientos de la organización en la gestión del ne-
gocio. Una documentación eficaz ayuda a capturar el diseño del control1nterno y a co-
municar aspectos como el qu1én, qué, cuando, dónde y por que de la eJeCUCIOn del
control interno. y a generar normas y expectativas de desempeño y de conducta. Otro
propósito de la documentación consiste en ayudar en la formación de personal nuevo y
en ofrecer mformación actualizada o de referencia para el resto de empleados. La docu-
mentación también aporta pruebas de la ejecución del control interno, permite su ade-
• En aquellos casos en los que la dirección deba rendir cuentas a reguladores, accio-
nistas u otras terceras partes con respecto al diseño y a la ejecución eficaz de su sis-
tema de control interno, la dirección tendrá un mayor grado de responsabilidad. Por
lo general, esto conlleva un cierto nivel de documentación para garantizar que cada
uno de los componentes y principios relevantes est án presentes y en funcionamiento
y que los componentes funcionan juntos. La naturaleza y el grado de documentación
necesarios podrán estar influidos por los requisitos regulatorios de la organización.
Esto no significa necesariamente que toda la documentación sea o deba ser más for-
mal, pero sí que se disponga de pruebas convincentes que muestren que los compo-
nentes y los principios relevantes están presentes y en funcionamiento, y que los
componentes funcionan juntos y que son apropiados para satisfacer los objetivos de
la organización.
• En casos en los que un auditor externo verifique la eficacia del sistema de control in-
terno, es probable que la dirección deba proporcionar al auditor el apoyo necesario
para llevar a cabo dicha verificación sobre la eficacia del control interno. Este apoyo
incluirá la generación de pruebas que muestren el sistema de control interno ha sido
diseñado adecuadamente y funciona de manera eficaz para proporcionar una seguri-
dad razonable de cara a la consecución de los objet ivos de la organización. A la hora
de considerar la naturaleza y el grado de documentación necesarios, la dirección de-
berá tomar en cuenta que la documentación para respaldar dicha verificación proba-
blemente sea utilizada por el auditor externo en el marco de su auditoría, lo cual
incluirá valorar la suficiencia de dicha documentación. De igual manera, la dirección
necesitará documentar aquellos casos significativos en los que se utilice el criterio
profesional , cómo se han valorado dichas decisiones y cómo se alcanzaron las deci-
siones finales.
Puede que siga habiendo casos en los que los controles sean informales o estén implíci-
tos en las decisiones y medidas adoptadas por la dirección . Esto puede ser adecuado
cuando la dirección sea capaz de obtener pruebas a través del desarrollo ord1nano de
las actividades del negocio que indiquen que el personal ha llevado a cabo de manera
ordinaria dichos controles. Sin embargo, es importante tener en cuenta que los contro-
les, tales como aquellos que se encuentran incorporados a las actividades de supervi-
sión o a las evaluaciones de riesgos, no pueden ser ejecutados en su totalidad sin que la
alta dirección tenga acceso a algún tipo de documentación sobre los análisis y procesos
de reflexión llevados a cabo por la dirección.
La documentación del sistema de control interno deberá satisfacer las necesidades del
negocio y ser proporcional a las circunstancias. El grado de documentación que res-
palde la presencia y el funcionamiento de cada uno de los componentes y los principios
relevantes del control interno, así como que los componentes funcionan juntos es una
cuestión de criterio profesional, y deberá llevarse a cabo teniendo en cuenta una ade-
cuada valoración de los costes que conlleve. De igual manera, la organización podrá be-
neficiarse de algún tipo de documentación formal que permita a la dirección reflexionar
sobre la lógica de los criterios profesionales aplicados y su alineación con los objetivos
de la organización.
éticos.
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
risticas relativas a este principio:
9. El Marco usa el térm1no "consejo de administración" para refenrse al máximo organo oe gobierno. Inclui-
dos los consejeros. los socios generales, los propietarios o el consejo de supervisión o vigilancia.
• Las actitudes y respuestas ante as ces -a:cJOOeS cu~ se D..edan producir con res-
pecto a las normas de conducta atJe se esoerar 04: a O'Qa"" zación.
• Las medidas informales y rutinat'las as CO"'O la corr.u"' cae on de los máximos res-
ponsables a todos los niveles de la orgar..z.acion.
Estos elementos reflejan las expectativas de ntegNiao ae lOS valores éticos así como
el grado en el que se aplican en las decrsrones acop:adas a todos los niveles de la orga-
nización, así como por parte de los proveedores ae sen. c.os externalizados y de los so-
cios comerciales (por ejemplo, con los socros de negoctos con¡untos o de alianzas
estratégicas}. Estos elementos articulan y refuerzan e compromtso de actuar de manera
correcta, y no limitarse únicamente al cumplimtento de as leyes y regulaciones, de ma-
nera que estas prioridades sean comprendidas y adoptadas a todos los niveles de la or-
ganización. El grado en el que estas expectativas no sólo sean comunicadas sino
también puestas en práctica por la alta dirección y por el consejo, así como al resto de
niveles de gestión dentro de la organización, se caracterizará sin duda por el "Tone at
the top" de la organización.
Esta pauta marcada por la alta dirección se ve sin duda influenciada por el estilo de ac-
tuación y la conducta personal de la dirección y del consejo de administración, por su
actitud frente al riesgo y por su posición, que podrá ser conservador o agresivo (por
ejemplo, su posición a la hora de realizar estimaciones o elegir políticas) y por el grado
de formal idad (por ejemplo, en las compañías familiares de menor tamaño, los controles
podrán ser más informales), lo cual sirve sin duda para transmitir un mensaje a la orga-
nización . La falta de objetividad, la falta de receptividad ante las malas noticias o las
prácticas de compensación injustas podrían impactar en la cultura y en último término
constituir un incentivo para llevar a cabo conductas inapropiadas o fraudulentas. Por el
contrario, un historial de comportamiento ético responsable por parte de la dirección y el
consejo de administración y un compromiso demostrado a la hora de abordar los casos
de conductas inapropiadas envía un sólido mensaje en apoyo de la integridad. De igual
manera, es probable que los empleados desarrollen las mismas actitudes sobre lo que
está bien y lo que no está bien y sobre los riesgos y controles a los demostrados por la
dirección. El comportami~nto individual de las personas a menudo se ve influenciado
por el conocimiento de que la alta dirección se ha comportado con la mayor ética y
moral a la hora de enfrentarse ante decisiones personales y empresariales difíciles de
tomar, y por el hecho de que todos los directivos hayan tomado las medidas oportunas
para abordar dichos casos de conductas irregulares.
Componentél del Control Interno
::: hecho de que el consejo y la alta dirección marquen la pauta de manera srstemática a
;:a·. és de los distintos niveles de gestión de las unidades operacionales establece un en-
: mdimiento común de los valores, motores del negocio y comportamrel"'lto que se espera
::e os empleados y socios de la organización. Esto incluye sin duda los distrntos niveles
• o visiones que a menudo se denomina como "marcar la pauta entre los mandos lnter-
-:dios" en el caso de las grandes organizaciones. El hecho' de que esta act1tud se lleve
~ cabo de manera sistemática contribuye a unir a la organización en sus esfuerzos por
=o"'seguir los objetivos de la organización. Sin embargo, poner en práctica esta actitud
::e manera sistemática no está exento de dificultades. Por ejemplo, las motivaciones, los
;-ados de evaluación de los proveedores y los niveles de atención al cliente puede que
a.- en en gran medida de un mercado a otro, y la manera en que la dirección responda
!!.'"'~e dichas presiones puede marcar la pauta de manera diferente en los distintos niveles
::.: a organización. De igual manera, los mensajes lanzados desde la dirección con res-
:-ecto a lo que es o no es aceptable pueden variar a la hora de abordar problemas espe-
:~cos en los diferentes niveles de la organización; sin embargo, cuanto más coherentes
xa/' con la pauta marcada en las altas esferas de la organización, más homogénea será
- forma de llevar a cabo las responsabilidades de control interno de cara a la consecu-
- ::>n de los objetivos de la organización .
=.ro a.~gunos casos, la pauta que marque el director general de la organización puede
L=-ner como resultado consecuencias inesperadas. Por ejemplo, puede darse el caso de
- equ1po de dirección que no tenga problema en cambiar las condiciones contractuales
::: la organización para competir en el entorno de negocio local. Si bien este tipo de mo-
:: -=cac1ón puede ser considerado como algo positivo a los efectos de satisfacer las ne-
::cesodades de los clientes y generar ingresos por ejemplo, para hacer llegar los
::.t"'ductos al cliente con mayor rapidez puede tener consecuencias negativas a los efec-
•os de lograr otros objetivos, tales como el cumplimiento de las normas de seguridad de
::;s productos, prácticas comerciales no abusivas y demás requisitos. El hecho de que la
2...~ drrección aporte instrucciones y pautas claras, y que demuestre coherencia a todos
res ,., .eles de gestión, facilitará la consecución de los objetivos de la organización.
=- one at the top" es fundamental para el funcionamiento del sistema de control in-
:-'"""0 Srn dicho "Tone at the top" que refuerce una sólida cultura de control interno, se
~-:de terminar reduciendo la conciencia hacia el riesgo, adoptándose respuestas in-
~ecuadas, definiendo actividades de control de manera deficiente o con escasa acep-
~c on por parte de los empleados, al tiempo que la comunicación y la información
:x!ede resultar inadecuada, haciendo caso omiso al feedback obtenido de las activida-
:::s supervisión. Por tanto, " marcar la pauta" puede servir como detonante o como obs-
itaet.J o del control interno.
Proporcionando orientación para permitir a los profesionales leer entre líneas y tener
en cuenta los riesgos asociados.
• Tomando en consideración las leyes reg as regy ac•ones, normas y demás expec-
tativas que las partes interesadas de a orgal"l.!Za.ClOn puedan tener, tales como la
responsabilidad social corporativa.
Las expectativas éticas, normas y costumbres ouece" .ariar de un país a otro. La direc-
ción y el consejo de administración o el organo ce s~oe~ son equivalente establecen
las normas y mecanismos que la organrzac•on aeoe co,..,prender y cumplir, y definen los
procesos y recursos para interpretar y abordar e oo~enc a de desviación existente.
Estas expectativas se traducen en una declarac•o" de creenc•as. valores y normas de
conducta para la organización.
La dirección tiene la responsabilidad última sobre las actividades que delega mediante
acuerdos contractuales o legales con proveedores de servicios externalizados. Entre las
variables que pueden afectar al alcance de las comunicaciones, de la supervisión y de
otras actividades ne<?esarias para garantizar que los proveedores servicios externos y
socios comerciales cumplen las normas de conducta de la organización se incluyen:
:=, ,cumplimiento de las normas de conducta por parte de los proveedores de serv1c1os
=•':ernalizados y de los socios comerciales puede repercutir negativamente en la alta di-
r?Cetón y afectar a la propia organización perjudicando a los propios clientes, a otros
:: .oos de interés o a la propia reputación de la organización, lo cual puede exig1r costo-
sas medidas correctivas. Por tanto, la dirección conserva la responsabilidad sobre la eje-
:-.;ctón de los procesos que ha delegado a proveedores de servicios externalizados o
'50C os comerciales.
• ~Joste una elevada descentralización sin una adecuada supervisión, lo cual conlleva
cue la alta dirección no sea consciente de las medidas adoptadas en los niveles in-
:enores de la organización.
• _os superiores, compañeros de trabajo o partes externas ejercen presión para dejar
ce ,ado el cumplimiento estricto de las normas o para desarrollar comportamientos
~audulentos o ilícitos.
• _os ob¡etivos de desempeño fomentan incentivos o presiones para dejar de lado los
::omportamientos éticos.
• No existen canales adecuados para que los empleados puedan comunicar sus pre-
ocupaciones y cuestiones con total seguridad.
• Los procesos para investigar y reso er sux_=:a;s cor.cuctas irregulares son inade-
cuados.
• Las sanciones relacionadas con os cases ::: :o: ::u...~ 11apropiadas se aplican de
manera incoherente, insignificante o ooco ~:rr.e, o no se dan a conocer a la
organización perdiendo así su efec<o e :;:;as¡ '"'-
Por ejemplo, las normas de conducta puecEr :r.::x; """ las ::xact cas que podrían ser in-
terpretadas como prácticas de conn -.e11c a ::la!"a =a:..-::"(: os cero 1a organización debe
establecer mecanismos para llevar a ca.oo as ~ <a :s como formación y comunica-
ción de sensibilización, análisis de a acti oac c.:: ~O'"" ::e n~ectos de mercado para
identificar potenciales problemas y demas ,..,..ec cas oa.-a =~.a~ detectar desviaciones
con respecto a las normas de conducta de a cxgar..:zaoo- ....a organ1zación comunica
los niveles de tolerancia establecidos COP resoec~o a :>as !).es desv1ac1ones. En función
de la importancia del impacto en la organ,zacion, e • - e :::e rnedtdas correctivas puede
variar pero se aplican de manera coherente a i:Odos los M e es de la organización. Las
evaluaciones sobre el cumplimiento de as flOmlas oa concveta por parte de profesiona-
les individuales y equipos forman parte de un proceso s sternattco de comunicación y re-
solución de incidencias. Este proceso ex1ge oue la o recc10r
• Defina una serie de indicadores (por ejemplo . porce'"'~J e de empleados que com-
pletan la formación , resultados de las act•v oades oe superv1s1on. incumplimientos
de la confidencialidad, connivencia con otros par.•c oaPi:es del mercado, casos de
acoso), para identificar problemas y tendenctas relat:.as a .as normas de conducta
de la organización, incluidos los proveedores as sef"\J tCIOS externalizados. Tales indi-
cadores se revisan periódicamente y se redef;nen er caso necesario para contribuir
a identificar problemas potenciales con antelacton o antes de que se repitan.
evaluaciones pueden ser desarrolladas por un proceso de gestión continua y/o a tra-
!;..3:5
• t r e:. lb
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
El consejo tiene facultades para contratar al CEO (Chief Executive Officer. director gene-
ral o equivalente), para rescindir su contrato, así como para establecer el plan de suce-
sión de dicho puesto, según sea necesario; a este profesional se le encomienda la
ejecución general de la estrategia de la organización, la consecución de sus objetivos y
la eficacia del sistema de control interno. El consejo es responsable de proporcionar su-
pervisión y desafiar de manera constructiva a la dirección.
• Otros comités del consejo dedicados a abordar asuntos específicos que sean críti-
cos para la consecución de los objetivos de la organización (por ejemplo, comités
de riesgos para las instituciones de servicios financieros o comités de cumplimiento
para las organizaciones farmacéuticas).
Dado que el consejo debe participar activamente en todo momento y debe estar prepa-
rado para cuestionar y analizar las actividades llevadas a cabo por la dirección, presen-
tar puntos de vista alternativos y tener la valentía de actuar en caso de que existan
sospechas o evidencias de conductas irregulares, es necesario que el consejo incluya
consejeros independientes. Sin duda alguna, los directivos y empleados aportan unos
sólidos conocimientos de la organización pero los consejeros independientes con los
conocimientos especializados adecuados aportan valor a través de su imparcialidad,
sano escepticismo y evaluaciones objetivas.
cepcionales como éstas, en las que una organización no dispone de un consejo inde-
pendiente, es necesario reconocer este hecho y poner en práctica determtnados proce-
sos y controles diferentes que den como resultado una supervisión adecuada.
l t l 1
Componentes del control interno Actividades de supervisión por parte del consejo de administración
Evaluación de riesgos • Tener en cuenta factores internos y externos que representan riesgos Sig-
nificativos de cara a la consecución de los ob¡etivos; 1denllficar problemas
y tendenc1as (por ejemplo, implicaciones de sostenibilidad de las activida-
des empresariales de la organización).
• Superv1sar la evaluación realizada por la dirección sobre riesgos relaciona-
dos con la consecuc1ón de los objetivos, incluyendo el 1mpacto potencial
de cambios Significativos (por etemplo. nesgas asociados a la introduc-
Ción en un nuevo mercado). casos de fraude y corrupción.
• Evaluar en qué medida la organización evalúa de forma proactiva los nes-
gas relativos a las mnovaciones y cambios tales como aquellos cambios
que vienen motivados por grandes desarrollos tecnológicos, económicos o
geopolíticos.
Componentes del control interno Actividades de supervisión por parte del consejo de administración
La direcc o
consejo, las estructuras eles de
autoridad y responsa b ::::; ~secución
de los objetivos .
................................................ ... ·---------~----~~~
• El modelo operativo adoptado por la dirección puede seguir las líneas de productos
o servicios para facilitar el desarrollo de los productos y servicios, optimizar activi-
dades de marketing , racionalizar la producción y mejorar la atención al cliente u
otros aspectos operativos.
• Las estructuras jurídicas a menudo se diseñan para gestionar los riesgos del nego-
cio, crear estructuras fiscales favorables y conferir una mayor capacidad de actua-
ción a los directivos que operen en actividades en el extranjero.
• De igual manera, las organizaciones formalizan una amplia gama de relaciones con
los proveedores de servicios externalizados para apoyar la consecución de sus ob-
jetivos, lo cual crea estructuras y líneas de comunicación de información adicional.
Cada una de estas visiones puede proporcionar una evaluación diferente del sistema de
control interno. Si bien la agregación de los riesgos en una única dimensión puede que
no genere ningún problema, la perspectiva sobre el negocio que se consiga a través de
una dimensión diferente puede mostrar un determinado riesgo de concentración en
torno a un tipo de clientes determinados, un exceso de dependencia de un único pro-
veedor u otras vulnerabilidades. La propiedad y responsabilidad por rendir cuentas en
cada nivel de agregación permitirá además este tipo de análisis y revisión en base a múl-
tiples dimensiones.
Las estructuras de las organizaciones evolucionan a medida que la naturaleza del nego-
cio evoluciona. Por lo tanto, la dirección revisa y evalúa las estructuras para comprobar
su relevancia, eficacia y eficiencia como apoyo al sistema de control interno. Véase
como ejemplo el caso de un banco que comunique los resultados de su desempeño y la
eficacia del control interno en base a sus entidades legales, unidades de negocios o
geografías. Si este banco no revisa con frecuencia su información para verificar que re-
fleja adecuadamente su modelo de negocio actual, puede que fracase a la hora de reco-
nocer la aparición de determinados riesgos, la ausencia de controles apropiados y la
deficiente generación de información.
Para cada tipo de estructura que disponga la organización (por ejemplo, estructura de
mercados geográficos, estructura de segmentos de negocio, estructura de organización
legal), la dirección diseña y evalúa las líneas de comunicación de información pertinentes
Harcol • Evaluaoon dP R1esgo$ • ACtividades de <ontrol • lnformacton y Comumcac10n • MI.:
1
,., La o rga nización demuestra co m p romiso p ara
atra er, d esar ro llar y ret ener a p rofesiona les competentes en
alineación co n los o bj eti vos de la o rgan izaci ó n.
~ 1 t
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
• - El con-
sejo de administración y la dirección evalúan las competencias existentes en la or-
ganización y en los proveedores de servicios externalizados en relación con las
políticas y prácticas establecidas, y actúan según sea necesario para abordar la
falta de competencias identificadas.
r'
Las políticas y prácticas son orientaciones y comportamientos a nivel de organización
que reflejan las expectativas y requisitos de los inversores, reguladores y demás grupos
de interés. Constituyen la base sobre la que definir las competencias necesarias dentro
de la organización y proporcionar los fundamentos sobre los que desarrollar procedi-
mientos más detallados para ejecutar y evaluar el desempeño así como para determinar
medidas correctivas en caso de ser necesario. Dichas políticas y prácticas aportan:
• Bases sobre las que evaluar las deficiencias identificadas y definir medidas correcti-
vas en caso necesario (por ejemplo, corregir un proceso o reforzar habilidades de la
dirección o de otros miembros del personal).
• Soportes para reaccionar de manera dinámica ante los cambios (por ejemplo, vin-
culación con procedimientos operativos aplicables para reflejar nuevos requisit os
regulatorios, nuevos riesgos identificados, decisiones internas para modificar los
procesos de negocio).
• La naturaleza y el grado de criterio profesional que debe aplicarse así como las limi-
taciones que deben establecerse en la autoridad asignada a un puesto en particular.
• Atraer- Identificar candidatos que demuestren que encajan con la cultura de la or-
ganización, con su modo de actuación, con las necesidades de la organización y
que tengan las competencias requeridas para los puestos propuestos.
Mediante este proceso, cualquier comportam1e11to que no sea corerente con las normas
de conducta, las políticas y prácticas, y con las responsab ICiades de control interno
será identificado, evaluado y corregido de manera oportuna o de o contrano será abor-
dado a todos los niveles de la organización. De este modo. la organización es capaz de
abordar activamente las competencias que son necesanas para respaldar la consecu-
ción de los objetivos de las organizaciones sopesando de forma oportuna los costes y
beneficios relacionados.
1 t
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
• Apl i
- La dirección y el consejo de administración estable-
cen mecanismos para favorecer la comunicación y la responsabilidad por la
rendición de cuentas por parte de los profesionales correspondientes con respecto
al desempeño de sus responsabilidades de control interno a todos los niveles de la
organización e implementan medidas correctivas en caso de ser necesario.
• - La dirección y
el consejo de administración establecen parámetros de desempeño, incentivos y
otras recompensas oportunas con respecto a las responsabilidades adoptadas a
todos los niveles de la organización, reflejando las dimensiones adecuadas de
desempeño y las normas de conducta esperadas, y tomando en cuenta la consecu-
ción de los objetivos a corto y largo plazo .
•
- La dirección y el consejo de administración alinean los incentivos y
recompensas con el desempeño de las responsabilidades de control interno de
cara a la consecución de los objetivos.
•
- La dirección y el consejo de administración evalúan el
desempeño de las responsabilidades de control interno, incluido el cumplimiento de
las normas de conducta y los niveles de competencias esperados y proporcionan
recompensas o aplican medidas disciplinarias según se requiera.
Marco • Evaluac1on de Rresgos • ActiVIdades de Conuol • lntor11aclór. vComumcaCión • Acllv dad es de Superv1sion
60 • •
La asunción de responsabilidad con respecto al cor.~"'O -:me x ::?""' ... estra a través de
cada una de las formas de estructura organ.zac·on.a - --a.•:= ;.e~ - ::.oo;;a" zación. Por
ejemplo, un directivo cuyas responsabilidaaes ~ _ a.; ::. ~.:.>'"'--:r.:c de unas prácti-
:: .:a un1dad o pe-
control interno (por ejemplo, una organización que haya tenido éxito a la hora de
asumir determinados riesgos significativos puede tener una perspectiva diferente
sobre el control interno que otra organización que haya tenido que hacer frente a di-
ficultades económicas o regulatorias como resultado de la asunción de áreas de
elevado riesgo).
La responsabilidad por la rendición de cuentas viene motivada por el "Tone at the top" y
se ve respaldada por el compromiso hacia la integridad y los valores éticos, las compe-
tencias, estructuras, procesos y tecnologías, que colectivamente influyen en la cultura
de control de la organización. Se adoptan medidas correctivas cuando es necesario para
restablecer la responsabilidad por la rendición de cuentas de cara al control interno.
El desempeño se ven influenciado en gran medida por el grado en el que los profesiona-
les asumen sus responsabilidades y cómo se ven recompensados al respecto.
vos de producción de su unidad operativa y con las expectativas de cumplir con las nor-
mas de calidad y de seguridad de los productos, con las leyes de segundad en el tra-
bajo, con los programas de fidel ización de clientes y mediante una precisa comunicación
de revisión de productos defectuosos.
Parámetros significativos • Definir parámetros que ~a'lS'or.7.~ ::.a:::::s ::: soares en infor-
mación signrfrcatrva sot>rE e c=:s=-::.=;.:;
Ajustes a cambios • Ajustar los param.:~ ;:¿ ::.~ :a: :g~ andad en base
a una evaluacror s:~::--m ~ ~ ICs <Tlpactos po-
tenciales de resgcs a -.ec......a ¡x;.: ? _ :.rx.r.a: con el paso del
tiempo, así como a~= :a"o =-= --=sgcs asociados.
n
Los incentivos aportan motivación a la direccion a. :s-:: :.: ::,=-;:.:¡¡;-- ::;a:a que su de-
sempeño sea el adecuado. Es habitual el uso de os a_--'~ :;¿ ~~ :l a consecu-
ción de bonus o primas, pero también pueden tr.: ;2'EJS: =~ =~:.: ::o-no la
asignación de mayores responsabilidades, mayor • s: :.a:: :-=n::c - =--•o y otras for-
Con independencia de la forma en que se lleven a cabo, los incentivos motivan los com-
portamientos. Una organización que limite su atención únicamente a incrementar los be-
neficios es más probable que experimente comportamientos no deseados, tales como la
manipulación de los estados financieros o los registros contables, prácticas comerciales
basadas en la alta presión ejercida, negociaciones dirigidas a incrementar las ventas o
beneficios trimestrales a cualquier precio o mediante ofertas implícitas de sobornos.
Los parámetros de desempeño se revisan periódicamente para garantizar que son siem-
pre relevantes y adecuados con relación a los incentivos y recompensas. En caso nece-
sario, los factores internos o externos se vuelven a alinear con los objetivos y demás
expectativas de la dirección, del personal y de los proveedores externos.
Estas presiones, que también se ven afectadas por el entorno interno y externo, pueden
motivar positivamente a profesionales específicos para que satisfagan sus expectativas
de conducta y desempeño, tanto a corto plazo como a largo. Sin embargo, si se ejercen
presiones indebidas, esto puede provocar que los empleados tengan miedo a las conse-
cuencias de no lograr los objetivos y procesos relacionados o para participar en activi-
dades fraudulentas y de corrupción.
Por ejemplo, la presión para generar unos niveles de ventas que no sean proporcionales
a las oportunidades de mercado pueden derivar en que los responsables comerciales se
vean obligados a falsificar los números o participar en casos de soborno y otros actos ilí-
citos. Las presiones para demostrar la rentabilidad de las inversrones realizadas pueden
hacer que los traders asuman riesgos ajenos a la estrategta para cubrir las pérdidas in-
curridas. De igual modo, las presiones para lanzar un producto al mercado a gran veloci-
dad y generar ingresos con rapidez puede hacer que el personal opte por tomar "atajos"
en materia de desarrollo de productos o comprobactón de las medidas de seguridad, lo
cual puede resultar perjudicial para los consumidores o derivar en una deficiente acepta-
ción por parte del público y una reputación menor.
Para alinear los objetivos de los profesionales y los de la unidad de negocio con res-
pecto a los de la organización, la organización debe tener en cuenta cómo se asumen
los riesgos y cómo se gestionan en base a la retribución y demás recompensas. Por
ejemplo, a medida que los traders asumen riesgos en nombre de sus clientes y organiza-
ciones, dichos profesionales deben ser conscientes de que su retribución, progresión y
posicionamiento puede ser impulsada, reducida o perdida en función de los resultados
obtenidos. Las estructuras de incentivos que no sirven para tener en cuenta de forma
adecuada los riesgos asociados al modelo de negocio pueden ocasionar comportamien-
tos inapropiados.
Introducción
Todas las organizaciones, con inde-
pendencia de su tamaño, estructura,
naturaleza o sector en el que operen,
Entorno de Control
se enfrentan a riesgos a todos los ni-
veles. El riesgo se define en el Marco
como la posibilidad de que un evento
ocurra y afecte negativamente a la
consecución de los objetivos.
Como parte del proceso de identificación y evaluacton de 'lesgo5, una organización tam-
bién podrá identificar oportunidades, como pueda ser la posrb oad de que un evento se
produzca y afecte positivamente a la consecución de los ob]etrvos. Estas oportunidades
son importantes para determinar y comunicar los procesos de fiJaCtón de objetivos. Por
ejemplo, en el caso anterior, la dirección canalizaría las oportumdades de nuevas ventas
en los procesos de fijación de objetivos. Sin embargo, identificar y evaluar oportunida-
des potenciales, tales como nuevas oportunidades de ventas. no es parte del control in-
terno.
El riesgo afecta a la capacidad de una organización para tener éxito, competir dentro de
su sector, mantener su solidez financiera y una reputación positiva, y mantener la calidad
general de sus productos, servicios y profesionales. En la práctica, resulta imposible re-
ducir el riesgo a un nivel de cero. De hecho, la mera decisión de participar en un negocio
ya conlleva un riesgo. La dirección debe determinar cuánto riesgo debe aceptar, esfor-
zarse por mantener el riesgo dentro de ese nivel y comprender cuánta tolerancia al
riesgo tiene para superar sus niveles objetivo de riesgos.
El riesgo a menudo se incrementa cuando los objetivos difieren del desempeño histórico
y cuando la dirección implementa cambios. De igual manera, una organización no suele
fijar objetivos explícitos cuando considera que su desempeño es aceptable. Por ejemplo ,
puede que una organización considere que su servicio al cliente ha sido históricamente
Componente1 del Controllnterqo Evaluac on de Rresgo1
aceptable y por tanto no necesite hacer cambios para mantener los niveles actuales de
servicio. Sin embargo, como parte del proceso de evaluación de riesgos, la organización
deberá disponer de un entendimiento común de los objetivos a nivel de organización re-
levantes para las operaciones, para la información y para el cumplimiento, y cómo estos
objetivos se despliegan a todos los niveles de la organización.
Tolerancia a1 r esgo
La tolerancia al riesgo es el nivel aceptable de variación del desempeño en relación con
la consecución de los objetivos. El hecho de operar dentro de un rango de tolerancia al
riesgo proporciona a la dirección una mayor confianza de que la organización logrará sus
objetivos. La tolerancia al riesgo se puede expresar de muy diversas maneras adaptán-
dose a cada categoría de objetivos. Por ejemplo, a la hora de considerar la información
financiera, la tolerancia al riesgo suele expresarse en términos de materialidad 10 , mien-
tras que en áreas como el cumplimiento y las operaciones, la tolerancia al riesgo a me-
nudo se expresa en términos de nivel aceptable de variación del desempeño.
De igual manera, la alta dirección tendrá en cuenta la importancia relativa de los distintos
objetivos y prioridades (algunos de los cuales podrían ser incluso contradictorios o ex-
cluyentes) a la hora de tratar de lograr dichos objetivos. Por ejemplo, puede que el COO
(director de operaciones) considere que los objetivos operacionales requieren un mayor
nivel de precisión que las consideraciones de materialidad de los objetivos de informa-
ción, y al contrario le sucederá al CFO (director financiero). No obstante, resultaría pro-
blemático que las organizaciones que cotizan en el mercado de valores realizaran un
excesivo énfasis en los objetivos operacionales hasta tal punto que afectarán negativa-
mente a la confiabilidad de la información financiera. Estos aspectos deberán ser teni -
dos en cuenta en el marco del proceso de planificación estratégica y de fijación de
objetivos, y las tolerancias deberán ser fijadas en consecuencia. Este tipo de decisiones
también podrá afectar a nivel de recursos asignados para la consecución de los respec-
tivos objetivos.
Los parámetros de desempeño se utilizan para ayudar a una organización a operar den-
tro de una tolerancia de riesgo establecida. La mejor manera de medir la tolerancia al
10. Los reguladores y otros organismos emrsores de estándares definen el térmrno "matenalidad". La direc-
ción desarrolla un entendrmiento de esa matenalidad según se define este concepto en leyes. reglas y
normas a la hora de aplicar el Marco en el contexto de dichas leyes. reglas y normas.
riesgo a menudo es la misma unidad que los oo·e~ es r=:aaona:::.::s =>or ejemplo, una
organización:
aceptable.
• Puede fijarse como objetivo que el 90% de aaue :--s prc;~.aes que asistan a
cursos de formación aprueben los exámertes ~:: ~· :s. s bren puede acep-
tar que tan sólo un 75% lo haga.
• Puede prever que los miembros de su perso<1a -esoonca.n a ~ocas las reclamacio-
nes de los clientes en un plazo de 24 horas. oero ~ ::ceo~ Que hasta un 10%
de las reclamaciones puedan recibir una resp¡..esta e"' $o ola.::o de 36 horas.
Puntos de mterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a los objetivos operacionales, de información y de cumplimiento:
Objettvos Operac/OnZlles
• Reflt:j. 1 la5 e s es \JI.. 1<:. rt -e.,c o - Los objetivos operacionales reflejan las
u
• -
La dirección refleja el nivel requerido
de precisión y exactitud adecuado para las necesidades de los usuarios y de
acuerdo con los criterios establecidos por terceras partes en la información no fi-
nanciera.
especifica los objetivos y los agrupa dentro de amplias categorías a todos los niveles de
la organización, en relación con las operaciones, la información y el cumplimiento. La
agrupación de objetivos dentro de estas categorías permite identificar y evaluar los ries-
gos que pueden afectar la consecución de dichos objetivos.
• La alineación de los objetivos a otras circunstancias que requieran una atención es-
pecífica por parte de la organización.
Cuando los objetivos de estas categorías no estén claros, cuando no esté claro en qué
medida estos objetivos respaldan la dirección estratégica, cuando existan dudas o preo-
cupaciones de que los objetivos puedan no ser adecuados en base a las circunstancias,
a los hechos y a las leyes, reglas, regulaciones y normas establecidas aplicables a la or-
ganización, o cuando la organización tenga que basar su evaluación de riesgos en una
serie de objetivos comprendidos pero no autorizados, la dirección comunicará esta pre-
ocupación para que se incorpore al proceso de establecimiento de la estrategia y de fija-
ción de objetivos.
Los objetivos operacionales reflejan las opciones elegidas por la dirección dentro del en-
torno específico de negocio, sectorial y económico en el que opera la organización. Por
ejemplo, una agencia pública municipal puede que cuente con varios objetivos operacio-
nales, cada uno de los cuales respaldado por una serie de iniciativas y criterios. Entre
sus objetivos se encuentran por ejemplo:
Una organización con ánimo de lucro puede establecer objetivos operacionales que se
centren en el uso eficiente de recursos. Por ejemplo, una gran cadena comercial puede
tener entre sus objetivos:
Met s v recursos
dos por las instrucciones estratégicas de la organización y por los requisitos y expectati-
vas de información establecidos por la dirección y el consejo de administración.
Los objetivos de información financiera son coherentes con los principios contables ade-
cuados y disponibles para la organización y apropiados a las circunstancias. Los objeti-
vos de información financiera externa abordan en la preparación de los estados
financieros a efectos externos, incluidos los estados financieros publicados, otros esta-
dos e informes financieros, y otras formas de información financiera externa derivadas
de los registros y libros financieros y de contabilidad de gestión de la organización.
• Los estados financieros para propósitos externos se preparan de acuerdo con las
normas, reglas y regulaciones contables aplicables. Estos estados financieros pue-
den incluir los estados financieros intermedios y anuales, los estados financieros
consolidados y la información financiera específica que se derive de dichos esta-
dos. Estos estados, por ejemplo, puede que se presenten públicamente ante un re-
gulador, se distribuyan en las asambleas anuales, se publiquen en el sitio web de la
organización o se distribuyan a través de medios electrónicos.
• Otros estados e informes financieros puede que se preparen de acuerdo con otras
bases contables y estén fundamentalmente motivados por las autoridades fiscales,
las agencias públicas o por otros requisitos contractuales. Los informes y estados
financieros puede que sean distribuidos a usuarios externos (por ejemplo, para in-
formar a un banco sobre los covenants o acuerdos financieros establecidos en un
contrato de préstamo, o a una autoridad fiscal en relación con la presentación de
declaraciones de impuestos, o a una agencia de financiación por parte de una orga-
nización sin ánimo de lucro en las que dichas declaraciones no se hagan públicas).
CaraC"'terJ:,tlcac:; Cualitativas
• Comparabilidad- información que puede ser comparada con otra información si-
m ilar sobre otras organizaciones y con información similar sobre la propia organiza-
ción correspondiente a otro periodo u otra fecha.
Las características cualitativas indicadas anteriormente se aplican junto con las normas
contables adecuadas y las informaciones contables en los estados financieros. Dichas
afirmaciones normalmente se encuadran en las categorías relativas a:
La dirección puede presentar su información externa de acuerdo con las leyes, reglas,
regulaciones, normas no financieras u otros marcos de trabajo. Por ejemplo, cuando la
dirección busque gestionar el impacto en el desarrollo sostenible, puede preparar y pu-
blicar un informe de sostenibilidad que proporciona información sobre su desempeño en
el ámbito económico, medioambiental y social. Otra organización puede aplicar las nor-
mas correspondientes a la cadena de custodia en virtud de las cuales sus productos se
distribuyan desde su origen forestal hasta su uso final. La organización conseguirá por
ello una certificación anual que demostrará su producción y consumo responsable de
productos forestales e informará públicamente esta información.
• Utiliza criterios establecidos por terceras partes así como normas o marcos exter-
nos, según sea oportuno.
Hareo 1Entorno de Control • Evaluacion de R1esgos • Actividades de Control • lnformacion vComumcaoon • Act1v1dades c!f
Los objetivos de información interna varían de una organización a otra dado que las dife-
rentes organizaciones tendrán distintas metas, direcciones estratég icas, y niveles de to-
lerancia al riesgo. Al igual que sucede con la información externa, la información interna
también refleja el nivel requerido de precisión y exactitud adecuado a las necesidades
internas y para las actividades subyacentes de la organización, presentando transaccio-
nes y eventos dentro de un rango de límites aceptables.
Muchas organizaciones aplicarán normas externas para asistir en la gestión de sus ope-
raciones. Dichas normas pueden hacer referencia al control sobre la tecnología, la ges-
tión de los recursos humanos y la gestión de los registros documentales. Sin embargo,
dado que las normas que son aplicables a la información externa pueden no ser aplica-
bles a la información interna, la dirección puede elegir un conjunto diferente de niveles
de variación aceptable para la información externa e interna.
• Utiliza criterios establecidos por terceras partes así como normas o marcos exter-
nos, según sea oportuno.
Ob1etivos de Ct..molimierto
Las leyes y regulaciones establecen normas mínimas de conducta que la organización
integra en sus objetivos de cumplimiento. Por ejemplo, las regulaciones de salud y segu-
ridad en el trabajo podrían hacer que una organización defina como uno de sus objetivos
"envasar y etiquetar todos los productos químicos de acuerdo con las regulaciones."
Las políticas y procedimientos abordarían por tanto los programas de comunicación, las
inspecciones de las instalaciones y la formación relativa a los objetivos de cumplimiento
de la organización. De igual manera, al igual que sucede con los objetivos de informa-
ción externa, la dirección tendrá en cuenta los niveles de variación del desempeño acep-
tables en el contexto del cumplimiento de las leyes y regulaciones. Dichas leyes y regu-
laciones pueden hacer que la dirección fije unos menores niveles de variación aceptable
para seguir cumpliendo con dichas leyes y regulaciones.
Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de especificar
sus objetivos de cumplimiento, la organización debe comprender qué leyes y regulacio-
nes son aplicables a la organización. Muchas leyes y regulaciones son, en general, bien
conocidas, como por ejemplo aquellas que guardan relación con la prevención de sobor-
nos, las prácticas laborables justas y el cumplimiento de la legislación medioambiental ,
pero otras pueden resultar menos conocidas para la organización, como por ejemplo las
aplicables a una organización que quiera llevar a cabo sus operaciones en un territorio
extranjero.
• Contar con una flota de vehículos que se encuentren dentro de los requimientos
máximos de control de emisiones.
Marco 1 Enlomo de Conlrol · Eva uaCion de Re~gos · ActiVIdades de Conlrol • lnlormaCion vComumcac1ón • Acl1vidades de SupemSJon
Puntos de 1rteres
Los siguientes puntos de interés ponen de manrf esto ~.: na sen~ ce rr=1oortantes caracte-
rísticas relativas a este principio:
• lnclu on '<!
- La organización identifica y evalua r esgos a "' ; ~ orgariZación, filial, di-
visión, unidad operativa y función relevantes para la CO"'se--.:x O"' de sus objetivos.
La dirección tiene en cuenta los riesgos a todos los nive•es de a organización y adopta
las medidas necesarias para responder ante ellos. La eva...~ac•ó, efectuada por una or-
ganización tendrá en cuenta factores que influyan en la gravedad. velocidad y persisten-
Componentes del Control interno Eva uat ón de Riesgos
cia del riesgo, la probabilidad de que se produzcan pérdidas de activos. y el impacto re-
lacionado en las actividades de operaciones, de información y de cumplimiento. De igual
manera, la organización debe comprender su tolerancia a la hora de aceptar riesgos y su
capacidad para operar dentro de dichos niveles de riesgo. La identificación de riesgos
debe ser muy detallada. Deberá tener en cuenta todas las interacciones significativas -
de productos, servicios e información- internas que se generen dentro de una organi-
zación y entre la propia organización y los correspondientes socios comerciales y
proveedores de servicios externalizados. Estas organizaciones pueden incluir a provee-
dores, inversores, acreedores, accionistas, empleados, clientes, compradores, interme-
diarios y competidores potenciales y existentes así como organismos públicos y medios
de comunicación. De igual manera, la organización deberá tener en cuenta los riesgos
que se deriven de factores externos tales como la aprobación o modificación de leyes y
regulaciones, aspectos medioambientales y eventos naturales que puedan producirse.
De igual manera, es importante tener en cuenta que los riesgos que hacen referencia
fundamentalmente a una categoría de objetivos pueden influir en los objetivos de otras
categorías. Por ejemplo, un riesgo que hace referencia fundamentalmente a un objetivo
operacional en lo que respecta a la producción y entrega oportuna de los productos de
una compañía, también puede afectar a la información financiera si los contratos comer-
ciales de la compañía contienen sanciones por retrasos en las entregas. En aquellos
casos en los que una organización esté valorando los riesgos que hagan referencia fun-
damentalmente a una categoría de objetivos -por ejemplo a la información financiera-
el proceso de evaluación de riesgos puede que también tenga que considerar objetivos
de otras categorías que puedan impactar en dichos objetivos de información financiera.
La identificación de riesgos tiene en cuenta los riesgos a los distintos niveles de la es-
tructura organizacional, incluido el conjunto de la organización y sus unidades de nego-
cio y procesos tales como ventas, recursos humanos, marketing, producción y compras.
La identificación de riesgos a nivel de organización suele llevarse a cabo a un nivel relati-
vamente alto y, por lo general, no incluye la evaluación de los nesgas a nivel de transac-
ciones. Por el contrario, la identificación de riesgos a nivel de procesos es, por su propia
naturaleza, más detallada e incluiría los riesgos a niveles de transacciones.
De igual manera, la evaluación de riesgos tiene en cuenta los riesgos que se originan en
los proveedores de servicios externalizados, en los principales proveedores y socios co-
merciales que puedan impactar directa o indirectamente en la consecución de los objeti-
vos por parte de la organización.
Marco 1Entorno de Control • Evaluaoor. de Rtesgos • Acttvtdades de Control • lnformaoon vComumcaoon • Achvtdades de Supervtsion
La dirección tiene en cuenta los riesgos en relación con 'actores internos y externos. Los
riesgos son dinámicos; por lo tanto, para determinar la frecuencta del proceso de eva-
luación de riesgos, la dirección generalmente tendra en cuenta el ntmo de cambio de
estos riesgos que afectan a la consecución de los obJet•vos as1como otras prioridades
operacionales y los costes relacionados. Por lo genera este proceso es una combina-
ción de evaluaciones de riesgos continuadas y penootcas. S1aumenta el ritmo de cam-
bio relacionado con un objetivo o con factores ntemos o externos. resultará útil acelerar
la frecuencia de evaluación de los riesgos relacionados o nc uso evaluar el riesgo en
tiempo real.
• Regulatorio - Una nueva norma de información 'ina!'IClera at.e pueda exigir infor-
mación diferente o adicional a una organizactón JUfld ca a modelo operativo adop-
tado por la dirección o a una línea de negocio; una nt..e.a e1 o regulación
antimonopolio que pueda exigir la aplicación de detei'TT' nades cambios en las estra-
tegias o políticas operativas o de información.
Por ejemplo, un importador de calzado y ropa puede establecer el objetivo a nivel de or-
ganización de convertirse en el líder del sector en moda de alta calidad. La organización
tendrá en cuenta riesgos generales como el impacto del deterioro de las condiciones
económicas, la aceptación de los productos por parte del mercado, la aparición de nue-
vos competidores en el mercado y los cambios que se puedan producir en las regulacio-
nes y leyes medioambientales o regulatorias. De igual manera, la organización podrá
tomar en cuenta riesgos a nivel de organización tales como:
Los riesgos se identifican a nivel de transacción dentro de las filiales, divisiones, unida-
des operativas o funciones, incluidos procesos de negocio tales como ventas, compras,
producción y marketing. La gestión de riesgos a este nivel contribuye a la consecución
de los objetivos y/ o subobjetivos que se han desplegado en sentido descendente a par-
Marco 1Entorno de Control • Evaluacror. de Rresgos • Actrvrdades de Control • lntormacion ¡ ComuniCacron • Aclivrdades de Supervrsron
tir de los objetivos a nivel de organización. Una evaluación adecuada de riesgos a nivel
de transacciones, también contribuye al mantenimiento de unos niveles aceptables a
nivel de organización.
N1velec:. de q('stton
Al igual que sucede con otros procesos de cor.!ro! ·,...~er..o. a resoonsabtlidad por la ren-
dición de cuentas y la comunicactón de r ·~~ :::: :::ara a a ICe.,~ 'icactón de ries-
gos y a los procesos de análisis, le corresncrce ::. - c-r-=.""':'-KY.; er. e con¡unto de la
organización y de sus unidades de negoc e ...a ~_n----::<,..., ::.soone <!e mecanismos de
evaluación de riesgos efectivos que mpfican a los - e::!S opor..........os oe .a dirección que
dispongan de los conocimientos adecuaccs.
Compor.entes del Controllnlemo Evatuaoon de RieSgos
Como parte del análisis de riesgos, la organización evalúa la importancia de los riesgos
de cara a la consecución de los objetivos y de los subobjetivos. Las organizaciones pue-
den evaluar la importancia de los riesgos utilizando criterios tales como los siguientes:
"Probabilidad" e " impacto" son términos utilizados habitualmente aunque las organiza-
ciones puede que utilicen en su lugar otros términos como "eventualidad", "gravedad" o
"consecuencia". "Probabilidad" representa la posibilidad de que se produzca un evento
determinado mientras que "impacto" representa su efecto. Algunos términos pueden
tener más de un significado específico, de manera que el término "probabilidad" indicará
la posibilidad de que se produzca un riesgo determinado en términos cualitativos tales
como "alto", "medio" y "bajo" , mientras que "eventualidad" puede indicar una medición
más cuantitativa, como pueda ser el porcentaje, frecuencia u otros parámetros numéri-
cos.
La velocidad a la que se produzca un riesgo hará referencia al ritmo al que se espera que
la organización experimente el impacto del riesgo. Por ejemplo, un fabricante de electró-
nica de consumo puede tratar de cambiar las preferencias de los clientes y el cumpli-
miento de los límites energéticos de las radiofrecuencias. El hecho de no poder
gestionar estos riesgos puede resultar en una erosión significativa del valor de la organi-
zación, hasta el punto de que pueda terminar quedándose fuera del mercado. En este
caso, los cambios en los requisitos regulatorios se desarrollarán mucho más lentamente
que los cambios en las preferencias de los consumidores.
Un riesgo que no tenga un impacto significativo en la organización y que sea poco pro-
bable que se produzca, por lo general, no exigirá una respuesta detallada ante dicho
riesgo. Un riesgo que tenga una mayor probabilidad de que se produzca y/ o que tenga
un potencial impacto significativo, por lo general, derivará en una mayor atención pres-
tada. Pero incluso aquellos riesgos con un elevado impacto potencial y una baja proba-
bilidad de que se produzcan, deberán ser evaluados, evitando hipótesis como que "este
tipo de riesgos no se produce en esta organización" , dado que incluso los riesgos de es-
casa probabilidad pueden llegar a materializarse. La importancia de comprender los ries-
gos que han sido evaluados como de baja probabilidad es mayor cuando el potencial
Marco 1Entorno de Control • EvaluaCIOA de R1esgos • Actividades de Control • lnlormaCion y ComumcaCión • Achvtdades de Supervtslon
impacto del riesgo puede prolongarse durante un mayor período de tiempo. Por ejem-
plo, el impacto a largo plazo sobre la organización de un problema medioambiental oca-
sionado por las actuaciones de una organización podrá considerarse de manera muy
diferente que el impacto a largo plazo de que una tecnolog1a no esté operativa en una
planta de fabricación durante varios días.
De igual manera, la dirección puede que prefiera evaluar los riesgos utilizando un hori-
zonte temporal coherente con el horizonte temporal de los objet1vos relacionados. Dado
que los objetivos de muchas organizaciones se centran en el corto o medio plazo, la di-
rección analiza los riesgos asociados con dichos marcos temporales. Sin embargo, algu-
nos objetivos se prolongan hasta el largo plazo y la dirección no debe ignorar estos
riesgos que podrían prolongarse de manera considerable en el futuro.
La dirección tiene en cuenta tanto el riesgo inherente como el nesgo residual. El riesgo
inherente es el riesgo que afecta a la consecución de los objetivos de la organización en
caso de que no concurran medidas algunas adoptadas por a direcc1ón para alterar la
probabilidad o el impacto del riesgo. El riesgo restdua es el nesgo que afecta a la conse-
cución de los objetivos y que sigue existiendo una vez adoptadas e implementadas las
respuestas pertinentes por parte de la dirección. El anahsis de riesgos se aplica primero
al riesgo inherente. Una vez que las respuestas ante los nesgos han sido desarrolladas,
tal y como se analiza posteriormente, la direccion cons1derara el riesgo residual. La eva-
luación del riesgo inherente además del riesgo res1dual puede ayudar a la organización a
comprender hasta qué punto se necesitan adoptar respuestas ante los riesgos.
Una vez que ha sido evaluada la importancia potenc1a de tos nesgos, la dirección tendrá
en cuenta cómo debe gestionar el riesgo. Para ello sera necesario aplicar el criterio pro-
fesional en base a las hipótesis sobre el riesgo y un análisis razonable de los costes aso-
ciados con la reducción del nivel de riesgo. La respuesta adoptada no derivará
necesariamente en un menor volumen de riesgo res1dual. Pero en caso de que una res-
Componentes del Control Interno EvaluaCion de Rtesgos
puesta ante el riesgo derive en un riesgo residual que supere los niveles aceptables para
la dirección del consejo, la dirección deberá volver a analizar y revisar dicha respuesta.
En consecuencia, el equilibrio entre el riesgo y la tolerancia al riesgo puede ser iterativo.
• El efecto potencial que pueda tener sobre la importancia del riesgo y qué opciones
de dicha respuesta están alineadas con la tolerancia al riesgo de la organización.
Los recursos siempre tienen limitaciones, y las organizaciones deberán tener en cuenta
los costes y beneficios asociados a las distintas alternativas de respuesta disponibles.
Antes de implementar procedimientos adicionales, la dirección deberá tener en cuenta
si algunos de los procedimientos ya existentes pueden ser adecuados para abordar los
riesgos identificados. Dado que determinados procedimientos pueden cumplir múltiples
objetivos, la dirección podría darse cuenta de que no son necesarias nuevas medidas o
Marco 1lntol"lo de Control • Eva ac,on de Resgos • Ad1vk!aaes de Conlrol • lnformac~n yComumcaCIO~ • Ac1tv1dades de SupetVISIOft
de que los procedimientos existentes podrían ser su4lc¡entes o senc amente deben ser
llevados a la práctica con un mayor nivel de ex1genc1a.
Existe una diferencia importante entre la evaluac1ón d e resgos que forma parte del con-
trol interno, y la elección de respuestas específicas ante 1os riesgos y los planes, progra-
mas u otras medidas relacionadas, que forman parte de proceso de gestión de riesgos y
no de los controles Internos. El control interno no rncluye asegurarse de que se adopta la
respuesta más óptima para abordar los riesgos ide ntí~cados. Por e¡emplo, la dirección
de una organización puede optar por compartir el riesgo relatiVO a las tecnologías al ex-
ternalizar determinados aspectos de su procesam1ento tecnolog1co a una organización
con mayor experiencia en ese ámbito (reconociendo que esta práctica podría introducir
también nuevos riesgos en la organización), mientras que otra organización puede optar
por mantener el procesamiento tecnológico dentro de su propia organización y desarro-
llar controles generales sobre las actividades para gest1onar los riesgos tecnológicos
asociados. Tanto una alternativa como otra pueden ser correctas o incorrectas en fun-
ción de la organización, dado que ambas alternativas pueden resultar eficaces para ges-
tionar los riesgos tecnológicos. Pero en caso de que una respuesta ante el riesgo derive
en un riesgo residual que supere los niveles de tolerancia al riesgo para alguna categoría
de objetivos, la dirección deberá volver a analizar y rev1sar dicha respuesta.
Una vez que la dirección haya optado por reducir o compartir un riesgo, podrá determi-
nar las medidas a adoptar para dar respuesta a dicho riesgo y seleccionar y desarrollar
las actividades de control relacionadas. La naturaleza y el grado de dicha respuesta así
como las actividades de control relacionadas dependerán, al menos en parte, del nivel
deseado de mitigación del riesgo (que es el punto que se analiza en el Capítulo 7). En al-
gunos casos, la dirección podrá seleccionar una respuesta que requiera la adopción de
medidas dentro de otro componente del control interno, por ejemplo, ampliando o mejo-
rando una parte del entorno de control.
Por lo general , las actividades de control no son necesarias cuando una organización
opta por aceptar o bien evitar un riesgo específico. Por ejemplo, una organización mi-
nera que tenga un riesgo significativo ante los precios de las materias primas podrá de-
cidir aceptar el riesgo, al considerar que los inversores son conscientes de dicho riesgo
y lo aceptan. En este caso, la dirección no llevaría a cabo ninguna actividad de control
en relación con su exposición al riesgo por el precio de las materias primas, pero proba-
blemente implementaría actividades de control relacionadas con otras afirmaciones
contables que se efectúen en los informes financieros externos, incluidas cuestiones de
integridad y valoración. Sin embargo, puede que existan casos en los que una organiza-
ción decida evitar un riesgo, y opte por desarrollar actividades de control a fin de evitar
dicho riesgo. Por ejemplo, para evitar preocupaciones sobre posibles prácticas anticom-
petitivas, una organización podría implementar actividades de control que impidan la
compra de productos a determinadas organizaciones. De igual manera, la dirección
puede que tenga que revisar el nivel de riesgo a la vista de los cambios que puedan pro-
ducirse y hacer que la aceptación de un riesgo deje de ser deseable para la organiza-
ción, por ejemplo si dicho riesgo supera la tolerancia establecida por la organización.
Cuando la dirección opte por no evaluar un riesgo o no identifique un riesgo, esto será
equivalente a aceptar el riesgo sin tener en cuenta posibles cambios en el nivel de riesgo
relacionado o si dicho riesgo sigue situándose dentro de la tolerancia al riesgo de la or-
ganización.
Componentes del Control Interno 1E~ uac on dr Rlesgos
Puntos de mterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
r::
• - La evaluación del riesgo de fraude tiene en
cuenta cómo la dirección y otros miembros del personal, podrían verse motivados a
participar o justificar actuaciones irregulares.
T1pos de fraude
La evaluación de riesgos incluye, la valoración por parte de la dirección de los riesgos
relativos a la información fraudulenta y a la protección de los activos de la organización.
De igual manera, la dirección tiene en cuenta posibles actos de corrupción, tanto por
parte del personal de la organización como de proveedores de servicios externalizados
que impacten directamente en la capacidad de la organización para lograr sus objetivos.
Las medidas que se pueden llevar a cabo como parte de la aplicación de este principio
guardan una estrecha relación con el principio anterior ("Identifica y analiza el riesgo"),
que evalúa los riesgos en base a la hipótesis de que las normas de conducta ética que
se esperan de la organización serán cumplidas por la dirección, por el resto del personal
y por los proveedores de servicios externalizados. Este principio, " Evalúa el riesgo de
fraude", evalúa el riesgo en un contexto diferente, cuando las medidas de un individuo
pueden no estar alineadas con las normas de conducta que se esperan del mismo. La
dirección podrá además tener en cuenta el punto de atención referente al principio ante-
rior "Identifica y analiza el riesgo" a la hora de desarrollar, implementar y llevar a cabo el
control interno. Por ejemplo, las respuestas dadas a los riesgos identificados como parte
de este principio, se enmarcan dentro de las mismas categorías indicadas anteriormente
(aceptar, evitar, reducir y compartir). De igual manera, tal y como se ha indicado anterior-
tnformauon fraudulenta
Cuando se evalúan los riesgos para la consecución de los objetivos de información fi-
nanciera, las organizaciones suelen tener en cuenta el potencial de fraude existente en
los siguientes ámbitos:
Como parte del proceso de evaluación de riesgos, la organización deberá identificar las
distintas maneras en las que puede producirse la información fraudulenta, teniendo en
cuenta:
• Transacciones poco habituales o complejas que estén sujetas a una significativa in-
fluencia de la dirección.
Puede que existan casos en los que la organización no sea capaz de gestionar directa-
mente la información capturada en el marco de la información financiera, y sin embargo
se espera de ella que disponga de controles dentro de la organización que identifiquen ,
analicen y respondan ante ese riesgo en particular. Por ejemplo, la dirección de un pro-
veedor de software puede que no tenga capacidad para evitar que el personal de uno de
sus clientes online manipule las cifras de ventas registradas para reducir el importe que
deba pagar al proveedor de software. Sin embargo, la compañía de software podrá im-
plement ar actividades de control para detectar este tipo de información fraudulenta al
comparar los niveles de registro de software nuevo con los volúmenes de ventas.
De igual manera, los riesgos relativos al registro completo y preciso de las pérdidas de
activos en los estados financieros de la organización representan un objetivo de informa-
ción. En relación con los objetivos de información financiera, pueden surgir omisiones o
errores por el hecho de no haber registrado la pérdida de activos, por la manipulación de
los estados financieros para ocultar dichas pérdidas o por el registro de transacciones
fuera del período correspondiente. Por ejemplo, una organización puede mantener abier-
t os sus libros contables durante un período de tiempo posterior al cierre del ejercicio
para incluir en ese período ventas adicionales, o contabilizar de manera ilícita traspasos
de existencias ent re organizaciones de un mismo grupo, o manipular la amortización de
sus activos de capital.
Prott:.:cCJon de act1voc,
Cuando sean de aplicación determinados reo ... ·s¡¡os :ga;es:::: reg:.t.atorios, la dirección
deberá tener en cuenta los riesgos relat1vos a a :xo:;:-ccr..:r e: los ae1•vos en relación
con los objetivos de cumplimiento. Por e¡emp o. c--a or:...ar- ~~ on podra elaborar inten-
cionadamente información inexacta dirig1da a OS rec;¡_ EC<Y.;?S oara e. tar determinadas
sanciones o inspecciones.
Con independencia del objetivo que pueda . erse a"ec..aco oor a cna actuación, la res-
ponsabilidad por la prevención de pérdidas 1 por !es oroceo ~ entes y políticas anti-
fraude seguirá recayendo en la direcc1on de a orgar- ~do, 1 ae las unidades de
negocio en las que resida al riesgo.
Corruoc1on
Además de evaluar los riesgos relativos a la proteccior oe act1vos y de la información
fraudulenta, la dirección deberá tener en cueNa oos o es casos de corrupción que se
produzcan dentro de la organización. La corrupciÓn, normalMente hace referencia a la
categoría de objetivos de cumplimiento pero sir' duda aJgtJna. también podría influir en
el entorno de control que también afecta a os ob,et: .os de '1fofTnación financiera ex-
terna de la organización. De este modo, deberan ~ererse en cue"lta los Incentivos y pre-
siones para conseguir objetivos, al t1empo que se aeoera demostrar el cumplimiento de
las normas de conducta que se esperan de ra orgar1zactor t su efecto en el entorno de
control, especialmente las medidas relacionadas con el Prnc1p1o 4 (Demuestra compro-
miso con la competencia de sus profestonales) y Principto 5 1Ap 1ca la responsabilidad
por la rendición de cuentas). Los aspectos de la corrupctón Que se tienen en cuenta en
el contexto de la información financiera externa. suelen hacer referencia a actuaciones
irregulares contempladas en las leyes perttnentes } rele,a'ltes a dtcha actividad.
que se pueden adoptar para anular estos controles no se suelen documentar ni revelar,
dado que su propósito es precisamente la de encubrir determinadas actuaciones.
Como parte de la evaluación del riesgo de fraude, la dirección evaluará el riesgo de elu-
sión del control interno por parte de la dirección. El consejo de administración o cual-
quier otro comité dependiente del mismo (por ejemplo, el comité de auditoría)
supervisará esta evaluación y cuestionará a la dirección en función de las circunstancias.
El entorno de control de la organización puede influir significativamente en el riesgo de
elusión de controles por parte de la dirección. Esto es especialmente importante en el
caso de las organizaciones de menor tamaño, en las que la alta dirección puede partici-
par de manera muy activa en el desarrollo e implementación de múltiples controles.
Evaluar el riesgo de fraude incluye tener en cuenta aquellas oportunidades que existan
para cometer actos de fraude , así como las actitudes y justificaciones relacionadas.
Cuando se producen casos de pérdida de activos, informaciones fraudulentas o corrup-
ción, suelen existir incentivos y presiones, oportunidades para acceder a dichos activos
y actitudes y justificaciones que tratan de razonar las actuaciones realizadas. Los incen-
tivos y presiones, a menudo se derivan y guardan relación con el entorno de control, tal y
como se analiza en el Principio 5 (Hace cumplir la responsabilidad por la rendición de
cuentas). Como parte de la evaluación del riesgo de fraude, la organización deberá tener
en cuenta posibles incentivos y presiones y el impacto potencial que puedan tener en el
riesgo de fraude.
OoorturlJdad
Por ejemplo, la probabilidad de que se produzca una pérdida de act1vos o una informa-
ción externa fraudulenta aumenta cuando existe:
Las actitudes y justificaciones llevadas a cabo por los individuos que participan o tratan
de justificar determinadas actuaciones irregulares pueden tncluir las siguientes:
• Una persona considera que la organización le debe algo como resultado de su ele-
vada insatisfacción profesional (salario, entorno de trabajo, trato por parte de sus
jefes, etc.).