Control Interno - Marco Integrado

Marco y Apéndices

pwc
Control Interno - Marco Integrado

Marco y Apéndices

Mayo 2013

-...----- Traducción al español - -

-
pwc . h&lll\ltOtk
AudJtore lntemos
 Committee of Sponsoring Organizations of
: e Treadway Commission

·ernbros del Consejo

David L. Landsittel Mark S. Beasley Richard F. Chambers

~" te de COSO Douglas F. Prawitt The lnstitute of Interna/ Audttors
Amencan Accountmg AssoctatJon

cnat1es E. Landes Marie N. Hollein Sandra Richtermeyer

~ lnstitute of Certlfied Financia/ Executives lnternattona/ Jeffrey C. Thomson
A:.dlc Accountants lnstitute of Management
Accountants

0 .'/C-Autor

:;,r '1Cip ales Colaboradores

• :es E.A. Everson Stephen E. Soske Frank J. Martens

~-;'3f}ement
Leader Project Lead Partner Pro¡ect Lead Dtrector
~a York. EE.UU. Boston, EE.UU. Vancouver, Ganada

Cara M. Beston Charles E. Harris J. Aaron Garcia

Par.:ler Partner Dtrector
Sarl Jose. EE.UU Florham Park, EE.UU. San D1ego, EE.UU

Catherine l. Jourdan Jay A. Posklensky Sallie Jo Perraglia

!l;c:or Dtrector Manager
=a:Js. Francia Florham Park, EE.UU. Nueva York. EE.UU.
Consejo Asesor

Representantes de Organi zaciones Patrocinaao ras

Audrey A. Gramling Steven E. Jameson J. S~P'ler ."cNally
Bellarmine University Community Trust Bank ea~ So...::J Company
Fr. Raymond J. Treece Executive Vice President and Cr.:t:" :=-.a.-.e? :Jcr=c:or Controller
Endowed Chair Interna/ Audit & R1sk 0{rycer

Ray Purcell William D. Schneider Sr.

Pfizer AT&T
Director of Financtal Controls Director of Accountmg

Miembros en General
Jennifer Burns James Deloach Trent Gazzaway
Deloitte Protiviti G rar:; "'"hom ton
Partner Managing Director Pa~r

Cees Klumper Thomas Montminy Alan Paulus

The Global Fund to Fight AIDS, PwC E&V
Tuberculosts and Malaria Partner Partner
Chief Risk Off1cer

Thomas Ray Dr. Larry E. Rittenberg Sharon Todd

Baruch College University of Wisconsin KPMG
Emeritus Professor of Accountmg Partner
Chair Emeritus COSO

Kenneth L. Vander Wal

ISACA
/nternationa/ President
2011-2012

Observadores
James Dalkin Harrison E. Greene Jr. Christian Pea
Government Accountability Office Federal Deposit lnsurance Securities and Exchange
Director in the Financia/ Corporation Commission
Management and Assistant Chief Accountant Professtonal Accounting Fellow
Assurance Team (Through June 2012)

Amy Steele Vincent Tophoff Keith Wilson

Securtttes and Exchange lnternational Federation Public Company Accounting
Commisston of Accountants Oversight Board
Associate Chief Accountant Senior Technica/ Manager Deputy Chief Auditor
(Commencing July 20 12)
Colaboradores adicionales de PwC

Joseph Atkinson Jeffrey Boyle Glenn Brady

=rf'\er Partner Partner
rue a York (EE. UU.) Tokio (Japón) St. Louis (EE.UU.)

James Chang Mark Cohen Andrew Dahle

?a.---ler Partner Partner
=e. " tChina) San Francrsco (EE.UU.) Chicago (EE.UU.)

Mary Grace Davenport Megan Haas Junya Hakoda

~ Partner Partner {Ret1red)
~-=•-a York (EE. UU.) Hong Kong (China) Tokio (Japón)

;) .ai'Ia Hillier Steve Hirt Brian Kinman

~~ Partner Partner
::.cr.o-es (Inglaterra) Boston (EE.UU.) St. Louis (EE.UU.)

:.atoara Kipp Hans Koopmans Sachin Mandal

=a-er Partner Director
3os:'x EE. UU.) Singapur Florham Park (EE.UU.)

Martin Pat McNamee Jonathan Mullins

~ Partner Partner (Retired)
~"'~n (Alemania) Florham Park (EE.UU.) Dalias (EE.UU.)

Simon Perry Andrew Reinsel Kristin Rivera

?r.:-e Partner Partner
_oncres (Inglaterra) Cincinnati (EE.UU.) San Francisco (EE.UU.)

erie Wieman Alexander Young David Albright

=-a...-..er Partner Pnncipal
=:o mam Park (EE.UU.) Toronto (Canadá) Washington, D.G. (EE.UU.)

C"larles Yovino Eric M. Bloesch Christopher Michaelson

=--ooaJ Managing Director D1rector
=.~n'a .EE.UU.) Philadelphia (EE.UU.) Mmneapolis (EE.UU.)

-ohn Morrow Tracy Walker Qiao Pan

;)~tor Director Senior Associate
=or.-..am Park (EE.UU.) Bangkok (Tailandia) Nueva York (EE.UU.)
,
lndice
::>rólogo ..................................................................................................................................... i

=>rólogo a la Traducción ...................................................................................................... ii

"'1arco

. Definición de Control Interno ......................................................................................1

2. Objetivos, Componentes y Principios .........................................................................6

3 Efectividad del Control Interno ................................................................................ .20

.! Consideraciones Adicionales ....................................................................................25

5 Entorno de Control .................................................................................................... 35

c. Evaluación de Riesgos .............................................................................................. 67

i Actividades de Control ............................................................................................ 1O1

8. Información y Comunicación ..................................................................................121

9 Actividades de Supervisión ........................................... .......................................... 139

·O. Limitaciones de Control Int erno ................................................................ .............. 153

Apéndices

A. Glosario ................................................................................................................... 161

B. Funciones y Responsabilidades .............................................................................165

C. Consideraciones para las Organizaciones de Menor Tamaño ................................179

O. Metodología utilizada para Revisar el Marco .......................................................... 185

E. Cartas de Comentarios Públicos ............................................................................187

F. Resumen de Cambios efectuados en Cont rol Interno

- Marco Integrado de COSO (1992) ...................................................................195

G. Comparación con Gestión de Riesgos Corporativos

- Marco Integrado de COSO ..............................................................................205

Control Interno - Marco Integrado • Ma¡o2013 11111

Prólogo
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission
(COSO) publicó Marco integrado de Contra/Interno (el marco original). Este marco origi-
nal ha obtenido una gran aceptación y es ampliamente utilizado en todo el mundo. Asi-
mismo, es reconocido como el marco líder para diseñar, implementar y desarrollar el
control interno y evaluar su efectividad.

En estos veinte años desde la creación del marco original, las organizaciones y su en-
torno operativo y de negocio han cambiado de forma dramática, siendo cada vez más
complejos, globales y tecnológicos. Al mismo tiempo, los grupos de interés están más
comprometidos buscando una mayor transparencia y responsabilidad con respecto a la
integridad de los sistemas de control interno que apoyan la toma de decisiones y el buen
gobierno corporativo de la organización.

COSO presenta la versión actualizada de Control interno-Marco integrado (en adelante,

Marco). COSO considera que este Marco permitirá a las organizaciones desarrollar y
mantener, de una manera eficiente y efectiva, sistemas de control interno que puedan
aumentar la probabilidad de cumplimiento de los objetivos de la entidad y adaptarse a
los cambios de su entorno operativo y de negocio.

El lector experimentado encontrará muchos elementos en este Marco que le resultarán

familiares, ya que están basados en aspectos que ya estaban presentes y demostraron
ser útiles en la versión original. Se conserva la definición básica de control interno y de
sus cinco componentes. La obligación de tener en cuenta los mencionados cinco com-
ponentes para evaluar la efectividad de un sistema de control interno se mantiene funda-
mentalmente sin cambios. Por otro lado, el Marco sigue haciendo énfasis en la
importancia del criterio profesional de la dirección en el diseño, implementación, funcio-
namiento y evaluación de la efectividad del sistema de control interno.

A su vez, el Marco incluye mejoras y aclaraciones destinadas a facilitar su aplicación y

uso. Una de las mejoras más significativas es la formalización de los conceptos funda-
mentales que fueron presentados en el marco original. En el Marco actualizado, estos
conceptos son ahora principios, que se asocian a los cinco componentes y que propor-
cionan claridad al usuario a la hora de diseñar e implementar un sistema de control in-
terno y para comprender los requisitos de un control interno efectivo.

El Marco ha sido mejorado a través de la ampliación de la categoría de objetivos de la

información financiera, incluyendo otras formas importantes de reporting, como por
ejemplo la información no financiera y el reporting interno. Asimismo, el Marco refleja los
cambios en el entorno empresarial y operativo de las últimas décadas, entre los que se
incluyen:
• Las expectativas de supervisión del gobierno corporativo.
• La globalización de los mercados y las operaciones.
• Los cambios y el aumento de la complejidad de las actividades empresariales.
• Demandas y complejidades de las leyes, reglas, regulaciones y normas.
• Expectativas de las competencias y responsabilidades.
• Uso y dependencia de tecnologías en evolución .
• Expectativas relacionadas con la prevención y detección del fraude.

Control Interno - Marco Integrado • Mayo201l 11111

Un Resumen ejecutivo proporciona una visión genera ceso:-.a:= a c:::rs:,:-: u: ac!""' n•s-
tración, al CEO y a la alta dirección. El Marco lntegraao )' sus -~ -SJ"..::.e" e
Marco en sf, incluida la definición del control interno. los r=-=:.xs:::s ~ L.C" :cr::rol n-

nan orientación a distintos niveles de la d1recc1ón para e- ..::.._-.:¿?¡

funcionamiento del control interno y la evaluacon ce:;._ :Z=-""L·- -

Los apéndices de la presente publicac1ón consr.-n.;e-m e"e!r::o::azs a-~~=~ no se

consideran parte del Marco. Las Herramientas ~sL~C:•rras ~ ~ =-~ -aaa de=
un Sistema de Control Interno proporcionan plarr.:::...as } ::s.....=-~ a:e -
en la aplicación del Marco .

Además del Marco, se ha publicado símu tar'ea.""'e-= :. ,__.......'--"""'---""'

sobre la información financiera externa: un carn::;e-.c;:o ce .:=e;:::X:f:::s
porcionar enfoques prácticos y ejemplos que ..~g-a,- ---:
pios enunciados en el Marco se pueden ap1 car e;
financieros.

Previo a la publicación del Marco, COSO pubUcó a G::.te ::-.=:a s:.t:l9'l~..... ::<Es s<emas
de control interno para ayudar a las organizaci<Y'es a :?'"'"":n-~ ~ ~es de
supervisión dentro de un sistema de control -·e:'""C. S - =-
~ g¡.;¡a ~ -= ::r:o;>-rada para
ayudar en la aplicación del marco ong1nal. COSC ~?::. a:E .sg:E ;::r: ::;a.ra e
Marco actualizado.

COSO puede, en el futuro, publicar otros doc...--;-e-os :;;a.-:. =r:-::O"::lO'"".? :ss.e...,oa en la

aplicación del Marco. Sin embargo, ni el Cor~roJ -·::me s:::=r: - a:~G- :-a.r"ICJera
externa: un compendio de métodos y e;errplos. ... - G_a :.a: "' ~ó.S.1'::- oe s.stemas
de control interno, ni ningún otro documento ce~ :::r= ro _ 'X.-e:?"or :)~evale­
cerá sobre el presente Marco.

Otra de las publicaciones emitidas por COSO es a Gesú-.:..- ::e~ o=lf'XJ.ra: . os -

Marco integrado (ERM - Marco). Este y el Marca sor. OC'f!"j- e:::J~ -:. se sustituyen
entre sí. Sin embargo, aunque estos marcos ser e ::r,.,.-=:;; ::r;~ :r-oques dis-
tintos, abordan determinadas áreas comunes E Var-e- E?~ ~a ~=-F-fi el control
interno, y reproduce varias partes del texto oe Con~ ?T::':JO original.
En consecuencia, el Marco ERM sigue s1endo ur ma.'CO <:.:l;.C ao..::..o .--;:. ::::ara el di-
seño, la implementación, la ejecución y la evruuaciOíi == :s;cs ::oroorati-
vos.

Por último, el consejo de COSO quiere agradece~ a o-.-. e y a. ::onse.::- :.s.:s.-""'1!" ::xy su con-
tribución en el desarrollo del Marco y de los docure--:.:::s .,.~~ Su : "austrva
consideración de las aportaciones realizadas oor os cs-..;rr.:os ;-""..:.:JOS ~ -..eres ; sus
análisis han sido fundamentales para garant1zar cue los 01~r;:.:::; :::~ ·~:s ::e: k: :s~ctura
original hayan sido conservados, aclarados y fortalecioos.

Jay:c _ Landsittel
.~ cerre de COSO

11111 Control Interno- Mar1o Integrado • Mayo 2013

Prólogo a la Traducción
Desde que en 1992 el Committee of Sponsoring Organizations of the Treadway Commis-
sion publicó el primer informe COSO -Marco Integrado de Control Interno-, su liderazgo
ha sido reconocido en el mundo por proporcionar las herramientas necesarias para
desarrollar, fortalecer y mantener un marco de control interno eficaz y eficiente que
ayude a a todo tipo de organizaciones a cumplir sus objetivos.

El Instituto de Auditores Internos de España ha apoyado la misión de COSO a través de

la traducción al español de todas y cada una de las publicaciones emitidas en estos más
de 20 años, por considerarlas imprescindibles para que los auditores internos cumplan
su misión al servicio de los Comités de Auditoría en su deber de supervisión de los siste-
mas de control interno y gestión de riesgos.

Nuevamente COSO ha emitido -y el Instituto de Auditores Internos de España ha tradu-

cido en colaboración con PwC España- una publicación de referencia para todos aque-
llos profesionales que tengan responsabilidad respecto a los sistemas de control interno
que apoyan la toma de decisiones y el buen gobierno corporativo de las organizaciones.

En Noviembre de 2013 el Instituto presentó la traducción al español del resumen ejecu-

tivo y ahora concluye el ciclo con la traducción de los dos documentos que completan
esta publicación básica de control interno.

26 de Junio de 2014

Carlos Mas Ernesto Martínez

Presidente Presidente
PwC España Instituto de Auditores Internos de España

Controllnierno- Marco Integrado • Havo lOIJ 11111 iii

l. Definición de control interno
El objetivo del presente informe Control interno - Marco integrado (el Marco) es ayudar
a la dirección a mejorar el control en la organización, así como proporcionar al consejo
de administración, herramientas adicionales para mejorar la capacidad para supervisar
el control interno. El sistema de control interno permite que la dirección oriente sus es-
fuerzos en la consecución de los objetivos operativos y desempeño financieros de la or-
ganización , mientras opera de acuerdo con los límites establecidos en la legislación
aplicable y minimiza sorpresas que puedan surgir. El control interno permite que una or-
ganización gestione con mayor eficacia los cambios que se produzcan dentro del en-
torno económico y competitivo, la dirección de la organización, así como sus prioridades
y modelos de negocio cambiantes.

Entendimiento del control interno

El control interno se define de la siguiente manera:

El control interno es un proceso llevado a cabo por el consejo de administración,

la dirección y el resto del personal de una organización, diseñado con el objeto de
proporcionar un grado de aseguramiento razonable para la consecución de los ob-
jetivos relativos a las operaciones, a la información y al cumplimiento.

Esta definición hace énfasis en que el control interno:

• Está orientado a la consecución de objetivos en una o más categorías separadas

pero con determinadas áreas comunes - operaciones, información y cumplimiento.

• Es un proceso que consta de tareas y actividades continuas - es un medio para lle-

gar a un fin, y no un fin en sí mismo.

• Es llevado a cabo por las personas - no se trata solamente de manuales, políticas,

sistemas y formularios, sino de personas y las acciones que éstas aplican en cada
nivel de la organización para llevar a cabo el control interno.

• Es capaz de proporcionar aseguramiento razonable - no una seguridad absoluta, al

consejo y a la alta dirección de la organización.

• Es adaptable a la estructura de la organización - flexible para su aplicación al con-

junto de la organización o a una filial , división, unidad operativa o proceso de negocio
en particular.

Esta definición de control interno es intencionadamente amplia por dos razones. En pri-
mer lugar, captura conceptos importantes que son fundamentales para las organizacio-
nes respecto a cómo diseñar, implementar y desarrollar el control interno, así como para

El Marco usa el térm1no "consejo de adm1n1stración'' para refenrse al máximo órgano de gobierno. Inclui-
dos los consejeros, los socios generales, los propietarios o el conseJO de supeNisión.

Control interno - Marco Integrado • Mayo 2013 111

Marco 1Entornode Control • Evaluacion de Riesgos• Actividades de Control • Información y Comunicación • Actividades de SupewSio

evaluar la eficacia del sistema de control interno. cons¡_7;.. :r_,: :s -..a:;¿_~ :Jara su
aplicación en diferentes t ipos de organizaciones. sec:or-:::5 -= __ g:-::.o= ~- -:as. En se-
gundo lugar, la definición se adapta también a los c.s- -os s.....=:=-..:-=-,-..:: ~~ .::orrrol in-
terno.

Las organizaciones podrán centrarse de forma I"Oe:En ::r: : a ;;.~e e- el control

interno sobre la información financiera o en los cor:.-o=s =-
leyes y regulaciones. De igual manera, esta de~~"oor x:.:::-= -=-
~= ~-::e-.a:nente en
los controles de unidades de negocio o activ•oaces =:s:::e:r -zs::.:: _ ¿ :JC=.c:=acton.

para los objetivos operativos, de información 1 e~-=>-~ :-: :::~

ción de sus necesidades o circunstancias esoecrcas

Orientado a la consecución ae 0!:),.2:

El Marco establece tres categorías de objetivos e-= :::~=- =. =" ~2."".::.ac ones cen-
trarse en diferentes aspectos del control tnterno:

• Objetivos operacionales - Hacen referenc a a a =-:;;ac..:: :~ - .=.- .....::. as operacio- ==

nes de la organización, incluidos sus ob¡et vos e: ==s.:-::,:='": .r-¿; :- ?'OS} operati-
vos, y la protección de sus activos frente a posb!es ~ :::.zs

• Objetivos de información - Hacen referenc1a a a ..:y-~ :ra y ro ínan-

ciera interna y externa, y pueden abarcar aspec:os .::: =~ ~ ::::r~-caa trans-
parencia u otros conceptos establecidos por tos '~-¿,e,~ ~ -.os ae
normalización o por las políticas de la propta orgéu\.....a- x.

• Objetivos de cumplimiento - Hacen referellC a al et.:~ =: ::s y regula-

cienes a las que está sujeta la organización.

Estas categorías diferenciadas y a la vez con areas e"' ce.----- -"" ~ esoec'fico =
puede recaer en más de una categoría- abordan o"erer:es a:~ces • :J-... ooen
constituir la responsabilidad directa de diferentes personas ::S¿s ~:S ::z:gCTlas tam-
bién indican las expectativas que se espera del conrro ~=""'o .

Un sistema de control interno debe aportar a una orgar,n;cor ..- - ::.. ::e asegura-
miento razonable para la consecución de los ob¡ettvos re ac100aeos ::o.- a -•o,....,ación
externa y el cumplimiento de las leyes y las regulactones _a co-~ ::: esos objeti-
vos, los cuales se basan principalmente en leyes. d1rectrices -eg_ a::ac ~es o "10nllas es-
tablecidas por legisladores, reguladores y organismos de GOr'-"'D cs-:r.:-ce'a de como se
lleven a cabo las actividades que se encuentren ba¡o e contra oe a orga; z.acto'1. En
términos generales, la dirección y/o el consejo de admin1srrac O" so,.. mas conservado-
res a la hora de fijar objetivos de información interna que no es.e"' ""'': ,aaos POr los
agentes externos anteriormente citados. Sin embargo, la orga..n..::.ac or ¡x.eoe optar por
alinear los objetivos de información interna y externa de manera a~..e a nfofT"'lactón in-
terna respalde la información externa de la organtzacton.

11111 Control Interno - Marco Integrado • Mayo2013

 Oefimcion de Control Interno

La consecución de algunos objetivos operacionales -por ejemplo el retorno sobre una

inversión espécífica , la cuota de mercado o el desarrollo sostenible de sus operacio-
nes- no siempre se encuentra dentro del control de la organización. Por ejemplo, imagi-
nemos una compañía aérea que se haya propuesto cumplir el objetivo de que el 90% de
sus vuelos salgan a la hora planeada. Determinados fenómenos meteorológicos como
las tormentas de nieve o los huracanes son eventos externos que se encuentran tuera
del control de la dirección y que pueden afectar de manera significativa a la consecución
de dicho objetivo. Para este tipo de objetivos operacionales, los sistemas de control in-
terno sólo pueden proporcionar un nivel de aseguramiento razonable de que la dirección
y el consejo disponen de la información, sobre el grado de avance en la consecución de
dichos objetivos.

En aquellos casos en los que sea improbable que eventos externos puedan tener un im-
pacto significativo en la consecución de determinados objetivos operacionales o cuando
la organización pueda predecir, de manera razonable, la naturaleza y el momento en el
que se produzcan determinados eventos externos y mitigar su impacto a un nivel acep-
table, la organización podrá obtener un nivel de seguridad razonable de que podrá cum-
plir estos objetivos. Por ejemplo, imaginemos que la dirección establece el objetivo de
llevar a cabo el mantenimiento rutinario de los equipos cada 500 horas de funciona-
miento. La dirección cree que la consecución de este objetivo se encuentra en gran me-
dida bajo su control, si bien reconoce que pueden existir eventos externos -como
pueda ser una pandemia que provoque una reducción significativa de su plantilla de per-
sonal y por tanto la correspondiente reducción en las horas de mantenimiento llevadas a
cabo- que puedan impactar en la consecución de este objetivo, pero que es improba-
ble que se produzcan.

Un proceso

El control interno no se limita a un evento o circunstancia, sino que se trata de un pro-

ceso dinámico e iterativo, es decir. acciones que están presentes en las actividades de
una organización y que son inherentes a la manera en la que la dirección gestiona la
organización. Dentro de este proceso se establecen controles en forma de políticas y
procedimientos. Estas políticas reflejan la visión de la dirección o del consejo sobre
como desarrollar el control interno. Dicha visión puede ser formalizada por escrito y
plasmarse de forma explícita en otras comunicaciones de la dirección o bien de manera
implícita a través de las decisiones y medidas adoptadas por la dirección. Los procedi-
mientos consisten en medidas para la implementación de una política.

Los procesos de negocio, que se llevan a cabo dentro de un área operativa o un área
funcional específica o a través de varias de ellas, son gestionados a través de las activi-
dades habituales de la dirección, tales como la planificación, la ejecución y la supervi-
sión. El control interno se integra por tanto, en todos estos procesos. El control interno
integrado en estos procesos y actividades es más eficiente y efectivo que aquellos con-
troles desarrollados de manera aislada.

2 Aunque se pueda hacer referencia al control 1nterno como un proceso, en realidad 1ncluye múlt1ples pro-
cesos.

Control Interno - Marco Integrado • Mayo 1013 11111

Harto 1Entorno de Conllol • Evaluauon de R1esgos • ActiVIdades de Control • lnformaoon vComumcaoon • Actividades

Llevado a cabo por las personas

El control interno es llevado a cabo por el corse¡a ce ac- - -.._.d: :;- a a rección y otros
miembros de la organización. Por tanto, son 1as ::>ersCX".as e; ..a :xga:-;zac1ón quienes lo
desarrollan a través de lo que dicen y lo que 1-,ace"' Sor. tas ~.as c ... enes estable-
cen los objetivos de la organización y ponen er' ,...are :a las acoones para conseguir los
objetivos establecidos.

Las responsabilidades de supervisión del canse o nc ... ::r YO::!O:'~ asesoramiento

y orientación a la dirección, cuestionando de manera cors;;-...<:\ a - ges-JOn aprobando
las políticas y las operaciones y monitorizando as a~ :caces ~ .a :: -ecc on En conse-
cuencia, el consejo de administración es un elemeni.o e a : o: cor. ""i.emo. El con-
sejo y la alta dirección son quienes establecen ,a re e a110a ::e cor. "':emo y códigos
de conducta dentro de la organización.

Todos los días surgen cuest iones y problem as en la gestlo"' ce --.a ocgar.:zac1on. En una
organización puede haber personas que no comprendan p e"la.~er:~a a r.a:uraleza de
estas cuestiones y problemas o las alternativas que t ener a su o SOOSICIO'l' puede que
no las comuniquen eficazmente, o que no las desarro. en oe marera coherente. Cada
persona aporta a su organización un perfil único de capac.caces y •orrnac1on profesional
y cada una de ellas tiene por tanto prioridades y neces oaoes es: ":as Estas diferencias
individuales pueden resultar enormemente valiosas y bemr''ciOSaS ae cara a la innova-
ción y a la productividad, pero si no se alinean de forma aoecuada con 10S objetivos de
la organización, pueden resultar contraproducentes. S1n e'""oargo caoa profesional de
una organización debe conocer sus responsabilidades y e ,....,~e oe su auwndad. Por
consiguiente, es necesario que exista un vínculo claro y esrrec'10 e"' --re as func1ones y
responsabilidades de las personas y la forma en que estas oo gac o,es son comunica-
das, llevadas a cabo y son alineadas con los objetivos de la organ zac101"

Proporciona aseguramiento razonable

Un sistema de control interno efectivo proporciona un aseguram emo razonab1e a la di-

rección y al consejo de administración con respecto a la consecuc1or de os ob¡et1vos de
la organización. El término "aseguramiento razonable" en contrapos cK>n a "asegura-
miento absoluto" reconoce que existen limitaciones en todos los s1s¡ewas de control in-
terno y que pueden existir incertidumbres y riesgos que nadie puede predeclf con
seguridad ni precisión. La seguridad absoluta sencillamente es 1mpos o e de conseguir.

La seguridad razonable no implica que una organización siempre vaya a conseguir sus
objetivos. Un control interno efectivo incrementa la probabilidad de que una organiza-
ción consiga sus objetivos. Sin embargo, la probabilidad de consecucton de dichos ob-
jetivos se ve afectada por las limitaciones inherentes a todos los s1stenas de control
interno, tales como los errores humanos, las incertidumbres Inherentes at entena profe-
sional y el potencial impacto de acontecimientos externos a¡enos al control de la direc-
ción. De igual manera, las personas pueden eludir un sistema de contra Interno si existe
connivencia o confabulación entre ellas. Además, si la direcc1ón es capaz de eludir los

11111 Control Interno - Harca Integrado • Mavo 1013

controles, la totalidad del sistema puede fallar. Y aunque que todo sistema de control in-
terno de una organización debe ser diseñado para evitar y detectar casos de conniven-
cia, error humano y elusión de los controles por parte de la dirección, un sistema
efectivo de control interno puede fallar.

Adaptable a la estructu ra de la orga nización

Las organizaciones pueden estructurarse de acuerdo con diferentes dimensiones. El mo-

delo operativo adoptado por la dirección puede ajustarse a las líneas de productos o
servicios de la organización, y la información generada por la misma puede llevarse cabo
a nivel de organización consolidada, división o unidad operativa, al tiempo que los distin-
tos mercados geográficos pueden generar subdivisiones o adiciones de resultados pos-
teriores. El modelo operativo adoptado por la dirección puede utilizar además a
proveedores de servicios externalizados para respaldar la consecución de los objetivos.

La estructura jurídica de la organización suele estar diseñada para ajustarse a requeri -

mientos regulatorios de reporting, mitigar los riesgos o aprovechar posibles beneficios
fiscales. A menudo, la estructura jurídica de una organización varía en gran medida con
respecto al modelo operativo empleado por la dirección para gestionar las operaciones,
asignar los recursos, medir el desempeño e informar de los resultados.

El control interno puede por tanto aplicarse, en base a las decisiones de la dirección y en
el contexto de los requisitos legales o regulatorios, sobre el modelo operativo adoptado
por la dirección, la estructura de la organización jurídica o combinación de ambas.

Control interno -Marco Integrado • Mayo ZOil 11111

 2. Objetivos, componentes y
. . .
prinCIPIOS

Introducción
Una organización adopta una mistón y una" 1$1()("', es-...a:J:ece ~gg•as. fija objetivos a
conseguir y formula planes para lograrlos. :>tenas oc: I!'.J5;::); a::er ~ · arse para una or-
ganización en su conjunto o bien pueden a ng rse a ac;;; ~ esoecr"icas de la organi-
zación. Si bien existen objetivos específicos oara caca :xga.na:ac ~ a_¡gunos de ellos
pueden considearse comunes. Por ejem plo, a.g nos o _ ~ e-=
sor comunes a la
mayoría de las organizaciones son la con5eCUC100 e: :xno COGlO Cf'92.."t.ZaCión, la infor-
mación a las partes interesadas, la contrataCIOO y r::EOOCCi. ue ~::¡, aaoos motivados y
competentes, la obtención y mantenim1emo oe -.a reo'-~ co;-....<Ya:t;,a posit iva y el
cumplimiento de la normativa y regulac1ón.

Para apoyar a la organización en sus esfuerzos oor logaT S;.;S OOj~vos. se dispone de
los cinco componentes del control interno:

• Entorno de control

• Evaluación de riesgos

• Actividades de control

• Información y comunicación

• Actividades de supervisión

Estos componentes son relevantes tanto para el conju~o ce la o-ga.,.zacten como a

nivel organización, filiales, divisiones, o cualquiera de sus •..-· :eaces o::>erativas, funciones
o cualesquiera otras subdivisiones de la orgamzac1on.

Relación entre objetivos, componentes y organizac ón

Existe una relación directa entre los objetivos, que es lo que una orgarú.aciÓO se es-
fuerza por lograr, los componentes, que representan lo que se neces ::a oa"a ograr los
objetivos, y la estructura de la organización (las unidades opera .. as organt.Zactones jurí-
dicas y demás). La relación puede ser representada en forma de cuoo.

• Las tres categorías de objetivos están representadas por las cofur'lélS.

• Los cinco componentes están representados por las filas.

3. A lo largo del Marco, la expresión "la organizac1ón y sus subunidades" hace referenoa dE manera colec-
tiva al con¡unto de la organización. divisiones. filiales. unidades operatiVaS y ~.es

6 11111 {onlJollnlerno - Marco Integrado • Havo lOU

• La estructura de la organización, que incluye el conjunto de la organiza-
ción, las divisiones, filiales, unidades operativas o funciones, incluyendo
los procesos de negocio como ventas, compras, producción y marketing, y
aquellos a los que hace referencia el control interno, está presentada por la
tercera dimensión del cubo3 .

Cada componente es aplicable a cada una de las tres categorías de objetivos.

Por ejemplo, atraer, desarrollar y retener a profesionales competentes que
sean capaces de llevar a cabo el control interno -parte del componente de en-
torno de contro- es relevante para las tres categorías de objetivos.

Las tres categorías de objetivos no son partes o unidades de la organización.

Por ejemplo, los objetivos operacionales hacen referencia a la eficiencia y efi-
cacia de las operaciones, y no a funciones o unidades operativas específicas
como ventas, marketing, compras o recursos humanos.

Por consiguiente, a la hora de considerar la categoría de objetivos relacionada, por

ejemplo, con la categoría de información, será necesario disponer de una amplia canti-
dad de datos sobre las operaciones de la organización. En ese caso, la atención deberá
dirigirse a la columna central del modelo -objetivos de información- en lugar de a la ca-
tegoría de objetivos operacionales.

El control interno es un proceso dinámico, iterativo e integrado. Por ejemplo, la evalua-

ción de riesgos no sólo influye en el entorno de control y en las actividades de control,
sino que también puede poner de manifiesto la necesidad de reconsiderar los requisitos
de información y comunicación de la organización o sus actividades de supervisión. Por
tanto, el control interno no es un proceso lineal en el que un componente afecte solo al
siguiente componente. Se trata de un proceso integrado en el que los componentes
pueden impactar (y de hecho así lo hacen) en el resto de componentes.

Cada organización debería tener un sistema de control interno específico y distinto al del
resto de organizaciones. Las organizaciones, objetivos y sistemas de control interno di-
fieren en función del sector y el entorno regulatorio así como en función de factores in-
ternos tales como el tamaño, la naturaleza del modelo operativo adoptado por la
dirección, la tolerancia al riesgo, la dependencia en tecnología, la capacidad del perso-
nal y los recursos de personal disponible. Por tanto, si bien todas las organizaciones ne-
cesitan de cada uno de estos componentes para mantener un control interno efectivo
sobre sus actividades, el sistema de control interno de una organización siempre será di-
ferente al de cualquier otra organización.

Objetivos
La dirección, bajo supervisión del consejo de administración, establece objetivos a nivel
de organización que se alinean con la misión, visión y estrategias de la organización.
Estos objetivos de alto nivel reflejan las opciones elegidas por la dirección y el consejo
de administración con respecto a la manera en que la organización trata de crear, con-
servar y materializar el valor para sus grupos de interés. Estos objetivos pueden cen-
trarse en las necesidades específicas de las operaciones de la organización o bien
alinearse con las leyes, reglas, regulaciones y normas impuestas por los legisladores, or-

Control interno- Marco Integrado • Mayo 2013 11111

Harto Entorno de Control • E~aluacion de R1esgas • Actividades de Control• InformaCión y Comumcauon • AC!'T~ ce

ganismos reguladores y organismos de norma.::....c:- ~ ::..:-- sa : resultado de una

Las personas que forman parte del sisteMa de cc~<:::lfl :no:: :::-oe-- comprender los
planes estrategicos y objetivos generales estao eoccs OCK .a a-:...ar- -=ac•ón. Como parte
del control interno, la dirección especrfica aoje: .os ao..=c-...a.."'CS ~= '""1arera que puedan
identificarse y evaluarse los riesgos ex stertes para a co.-..sacocor de d1chos objetivos.
El establecimiento de estos objetivos 1nclu1 e la arJco_ a =- :.:-_-.os ootettvos que sean
específicos, medibles u observables, alcanzaD es. re a a.~-:s y -.acos en el tiempo.

Sin embargo, puede haber casos en los que una organ:zac«X'i oc GOCuMente expresa-
mente un objetivo. Los objetivos especrficados a ....... ,., =::: ..::E!a : aaecuado podrán
ser comprendidos con mayor facilidad por aque, as oorso.~.as e e ;raoa,en directamente
para conseguirlos.

Categorías de Objetivos
El Marco agrupa los objetivos de una organrzac1or- er :res ccr.egorias. operativos, de in-
formación y de cumplimiento.

Objetivos Operacionales

Los objetivos operacionales hacen referencia a la consec..JC'Dr' ce 'a m•s•ón y visión bási-
cas de la organización, la razón fundamental de Sú ex 1s:e~ Es:os oOietiVOS varían en
función de las opciones elegidas por la direccion en relació,.. cor e "1odelo operacional,
las características sectoriales y el desempeño. Los ob¡et ..os a "' . e de organización se
desglosan a su vez en subobjetivos para las operaciones espec~cas centro de las sub-
divisiones, filiales, unidades operativas y funciones. ding1oos a no-ernentar la eficiencia y
eficacia en la consecución de su objetivo principal.

Por tanto, los objetivos operacionales pueden estar relacionados con 1a mejora del des-
empeño financiero, la productividad (por ejemplo, reduc1r los desoero1C1os de materias
primas y la duplicidad de tareas), la calidad , las prácttcas med OaTl"Oienta•es. la innova-
ción y la satisfacción del cliente y de los empleados. Estos objet1vos son aplicables a
todo tipo de organizaciones. Por ejemplo, una organización con an mo oe ucro puede
centrarse en la generación de ingresos, en la rentabilidad, en el retomo sobre los activos
y la liquidez. Por el contrario, una organización sin ánimo de lucro S• b1en es evidente
que se preocupará por la generación de ingresos y los niveles de gasto se centrará en
aumentar la participación de sus donantes. Por su parte, una admin1strac1ón pública
puede centrarse en conseguir la misión establecida por el correspondiente organo de
gobierno o legislador, gestionando de manera eficiente y eficaz los programas específi-
cos del gobierno y su gasto en línea con los objetivos establecidos. S 1os objetivos ope-
racionales de una organización no están bien definidos o claramente especificados, sus
recursos podrían ser utilizados de manera deficiente.

11111 Control Interno - Marco Integrado • Mavo2013

 ObJEIIVOI. lomponentel y ~rrnCIPIOI

Protección de Activos

La categoría de objetivos operacionales incluye la protección de los activos, en otras pa-

labras, la salvaguarda y el mantenimiento de los bienes de una organización. Por ejem-
plo, una organización puede establecer objetivos en relación con la prevención de la
pérdida de activos así como con la detección y comunicación oportuna de dichas pérdi-
das. Estos objetivos constituyen la base para la evaluación del riesgo relacionado con la
protección de los activos y sobre la que seleccionar e implementar controles necesarios
para mitigar tales riesgos.

El uso eficiente de los activos de la organización y la prevención de pérdidas por el uso

inadecuado de los recursos, ineficiencia o decisiones de negocio deficientes (por ejem-
plo, la venta de un producto a un precio demasiado bajo, la concesión de un crédito a
un alto riesgo, la incapacidad de retener a empleados clave, la incapacidad para defen-
der los derechos sobre sus patentes, o la asunción de pasivos imprevistos), guarda rela-
ción con los objetivos operacionales más amplios de una organización y por tanto no
constituye una consideración específica de la protección de los activos.

Las leyes, reglas, regulaciones y normas externas han creado la expectativa de que la in-
formación proporcionada por la dirección sobre el control interno debe incluir los contro-
les relativos a la prevención y detección de adquisiciones, usos o ventas no autorizados
de los activos de la organización. De igual manera, algunas organizaciones consideran la
protección de los activos como una categoría aparte de objetivos, y de hecho esta visión
tiene cabida también en la aplicación del Marco.

Objetivos de Información

Los objetivos de información hacen referencia a la preparación de informes útiles para

uso de las organizaciones y las partes interesadas. Pueden estar relacionados tanto con
información financiera como con información no financiera así como con información ex-
terna o interna. Los objetivos de información interna vienen motivados por las necesida-
des internas de información como respuesta a una serie de necesidades potenciales,
tales como decisiones estratégicas de la organización, planes operativos y parámetros
de desempeño a distintos niveles. Los objetivos de información externa están motivados
fundamentalmente por la regulación y/ o las normas establecidas por los reguladores y
organismos de normalización.

• Objetivos de información financiera externa-Las organizaciones deben lograr sus ob-

jetivos de información financiera externa para cumplir con obligaciones y expectati-
vas de las partes interesadas. Los estados financieros son necesarios para acceder a
los mercados de capital y pueden resultar críticos a la hora de optar a la concesión
de determinados contratos o en la negociación con proveedores y vendedores. Los
inversores, analistas y acreedores a menudo se basan en los estados financieros ex-
ternos de una organización a la hora de valorar el desempeño de la misma con res-
pecto a sus competidores y evaluar inversiones alternativas. De igual manera, puede
que la dirección se vea obligada a publicar sus estados financieros utilizando una
serie de objetivos establecidos por las reglas, regulaciones y normas externas.

Control Interno - Marco Integrado • Mavo 2015 11111 9

 Harco 1Entorno de Control • EvaluaCion de Riesgos • Act1v1dades de Control • lnformacion vComuniCac on • Art.

• Objetivos de información no financ1era externa-La d rece or P'...eoe presentar su infor-

mación no financiera externa de acuerdo con as e, es -:gas -:gu ac1ones, normas
u otros marcos de trabajo. Los requ•sitos de ..,•o,..,ac\0" ~o :- na"1C era que vienen es-
tablecidos por las regulaciones y las normas re a· as a a ~'or1ac on de gestión en
materia de eficacia del control interno sobre a rr'om:ac~ :- --a"C e'a son parte de los
objetivos de información no financiera externa A os e"ecios ce presente Marco, la
información externa en ausencia de una ey reg a reg~.acxm. norma o marco repre-
senta la comunicación externa.

• Objetivos de información financiera y no finar>c1era r;;e..,a-...a n'ormación interna

para la dirección y el consejo de admimstrac1on P1C ~.o, e aa ....e a nformación que se
considera necesaria para gestionar la organ1zac1on [),C'·a ,..:ormac1ón apoya la toma
de decisiones y la evaluación de las act ividades~ e desei'T'per'\o de la organización.
Los objetivos de información interna se basan el" as pre'erenc as y en el criterio pro-
fesional de la dirección y del consejo. Los objetrvos de r-•o,.,.,ac on interna varían de
una organización a otra dado que las diferentes orgar..::ac ones enen diferentes di-
recciones estratégicas, planes operacionales y expec:a! as

Relación dentro de la categoría de objetivos de información

La relación general entre las cuatro subcategonas de Objet . os ae nformación se mues-

tra en el gráfico incluido a continuación.

Financiera/No Financiera Características

Los objetivos de información
financiera externa pueden
hacer referencia a:
Estados Financieros Anuales
Los objetivos de información
no financiera externa
pueden hacer referencia a:
Informes de Control Interno
• Se ut. zan para cumplir
reQU SitoS regulatorios y
de grupos externos de
onerés

~
• Se preparan de acuerdo
Estados Financieros Informes de Sostenibilidad con normas externas
Intermedios
Cadena de Suministro/
...E Publicaciones de Resultados Custodia de Activos
• Puec;:n ser exigidOs por
reguladores contratos,
Q.)

>< acuerdos
...
!:!::!.
E Los objetivos de información Los objetivos de información
Q.)
financiera interna pueden no financiera interna pueden
~ hacer referencia a: hacer referencia a: • Pueden utilizarse para
Informes Financieros de Utilización de Activos/ gestionar el negocio y la
Divisiones Personal toma de decisiones
Análisis de Rentabilidad de Parámetros de Satisfacción • Establecidos por la
Clientes del Cliente d1rección y el consejo
Cálculos de Covenants Parámetros de Salud
Bancarios y Seguridad

Los objetivos de información son distintos al componente de información y comunica-

ción del control interno. La dirección establece, bajo supervisión del consejo, los objeti-
vos de información cuando la organización necesita una seguridad razonable con
respecto a la consecución de un objetivo de información en particular. En estas situacio-
nes, se requieren los cinco componentes del control interno. Por ejemplo, a la hora de
preparar para el consejo la información no financiera interna sobre la situación de los es-

10 11111 Control interno - Marco Integrado • Mayo 1013

 uo¡euvo~. tomponente~ y rrmc1p1o~ -

fuerzas de integración efectuados con respecto a una fusión, la organización debe espe-
cificar objetivos de información interna (por ejemplo, preparar informes confiables, rele-
vantes y de utilidad), asignar responsabilidades a personas competentes, evaluar los
riesgos relacionados con determinados objetivos, seleccionar y desarrollar los controles
dentro de los cinco componentes necesarios para mitigar dichos riesgos y supervisar los
componentes del control interno que asisten en la consecución del objetivo de informa-
ción no financiera especificado.

Por el contrario, el componente de información y comunicación refuerza el funciona-

miento de todos los componentes de los objetivos de información, así como los objeti-
vos operacionales y de cumplimiento. Por ejemplo, los controles dentro del componente
de información y comunicación respaldarán la preparación de los informes anteriormente
indicados, contribuyendo a proporcionar información relevante y de calidad subyacente
en el informe, pero estos controles sólo serán parte del sistema general de control in-
terno.

Objetivos de Cumplimiento

Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de definir sus
objetivos de cumplimiento, la organización debe comprender qué leyes, reglas y regula-
ciones son aplicables transversalmente a la organización. Muchas leyes y regulaciones
son, en general bien conocidas, como por ejemplo aquellas que guardan relación con
los recursos humanos, la fiscalidad y el cumplimiento de la legislación medioambiental;
pero otras pueden resultar menos conocidas, como por ejemplo aquellas aplicables a
una organización que quiera llevar a cabo sus operaciones en una jurisdicción o territorio
extranjero remoto.

Las leyes y las regulaciones establecen unas normas mínimas de conducta esperables
de una organización. La organización debe incorporar estas normas a los objetivos esta-
blecidos para la organización. Algunas organizaciones fijarán objetivos a un nivel de
desempeño superior al requerido por las leyes y regulaciones. A la hora de fijar estos ob-
jetivos, la dirección puede ejercer prudencia en relación a la actividad de la organización .
Por ejemplo, una ley en particular podría limitar el número de horas que un menor de
edad pueda trabajar fuera del horario escolar hasta un máximo de 18 horas a la semana.
Sin embargo, una cadena de restaurantes podría optar por limitar dicho máximo de
horas para menores de edad a 15 horas a la semana.

Para efectos del Marco, el cumplimiento de las políticas y procedimientos internos de

una organización, en contraposición al cumplimiento de las leyes y regulaciones exter-
nas tales como las descritas anteriormente, hace referencia a los objetivos operaciona-
les.

Áreas comunes en las categorías de objetivos

Un objetivo de una categoría puede solaparse o apoyarse en un objetivo de una catego-
ría distinta. Por ejemplo, "realizar el proceso de cierre sobre la información financiera en
un plazo de cinco días hábiles" puede ser una meta que respalde fundamentalmente un

Ccntrollnterno- "tarco Integrado • Mdvo 2013 11111 11

Marco Enlomo
.. de Control
. • Evaluador.
. de Riesgos • Act vidades d2 Control •lnlwnaoon yComunrcacro• • A

objetivo operacional -apoyar a la d recox a = Exr:a -=

= ~ _ ~::s-:~oeño de la orga-
nización. Pero también respalda a gener:::OOfi ~_aoor: ~_:al ::e drchos infor-
mes ante las correspondientes agencras t::gt:.a:oo=

La categoría en la que un objetivo reca:ga ::.;·-¡a :: ::;:p?"':: :r:c:.:: ~= -- ·e •cunstancias.

Por ejemplo, los controles para e" tare rvx. ::: ~":E-...:..~ o:r:; ;;-.artener ade-
cuado cerramiento en el almaceno d soo: :..- ::;;: :r; ::r.::r;: ::::.,¡;;: ?.t:::_:: a autorización

la dirección se basa únicamente en os reg~S:roS ::;:

generar sus informes, como pueda ser oara e case v= -::::::: :s::::c.c:s .,_.a.-c.eros Interme-
dios o la información interna, los controles ce ~ ~;_2, -cenan e"tonces consi-
derarse también dentro de la categona de oo e: os a: ~...:... -c. =s•os controles de
seguridad física, junto con los controles soo~ es e:-;- ..:s ::e =r-u.aro oermanente,
serán necesarios para cumplir los ob¡etrvos ce ,.•~:e ::7 1:::"-:: es roecesario con-
tar con un claro entendimiento de los procesos ce r ~~= :le : or;a"':::.acron. de sus
políticas y de sus procedimientos. ast como oe su_ r:s:::.e=c:os .,¿;::os en cada una
de las categorías de objetivos.

Fundamentos de las categorías de oc:: -s

Algunos objetivos se derivan del entorno reg~; a:onc:: :::: :r-~ :.:-c.o~a. en el que
opera la organización. Por ejemplo:

• Algunas organizaciones están obligadas a oresé-:ar -~:r.:;¿s :: a;:n:::~as medioam-

bientales.

• Las organizaciones que cotizan en el mercado oe a.J""":::S es-..a:- ~Of'.Jgadas a presen-

tar informes ante los correspondientes organrsrnos reg_ aca::-s

• Las universidades están obligadas a presentar 'r'or--es soore:. ..so oe subvencio-

nes públicas a determinadas agencias del gob•erno

Estos objetivos vienen establecidos en su mayor parte por a eg:s:aox. o la reg ulación,
y se consideran dentro de la categoría de objetivos oe c..~mo - en:o. c e 'nformación ex-
terna o, como en estos ejemplos, en ambos.

Sin embargo, los objetivos operacionales y de informacron nterna se ::x.san en mayor

medida en las preferencias, juicio y criterio de la orgamzacrón Estos oo,et vos varían en
gran medida de una organización a otra sencillamente porque profes ona'es debrda-
mente informados y competentes pueden seleccionar objettvos n·-..~> d~ere.,tes Por
ejemplo, una organización podría optar por convertirse en un adop:an¡:e temprano" de
las últimas tecnologías en el desarrollo de nuevos productos mren:ras Que otra podría
contentarse en ser un "seguidor inmediato" y a otra, a su vez. e basiaria con ser un
"adoptante tardío". Estas opciones reflejan las estrategias de la organ.z.acron así como
las capacidades, tecnologías y controles dentro de su functon de nvest.gación y
desarrollo. En consecuencia, no puede existir una única formulación de objetivos que
sea óptima para todas las organizaciones.

Objetivos y Subobjetivos
La dirección vincula los objetivos definidos a nivel de organización con subobjetivos más
específicos que se trasladan a todos los niveles de la organización. Los subobjetivos
también se establecen como parte o resultado del proceso de definición de la estrategia,
afectando a la organización y sus unidades de negocio y a sus actividades tales como
ventas, producción, ingeniería, marketing, productividad, recursos humanos, innovación
y tecnologías de la información. La dirección alinea estos subobjetivos con los objetivos
definidos a nivel de organización y los coordina a todos los niveles de la organización.

Cuando los objetivos a nivel de organización son coherentes con el desempeño y las
prácticas anteriores, la conexión entre estas actividades suele ser evidente. Cuando los
objetivos se distancian de las prácticas anteriores de la organización, la dirección debe
abordar estas conexiones o aceptar el correspondiente incremento de los riesgos. Por
ejemplo, un objetivo a nivel de organización relacionado con la satisfacción del cliente
dependerá de los objetivos específicos relacionados con la introducción de servicios
que utilicen una infraestructura tecnológica más nueva y menos probada. Puede que
sea necesario cambiar significativamente estos subobjetivos si las prácticas anteriores
utilizaban tecnologías más maduras y probadas.

Los objetivos específicos para unidades operacionales y actividades funcionales tam-

bién deben ser específicos, medibles u observables, alcanzables, pertinentes y limita-
dos en el tiempo. De igual manera, estos objetivos específicos deben ser comprendidos
con facilidad por aquellas personas que trabajen para conseguirlos. La dirección y el
resto del personal deberán contar con un entendimiento mutuo de lo que deben cumplir
y de los medios a su disposición para determinar hasta qué punto se ha cumplido, con
el fin de que puedan asumir su responsabilidad a nivel individual y de equipo.

Las organizaciones pueden establecer múltiples subobjetivos para cada actividad, deri-
vados tanto de los objetivos establecidos a nivel de organización como de las normas
existentes en relación con los objetivos de cumplimiento y de información, según se
considere pertinente de acuerdo con las Circunstancias. Por ejemplo, los objetivos ope-
racionales en el área de compras de una organización pueden hacer referencia a:

• La compra de bienes y productos que cumplan las especificaciones técnicas corres-

pondientes.

• La compra de bienes y productos de terceros que cumplan las regulaciones me-

dioambientales y de salud y seguridad correspondientes (por ejemplo, que en sus fá-
bricas no trabajen menores de edad, que existan buenas condiciones laborales).

• La negociación de precios y condiciones aceptables.

Control Interno - Marco Integrado • Ma¡o lO U 11111 13

Marco 1Entorno de Control • Evaluaoóo de Riesgos • Actividadesde Control • Información yComunicación • Activulades óe

Puede observarse otro ejemplo similar cuanoo a ::s...::..= =:c::r : : : :.s acecuados de in-
formación externa relativos a la preparacion ce !JS :s=:- -='"'-~:ros :-r.emos, la di-
rección tiene en cuenta las normas contab es as ¿ .a_~~ r;;: -::cas en los estados
financieros y las características cualitativas cue sor a.:;...:;¿:~~ a ;x:....a~ zac1ón y a sus
unidades de negocio. Por ejemplo, la direcciOf' o...a::: :s:a..:: =--sr -- :::::
:t o de informa-
ción financiera externa a nivel de orgamzaCKY' ce .as-;- :r-..: -..z.¡:-ra_ ~ Jestra compa-
ñía prepara estados financieros confiables que ~e a.-- = :c:r-.:;.C~-:s, aconteci-
mientos de acuerdo con los principios contab es ger::r::~ ~:acos.-

La dirección también especifica subob¡etivos ac~..s ::.a-=: as ::. s.ores, filiales, uni-
dades operativas y funciones con suficiente e arcar. :::as r=:s:;;a;;--a: s..s objetivos a nivel
de organización. Por ejemplo, la dirección esoecrfi:a ~....::.:: I':J:S :Jara as transacciones
de ventas sobre los que se aplican las noiT'las c;or.-..,_.,es :l~-: ·:os ce acuerdo con las
circunstancias y que abordan las afirmac1ones -e e e:.: ;es ="=e-~ en os estados fi-
nancieros y sus características cualitativas. ta.es cor..c;

• Todas las transacciones de ventas que se rea:::a:" s= r:-;-s:r-~ e: "'"'.anera oportuna.

• Las transaciones de ventas se registran - -::cr.es correctos en las

cuentas correctas

• Las transacciones de ventas se resumen de rna"'e"'a ~~ :7:esa en los libros y

los registros contables de la organización.

• La presentación y los desgloses relacionados cor. -.:: =~ s= G:3SCI"'ben. organizan

y clasifican de manera adecuada.

Componentes y Principios de Co,...1"ro Interno

El Marco establece un total de cinco componentes des s-.e--..a ::: ocr:ro r;:err1o y 17
principios que representan los conceptos fundamentaes ~ a :os COf11ponentes.
Estos componentes y principios del sistema contra rn~ so:- a.:J. -cao es oara todas las
organizaciones. Los diecisiete principios son aplicao1es a ca~ cr.a ce as categorías de
objetivos así como a los objetivos y subobjetivos de caca ccr.egvra.. :~o,. e¡emplo, una
organización puede aplicar el Marco en relación con e cu~o. ...... e--:o ae una ley especí-
fica relativa a los acuerdos comerciales con organ1zac•ones e" e er.ranJero. una subca-
tegoría de la categoría de objetivos de cumplimiento.

A continuación se incluye un resumen de cada uno de los e 'leo co~oo-entes del sis·
tema control interno y de los principios relativos a cada com¡:xwer:e Caoa pnncipio es
analizado dentro del capítulo sobre el componente correspono e'"'te·

Entorno de Control
El entorno de control es el conjunto de normas, procesos y estructuras aue constituyen
la base sobre la que llevar a cabo el sistema de control interno de la organiZación. El

4 A los efectos del Marco. cuando se describen los pnncipios, se utiliza el term oo •orga¡-,.zac10f1" para cap-
turar (colectivamente) el significado del consejo de administración. la drecc100 y e res¡o del personal.
Normalmente el consejo de administración actúa en su calidad supervisora de acue-dO con este término.

Control interno- Marco lnteQrado • Mavo 2013

consejo y la alta dirección son quienes establecen el "Tone at the top" con respecto a la
importancia del control interno y las normas de conducta esperables.

Existen un total de cinco principios relativos al entorno de control:

2. .~!..<?.?.~.~~).?...~~-~~-~-i-~!~~~~.<?.~~-~--~-~~~-~~-~ ~~..i.~~~.P.~~-~ -~~-<?.!~.~-~--~- ~--~-i.~~-<?.~.i.~.~ .'!..~).~:.<?.~.!~

~-~P~.~-i-~~?~--~-~~-.?.~.~~-~.P..~~-~--9.~! ..~~~~-~-~~-~-~..<?..?.~.~~~!..i.~-~~!.~.~...
3. -~~..9.i.~~.<?.~i-~-~ --~~~~-~!~.<?.~! ..<?.?.~--~~--~~.P..~~~~!.?.~..~.~-~..<?.?.~.~~).~!.. 1~.~ -~~~-~~-<?.~~-~~-~! ..1.~~--~~~-~~~-.?.~
:,~P.?.~~..Y...I.~~--~-i-~~-~-~~--~-~--~~-~?.~.i.? .~~--Y...r~~P.~.~-s-~-~~!i~~.9..~.1?.~~pi~9.~~--P~.~~--~~--<?.?.~.~~-<?.~.<?.!.?.~.
~~.. !?.~ ..?.~)~_t!~.?.~:.

4. -~~--~-~~-~~.!~~<?.!<?.~..~.El.~ .l:IE:l.~t:.~..<?.?.~P.~.?.~~~-~ -.P.~~-~ --~~!.~.~~!..~.~~-~~-~?.!!~.~ -'!..~~t.~~.E:l!..~

P.~.?!~~-i.?.~~~-~~--~-?.~P.~.~~-~~~-~--~-~--~!!~~-~~-i.~ .~ ---<?.?.~.. !~.~-?.~j.~.~~~-?.~..~.~ -·1·~--?.~~~~-i.~~-<?.~?~...
5. -~~..?.~~-~~!~~<?.!<?.~.. 9~.~!~.~ --~-~~--~~-~P.?.~~-~~~!~~~-~ -~~--~-~ . !~~..P..~r.~?.~~~--~ --~!~.~! ..?.~.~-~~~-~?.1.
!.~~-~~~?..P.~~~.!~..~.?.~~~.<?..l:l~.i.?..~.~~--!~.~.?.~1~.~~~?.~:.

Evaluación de Riesgos
La evaluación de riesgos implica un proceso dinámico e iterativo para identificar y anali-
zar los riesgos asociados a la consecución de los objetivos de la organización, constitu-
yendo así la base sobre la que determinar cómo se deben gestionar dichos riesgos. La
dirección considera los posibles cambios que se puedan producir en el entorno externo
así como aquellos dentro de su propio modelo de negocio y que puedan impedir su ca-
pacidad para lograr los objetivos.

Existen un total de cuatro principios relativos a la evaluación de riesgos:

6. -~~..?.~~-~~!~~<?.!.?.~--~~-~i~.El..I.~~--?.~).E:l~.i-~?.~ ..<?.?.~..~~-f!~.!~.~~-~..<?.!~.~ !~~.9..P.~~~..P..€l~.~-i-~!!..!~

!.?.~~~!~!.<?.~.<?.~~~..Y...~~-~!~.~~-i-~-~--~~.!?.~..~!~~~-~-~.!:E:l.l.~~-i.?.~~.~?.~...

7. -~~..?.~~-~~-~~~.<?.!<?.~.. !~.€l~~-i-~!~.~.!.?.~..:.i.~~.Q.?.~.P~:.~ . 1~.~-~-~~-~~-~~-i.~.~ --?,~.~.l:l~..~.~j~~!.~.~-~ - ~-~--~?.~.~-~

!?.~.. ~.iY~.~-~~--~-~ --~-~.?.:9.~~-i~~~·i· ~-~..Y..!?.~..~.~-~-I.i.~~--<?.?.~?.. ~.~~~--~~-~-~~--!~..<?..l:l~.l..~.~~-~!:~!~.~!:
.'?.~.~.?...~~- -~-~~~-~.9.~.~~-i.?.~.~!:·.

s. -~~..?.r~.~-~-i~~<?.!.?.~..~.?.~~-i.?.~~-~ -!~.P~.?..~~-~-i.l.i_~.~~--~-~--!!:~.~-~-~--~! ..~~-~!~.~!:.!?.~..~i~~9.?.~ .P~.~~-!~

~?.~~-~~-~~-i- ~-~-.?.~.. !?.~ ..?.~1~.~~~?.~:.
9. -~~..?.~~-~-~.!~~<?..i.?.~..~~~-~~-i.!~~-~..Y..~~~!~.~.!.?.~..<?..~~~-i. ?.~.9~.~..P.?.~.r_í.~~--~-~~.<?.~.~!:
-~·i·~-~~~-i.<?.~~i~-~~~-~~El..~! ..~!~~~-~~-~~--~.?.~.~!:?..1..!~~~-~~-?....

Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y procedi-
mientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la direc-
ción para mitigar los riesgos que incidan en la consecución de los objetivos. Las
actividades de control se llevan a efecto a los niveles de la organización, en las diferen-
tes etapas de los procesos de negocio y sobre el entorno tecnológico.

Control Interno - Marco Integrado • Mayo 2013 11111 15

 Marco 1En tomo de Control • EvaluaCión de Riesgos • Actividades de Control • lnformacion y Comumcacton • A
o •• ••

Existen tres principios relativos a las aCJVteaoes :;; ~

10 . .~~..~.~~.~.~~~~~.i.?.0.. 9.~.~~~.~ X9.~.~~ol a a~ cacas e:~~ ::om ouye~.~.~~ =-=

~!.~~~.~'?.~~.~ ..?~.~?.~..~!~~~~.~ .~~.~ta nr.. e es a~:ab!:s p~ -:o i:SEOJCtOn d~..~.~.~
?.~¡~~~~.?.~:.
11 . .~~..~.~~.~~~~~~!.?.~.. 9.~~~~.~Y..9.~.~a'!ol a ac. :: ce or~~.~~~~~!?.~.
~.~.~:.~..~.~..~~.?.0.~.~.?~!~..P~~~..~P.?.Y.~..Ia consecuc.or e: ..:: ::-~ = os
12 . .~~..~.~~.~0.~~~?.!.?.~..~.~~.P..I.i.~fJ.~..~~.~ .~.?ttvt<;1ades e : ccr- a tr:: ;s :=: 001 tca~..9.~~
~~~.~.~~~.?.~~..~.~.~.~!~.~~~.9.~~.~~.~ ~~.~.9.~1 con~
.~!~~~~..P..?~!~i.~~~..~..~.~ . P.:.~~!.i.?.~..

Información y Comunicación
La información es necesaria para que la orgaJ"' z.aciOfi oue-~ a.' a caoo sus responsa- =
bilidades de control interno en aras de consegu r sus oo::: ::::s .....a corr.umcac1ón ocurre
tanto interna como externamente y proporciona a a orgar ~ a - •orrnación necesa-
ria para llevar a cabo los controles necesanos e'l SlJ da a c;a _a COCT'untcación permite
a las personas comprender sus responsabilidades oen~ ce ~=:na de control interno
y su importancia con respecto a la consecucion de os oo¡:nvos

Existen un total de tres principios relativos a la nformaeton y eoffiu,.. cacton:

13. .~~..~.~~.~~~~~~.i.?.~.. ~.~.~!~~~.?..~~.~~.~~.Y...~~!~~~.~ . i~!~rmac on re e ar•e de ?.~.'. i~.~~.. P~.~~

~P..~X~~.~.~.!.~~.~!?.~.~.~!.~~.~~..9.~.~..~?.~.~:.~!..i.~~~.~0o:.
14. .~~..~.~~.~.~~~~~!.?.0.. ~.~.~.~~.i.~.~ .~~.!0.!?.~.~.~~~~.~ int~rn~eNe 'lch.J cos os ob¡e~!.~?~.X
~~.~.P..?~~~~.i.1.~~.~9~.~.g~.~..~~.~ ..~~~~~~~!.?.~..P..~!.~..~poy~ e •... nCtOna..., e"to del sistema
de control interno.

15. .~~..?.~~.~!:'.~~~~!.?.!:'..~.~..?.?.~.~~!~.~..?.?.~..I.~~.. P~.~.~~..~~~~!.~sadas exreMO~. sobre lo~

.~~P.~.?.~.~.~.. ~.~.~':-:.~..9.1:!~..~~~~~.~!:'..~.1..!.~!:'.?.!?.!:'.~~!~.~~?..~.~1 co.~tro n:eMo.

Actividades de Supervisión
Las evaluaciones continuas, las evaluaciones separadas o una comb,nación de ambas
son utilizadas para determinar si cada uno de los cinco componentes del sistema de
control interno -incluidos los controles para cumplir los princ1p1os de cada componente-
están presentes y funcionan adecuadamente. Los hallazgos se evalúan y las deficien-
cias se comunican de forma oportuna, al tiempo que los asuntos mas graves se reportan
a la alta dirección y al consejo.

Existen un total de dos principios relativos a las actividades de supervisión:

16. .~~..?.~~.~~!~~~.i.?.!:..~.~!~.?.~i.~.~~~ ..?~~~.~!.~.1.1.~.x.:.~~~~~~..~.~~.~.~~~!?.0.~~.~.c:mt.i.~u~~.Y.!?.

!.~~.~P.~~.~!~!:'.~~.~ .P.~.~~..~.~~~!.~!!:'.~!:.~.i..~?.~.~~.~.P..?!:.~.~~.~~..~.~~..~!~~~.~.~.9.~.. c.?!:.~!.?.1.. !!:'.~~~.~?.
.~~~~.n.. P.!:~~.~~.~~.~..Y...~~..!~.~?.!9.~~~!~.~~.?:.
17. .~~..~.~~.~.~!~~~.i.?.0.. ~.~~.~.~.~ .Y...~.?.~.~.!:'.i.?.~.!~.~ ..~~!!~.!~.~~.i.~~..~.~..?.?.~.~~.?.~..i.~~~~~.O...~.~ ..~~.~~~
?.P?.~~!:.~..~..~.~~..P..~.~~~..~~.~P~.~~.~~~~.~.9.~..~P~!.?.~.~..~.~~.!~.~~..~.?.r.~~~~.!~~~:.. ~!:'.?. 1 ~.Y.~.~9.~. 1 ~
~~!~.9~:.~~.?.!?.~..Y...~! ..?.?.~~.~)?.! ..~~9~.!:'..~?.~.~~.~P?.~9~:.

16 11111 Control Interno - Marco Integrado • Mayo 2013

El Control Interno y el proceso de gestión
Dado que el sistema de control interno es una parte de la responsabilidad general de la
dirección, los cinco componentes se analizan en el contexto de la dirección de la organi-
zación. Sin embargo, no todas las decisiones o medidas de la dirección son parte del
control interno:

• El hecho de contar con un consejo de administración que incluya a miembros con in-
dependencia suficiente de la dirección y que lleven a cabo su función de supervisión
es parte del control interno. No obstante, muchas decisiones alcanzadas por el con-
sejo no son parte del control interno; por ejemplo, la aprobación de una visión o mi-
sión en particular. El consejo también.desempeña una serie de responsabilidades de
gobierno además de sus responsabilidades de supervisión del control interno.

• Muchas decisiones estratégicas que inciden en los objetivos de la organización no

son parte del control interno. Una organización puede aplicar enfoques de gestión de
riesgos corporativos u otros enfoques de cara al establecimiento de sus objetivos.

• El establecimiento del nivel general de riesgo aceptable y el apetito de riesgo 5 rela-

cionado forma parte de la planificación estratégica y de la gestión de riesgos corpo-
rativos, y no forma parte del control interno. De igual manera, el establecimiento de
los niveles de tolerancia al riesgo en relación con los objetivos específicos tampoco
forman parte del control interno.

• El diseño de controles destinados a mitigar riesgos en base al proceso de evaluación

de riesgos de la organización sí forma parte del control interno; sin embargo, la elec-
ción de una respuesta concreta para abordar, mitigar riesgos específicos no forma
parte del control interno.

El Control Interno y la fijación de objetivos

No resulta práctico diseñar e implementar un sistema de control interno a menos que se
hayan establecido, fijado y especificado los objetivos de la organización con respecto a
la organización. El establecimiento y fijación de objetivos así como de los subobjetivos
relacionados forman parte o son derivados del proceso de planificación estratégica, el
cual tiene en consideración las leyes, reglas, regulaciones y normas así como las alterna-
tivas elegidas por la propia dirección. No obstante, el control interno no puede dictar ni
establecer cuáles deben ser los objetivos de una organización.

Como parte del sistema de control interno, una organización especifica sus objetivos:

• Articulando y codificando objetivos que sean específicos, medibles u observables, al-

canzables, pertinentes y limitados en el tiempo.

• Evaluando la idoneidad de los objetivos y de los subobjetivos en relación al control

interno en base a hechos y circunstancias, así como leyes, reglas, regulaciones y nor-
mas establecidas.

• Comunicando objetivos y subobjetivos a todos los niveles de la organización .

- - -- - - -
5 "ApetitO de riesgo'' se define como la cantidad de nesgo. a n1ve1 general. que una organización está diS-
puesta a aceptar en su 1ntento por cumplir su m1S1ón/vis1on.

Comrollnterno- Marco lntegraoo • Mavo 2013 11111 17

Marco 1Entorno de Control • Evaluanón de R1esgos • Achv1dades de Control • lnforrn.Jnon yComumcauon • Act1v1dadesde Superv=

El siguiente diagrama ilustra el establecimiento ~ ~¡aciÓr de o0jet1vos como parte del

proceso de gestión ajeno al control interno as como la esoocr"' cacton y uso de los obje-
tivos como parte del control interno en e• corne~o ce r. oo e:: o de mfcrmación finan-
ciera externa y de un objetivo operacional.

Establecer
Las partes externas esta-
blecen leyes, reglas y nor-
mas (en caso aplicable)
relativas a los objetivos de
cumplimiento y de infor-
mación financiera externa
El Financtal Accounting
Standards Board (FASB)
estableció principios con-
tables generalmente acep-
tados en Estados Unidos
(US GAAP)
Un organismo regulatono
establece una norma con-
table sobre el reconoci-
miento de mgresos.
Se fijan ob¡et1vos estra:e- Se ut,rzan los objetivos y
gICOS y Se seleCCIOna la sus objetivos especifica-
estrategia en el contexto JOS como base para la
de la visión o m1s1ón esta- eva;uación de riesgos.
blecida por la organ,za-
ción.
Se f1jan los ob¡etrvos a
mvel de orgamzac1ón y se
desarrollan las to1eranc1.1s
al riesgo en base a requ s-
tos de la orgamzac1ón aoe-
cuados a las
c1rcunstanc1as
Se alinean los obtetivos
con la estrategia de la or-
ganización y el apetito al
riesgo general
Se lr¡an ObJetlvos y sub-
ObJetivos para la orgamza-
ción y sus unrdades de
negocio adecuados a las
circunstancras.
S
Nuestra compañia prepara la a reroo- en...a y ox::- ....a e ;ce on ídenltfica y
estados financieros confia- r..!T!Ia au; los -: E.' :: e-t4-C os BSQOS relati-
bles que refle1an las opera- son aa~ a las ·- DS .a J.a oreparacrón de es-
ciones y acontecimientos
de acuerdo con los US
cunstanaas ="
trano la d ~¡pe¡;¡
cas. ~­ ta..~ ",nanc"eros
co,..._..a:J ~ oue reflejan las
GAAP. sus co.~:::2.."1CS :on P-S- aa; caves de acuerdo
~0 t'rDC:-50 t1e .. con os US GAAP
Nuestra compañia reco- CtÓO Oé o: :" .~
noce los ingresos por ven- la e ·w: on fmancrera de
tas en el momento de la l.a U" Ciad operatrva identi-
instalación de los equipos , t.a . evalúa los riesgos
en el caso de los arrenda- rela~.os al registro de los
mientos de capital en mo- mgresos relacionados con
dalidad de venta o las \entas de equipos de
reconoce los ingresos por att~erdo con los US GAAP.
alquileres durante el pe-
riodo del arrendamrento
operativo.

No apltcable para ob)etrvos
operacionales
Nuestra compañia trata de
mejorar los resultados rn-
crementando la ratio de
rotación de existencias a
12 veces al año. al tiempo
que es consciente de que
unos menores niveles de
existencias pueden derivar
en un mayor número de
productos no disponibles
en stock para los clientes.
La d1reccrón de la unróad !.a ll reccrón de la umdad
operatrva evalúa la rdoner- ooera:.va 1dent11rca y eva-
dad de los ObJetivos ope- lúa los nesgas existentes
racionales en relación con C:e cara a cumplimiento de
las metas establecidas de -na ca¡¡o de rotación de
rotación de existencras y e ·~:nc¡¡¡s de 12 veces al
productos no dispon1bles año.
en stock. En caso contra-
rio. la direccrón financ era
de la unidad operativa
aporta sus comentarros
con respecto al proceso de
fijacrón de objetrvos.
Li m itac iones del control interno
El Marco reconoce que, si bien un sistema efectivo de control interno proporciona una
seguridad razonable acerca de la consecución de los objetivos de la organización, exis-
ten limitaciones inherentes. Incluso un sistema de control interno efectivo puede experi-
mentar fallos . Estas limitaciones pueden ser el resultado de:

• La idoneidad de los objetivos establecidos como condición previa para el control in-
terno.

• La realidad de que el criterio profesional de las personas en la toma de decisiones

puede ser defectuoso y estar sujeto a sesgos.

• Incidencias que se pueden producir por fallos humanos, tales como el producto de
errores.

• La capacidad de la dirección de eludir los controles internos.

• La capacidad de la dirección y demás miembros del personal y/o de terceros, para

eludir los controles previa connivencia entre ellos.

• Eventos externos que escapan al control de la organización.

Estas limitaciones impiden que el consejo y la dirección tengan la seguridad absoluta de

la consecución de los objetivos de la organización, es decir, el sistema de control interno
proporciona una seguridad razonable, pero no absoluta.

Control Interno - Marco Integrado • Mavo 2013 1111 19

Marco 1Entorno de Control • Evaluauon de Riesgos • Act1v1dades de Control • lnlormatiOn vComumcauon • Aci!Yidaóes d< S:;pe

3. Efectividad del Control Interno

Requ isitos para un Control Interno Efectivo

Un sistema efectivo de control interno proporciona una seguridad razonable respecto a
la consecución de los objetivos de la orgamzactón. Dado que el control interno es rele-
vante tanto para la organización como para sus unidades de negocio, un sistema efec-
tivo de control interno puede hacer referencia a una parte específica de la estructura de
la organización. Un sistema de control interno efectivo reduce, hasta un nivel aceptable,
el riesgo de no alcanzar un objetivo, el cual puede hacer referencia a una, a dos o a las
tres categorías de objetivos. Para ello, es necesario que:

• Cada uno de los cinco componentes del control interno y los principios relevantes
estén presentes y en funcionam iento6 •

• Los cinco componentes funcionan juntos de forma integrada.

A la hora de determinar si un sistema de control interno es efectivo, la dirección ejerce

su criterio profesional para evaluar si cada uno de los componentes y principios relevan-
tes están presentes y en funcionamiento y si los componentes funcionan juntos.

En el momento en el cual se determine que el sistema de control interno es efectivo, la

alta dirección y el consejo de administración tendrán una seguridad razonable en rela-
ción a las siguientes categorías de objetivos:

• Operacionales-la organización:

- Consigue llevar a cabo operaciones eficaces y eficientes cuando se considera

poco probable que los eventos externos tienen un impacto significativo en la con-
secución de los objetivos o cuando la organización puede prever razonablemente
la naturaleza y la duración de dichos eventos externos y mitigar su impacto a un
nivel aceptable.

- Entiende en qué medida las operaciones se gestionan con eficacia y eficiencia

cuando los eventos externos pueden tener un impacto significativo en la consecu-
ción de los objetivos o cuando la organización no puede mitigar su impacto a un
nivel aceptable.

• De información-la organización prepara informes en conformidad con las leyes, re-

gulaciones y normas aplicables establecidas por legisladores, reguladores y organis-
mos de normalización o con objetivos de información específicos de la organización
y sus políticas relacionadas.

• De cumplimiento-la organización cumple las leyes, reglas y regulaciones aplicables.

El Marco establece que los componentes y los principios son requisitos para un sist ema
de control interno efectivo. No establece, sin embargo, el proceso sobre cómo la direc-
ción debe evaluar su eficacia.

6. En el Capitulo 4. Constderaciones adicionales, se introducen una sene de puntos de interés que constttu-
yen Importantes caracterisl!cas de los princ¡pios. El Marco no requtere que la direcctón evalúe por sepa-
rado s1 estos puntos de tnterés se encuentran presentes.
Idoneidad y relevancia de los componentes y prin-
CIPIOS
El Marco considera que todos los componentes del control interno son adecuados y re-
levantes para todas las organizaciones.

Los principios son conceptos fundamentales asociados con los componentes. Como
tales, el Marco considera que los 17 principios son adecuados para todas las organiza-
ciones. El Marco considera que los principios son relevantes porque tienen una influen-
cia significativa en la presencia y el funcionamiento de un componente asociado. Por
consiguiente, si un principio relevante no se encuentra presente y en funcionamiento, el
componente asociado no puede estar presente y en funcionamiento.

Pueden existir situaciones sectoriales, tlperacionales o regulatorias particulares en las

que la dirección haya determinado que un principio no sea relevante para un compo-
nente. Las consideraciones que se pueden tener en cuenta a la hora de aplicar este cri-
terio pueden incluir que la estructura de la organización reconozca cualquier requisito
legal, regulatorio, sectorial o contractual sobre el gobierno de la organización, y el nivel
de uso y dependencia de la tecnología utilizado por la organización. La dirección debe
respaldar su determinación de que un principio no sea relevante, bajo el razonamiento
de cómo, en ausencia de dicho principio, el componente asociado puede estar presente
y en funcionamiento.

Presente y en funcionamiento
La expresión " presente y en funcionamiento" es aplicable tanto a componentes como a
principios.

• "Presente" se refiere a la determinación de que los componentes y principios relevan-

tes existen en el diseño e implementación del sistema de control interno para alcan-
zar los objetivos especificados.

• "En funcionamiento" se refiere a la determinación de que los componentes y princi-

pios relevantes siguen existiendo en el manejo del sistema de control interno para la
consecución de los objetivos especificados.

A la hora de determinar si un componente está presente y en funcionamiento, la alta di-

rección, bajo supervisión del consejo de administración, debe determinar hasta qué
punto los principios relevantes están presentes y en funcionamiento. Sin embargo, el
hecho de que un principio esté presente y en funcionamiento no implica que la organiza-
ción esté realizando todos los esfuerzos posibles por conseguir el mayor nivel de resul-
tados posibles en la aplicación de un principio en concreto. Por el contrario, la dirección
aplicará su criterio profesional para sopesar el coste y el beneficio de diseñar, imple-
mentar y llevar a cabo el sistema de control interno.

Funcionar juntos
El Marco requiere que los cinco componentes funcionen juntos de forma integrada.
"Funcionar juntos" se refiere a la determinación de que los cinco componentes de ma-
nena conjunta reducen, a un nivel aceptable, el riesgo de no alcanzar un objetivo.

Control Interno -Marco Integrado • Mavo 2013 11111 21

Har¡o 1 Eolorno de Control • Evaluaoon de R1esgos • Acl1v1dades de Control • lntormaaon yComuntca(IOn • Actliidades ~
.. .. ...... ·········· ..

Los componentes son interdependientes e s-=~c .Jna Gtan camldad de interrelacio-

nes y vínculos entre ellos, en particular. e, a ma."=~ ="' aua- los orncipios interactúan
dentro de los componentes y entre los proo¡os CO"'"'xr:e:r. ~es. ~s componentes que
están presentes y en funcionamiento caor... rat' .as .,: e-.::eoer.cenc.as rnherentes y los
vínculos existentes entre ellos. Entre 'os e err.pos :;e com::,or ertes que operan juntos se
incluyen los siguientes:

• La organización establece unas normas ce conc....c:a esoeradas y fija unos paráme-

tros de desempeño e incentivos dentro de e~ornc ce cor:ro para reducir las posibi-
lidades de que se produzca un compor..a..,.. e":o <raxu er.<o o cual puede impactar
en el nivel de riesgo de fraude o btentdo e" e' ::YOCeSO oe e a;uacíón de riesgos.

• El desarrollo e implantación de po 'tJcas , procec ;n;er:os como parte de las activida-

des de control contribuyen a la mitrgac'Or' a e r esgos ~e,.,: ~cados y analizados en la
evaluación de riesgos.

• El procesamiento de informacion relevaNe ; ce ca: .cae oerrro d e la Información y

Comunicación respalda el despliegue ce ur orocaso ce "E!90C'O y controles transac-
cionales dentro de las Actividades de Comro as. C0-""'\0 e desarrollo de evaluaciones
continuas y separadas de d ichos controles eP e "'~aTOO d e as act ividades de supervi-
sión.

• La comunicación de las deficiencias de contra' in;:emo a aquel as personas responsa-

bles de adoptar medidas correctivas como parte de as actiVIdades de supervisión,
requiere que se disponga de un pleno entendrm emo de as estructuras de la organi-
zación, de sus líneas de comunicación de la mformacron facultades y responsabi li-
dades según hayan sido fijados en el entorno de control y según se haya
comunicado en el marco de la información y comunrcacron.

Por consiguiente, la dirección puede demostrar que componentes funcionan juntos

cuando:

• Los componentes estén presentes y en funcionamiento.

• El conjunto de las deficiencias de control interno en todos los componentes no den

como resultado la determinación de que existen una o más deficiencias graves.

Deficiencias en el Control Interno

Existen muchas fuentes potenciales para la identificación de deficiencias de control in-
terno, incluyendo las actividades de supervisión de la organización, otros componentes
y partes externas que realicen contribuciones relativas a la presencia y funcionamiento
de los componentes y los principios relacionados.

La expresión "deficiencia de control interno" hace referencia a cualquier falta de un com-

ponente o componentes y sus principios relevantes que reducen la probabilidad de que
una organización cumpla sus objetivos. Una deficiencia de control interno o una combi-
nación de deficiencias que reduzcan de forma severa la probabilidad de que una organi-
zación consiga lograr sus objetivos se denomina una "deficiencia grave". Tal y como se
ilustra a continuación, una deficiencia grave es un subconjunto de deficiencias del con-
trol interno. Como tal, una deficiencia grave es también por definición una deficiencia del
control interno.

Deficiencias de Control Interno

Cuando existe una deficiencia grave, la organización no puede concluir que haya cum-
plido los requisitos de un sistema de control interno efectivo. Existe una deficiencia
grave en el sistema de control interno cuando la dirección determina que un compo-
nente y uno o más principios relevantes no están presentes o en funcionamiento , o que
los componentes no funcionan juntos.

Una deficiencia grave en un componente no se puede mitigar hasta un nivel aceptable a

través de la presencia y el funcionamiento de otro componente. De igual manera, una
deficiencia grave de un principio relevante no se puede mitigar hasta un nivel aceptable
a través de la presencia y el funcionamiento de otros principios.

Para determinar si los componentes y los principios relevantes están presentes y en fun-
cionamiento, la dirección puede tener en cuenta controles que lleven a cabo los princi-
pios7. Por ejemplo, a la hora de evaluar si el principio Evaluar el riesgo de fraude se
encuentra o no presente y en funcionamiento, la organización puede considerar determi-
nados controles para llevar a cabo otros principios, tales como aquellos que guardan re-
lación con Establece estructuras, autoridad, responsabilidades hace cumplir la
responsabilidad por la rendición de cuentas. Al tener en cuenta controles inicialmente
considerados en el contexto de otros principios, la dirección puede determinar que el
principio Evalúa el riesgo de fraude está presente y en funcionamiento.

En base a su criterio profesional la dirección evalúa la gravedad de una deficiencia de

control interno, o una combinación de deficiencias, a la hora de determinar si los com-
ponentes y los principios relevantes están presentes y en funcionamiento, si los compo-
nentes están funcionando juntos y, en último término, para determinar la eficacia del
sistema de control interno de la organización. De igual manera, este criterio profesional
puede variar en función de la categoría de objetivos que se trate.

Los reguladores, organismos de normalización y demás terceras partes relevantes pue-

den establecer criterios para definir la gravedad de las deficiencias de control interno,
para evaluarlas y para comunicarlas. El Marco reconoce y adapta sus facultades y res-
ponsabilidades según lo establecido en las leyes, reglas, regulaciones y normas exter-
nas.

7. En el Cap1tulo 4, Consideraciones adicionales. se describe con mayor deten1m~ento el papel de los con-
troles y cómo llevan a cabo los princ1p1os.

Control Interno - Marco Integrado • Mayo 2013 11111 23

Marco Emorno de Control • Evaluacron de Rresgos • Acr vtdades de (ont·ot • nfor'llacron i Cornunrcacron • AC!Jv

En aquellos casos en los que una orgaP zaciO" a.P c ... e u"a ey. regla, regulación o norma
externa, la dirección deberá utilizar unrca,....e"te os crr:e..,os retevantes contenidos en di-
chos documentos para clasificar la gravedao o e as Oe.-e enc.as de control interno, en
lugar de basarse en las clasificaciones estab ecodas e" e Marco. El Marco reconoce que
cualquier deficiencia de control interno que de como resu .ado un sistema de control in-
terno no efectivo en virtud de tales cntenos amo en ..,oed ra que la dirección pueda
concluir que la organización ha cumplido os requ stos oe un sistema de control interno
efectivo de acuerdo con el Marco (por ejemplo. un ncump mrento importante relacio-
nado con objetivos operacionales o de cumpl m1ento o una deb1hdad material relativa a
objetivos de cumplimiento o de informacion externa

En el caso de objetivos operacionales y de tnformac1ón 1nterna, la alta dirección, bajo su-

pervisión del consejo de administración, podrá establecer criterios objetivos para evaluar
las deficiencias de control interno y para determinar cómo se deben comunicar dichas
deficiencias a las personas responsables de alcanzar estos objetivos.

Otras con si deraciones

Aunque la organización puede confiar en un proveedor de servicios externalizados para
llevar a cabo procesos de negocio, polít icas y procedimientos en nombre de la organiza-
ción, la dirección mantendrá la responsabilidad última sobre el cumplimiento de los re-
quisitos correspondientes a un sistema efectivo de control interno.

La evaluación de la eficacia del control interno realizada por la dirección se realizará

dentro del sistema de control interno de la organización. El resto de partes que interac-
túen con la organización, como puedan ser los auditores externos y los reguladores, no
son parte del sistema de control interno de la organización y por tanto, no pueden for-
mar parte del proceso de evaluación de un control interno efectivo por parte de la
dirección.
 (OOIIderaciones Adicionales

4. Consideraciones adicionales

Criterio profesional
El Marco requiere la aplicación del criterio profesional a la hora de diseñar, implementar
y ejecutar el sistema de control interno y evaluar su eficacia. El uso de dicho criterio pro-
fesional mejora la capacidad de la dirección para tomar mejores decisiones sobre el sis-
tema de control interno, pero no puede-garantizar resultados perfectos.

Dentro de los lfmites establecidos por las leyes, reglas, regulaciones y normas, la direc-
ción ejercita su criterio profesional en áreas importantes tales como:

• La aplicación de los componentes del control interno en relación con las categorías
de objetivos.

• La aplicación de los componentes del control interno y los principios dentro de la es-
tructura de la organización.

• La especificación de objetivos y subobjetivos idóneos y la evaluación de los riesgos

para la consecución de dichos objetivos.

• La selección, desarrollo y despliegue de controles necesarios para llevar a cabo los

principios.

• La evaluación de sí los componentes están presentes, en funcionamiento y funcionan

juntos.

• La evaluación de sí los principios son relevantes para la organización, y están presen-

tes y en funcionamiento.

• La evaluación de la gravedad de una o más deficiencias del control interno de

acuerdo con las leyes, reglas, regulaciones y normas externas aplicables, o con arre-
glo al Marco.

Por ejemplo, durante la preparación de los estados financieros, la dirección ejercita su

criterio profesional para cumplir los requisitos de información financiera externa. La d i-
rección considerará cómo deben gestionarse los riesgos identificados que pueden afec-
tar a los objetivos y subobjetivos de información financiera establecidos. Las alternativas
de la dirección para responder ante estos riesgos pueden ser limitadas en comparación
con algunas otras categorías de objetivos. Esto significa que es menos probable que la
dirección acepte un riesgo a que lo mitigue. En el caso de los objetivos de información
financiera externa relativos a los estados financieros preparados a efectos externos, la
aceptación de riesgos sólo debe producirse cuando los riesgos identificados no puedan
superar, ni individualmente ni de forma combinada, el umbral de riesgo, ni puedan dar
como resultado un error u omisión material.

La dirección también ejercita su criterio profesional a la hora de especificar y utilizar prin-

cipios contables adecuados, especialmente aquellos que hagan referencia a parámetros
subjetivos y transacciones complejas. Por ejemplo, la dirección ejercita su criterio profe-
sional a la hora de adoptar hipótesis y utilizar datos para el desarrollo de estimaciones

Control Interno- Marco Integrado • Mavo 2013 11111 25

Marco 1 Entorno de Control • Evaluación de R1esgos • Achv1dades de Control • lnformaoon y Comumcacion • Act1Yldall6 di
OooooO. o 00 00 O •• oooo noooooooo oo •• o ooooo o•• o Oo '"''''''' o o o o oo oooo •• ooooo ooo o

contables, a la hora de aplicar los princto os coo:.a= es a ~.,sacctones complejas, y a la

hora de preparar presentaciones e info~es ~es , ~a'1Sparentes. El control int erno
sobre la información financiera externa aoo.rca e :xmo~aa. sesgo que puede producirse
a la hora de ejercitar el criterio profesrOfla .o c...a :xx:na ce"'.ar en un error u omisión
material sobre la información financtera exte,...a

Puntos de interés
El Marco describe una serie de puntos de n;:e.-es co..~e son características importantes de
los principios. La dirección puede determ nar co..~e a.Jg~;rcs de estos puntos de interés no
son adecuados o relevantes y puede rdenMcar 1 ~e~er en cuenta otros puntos de interés
Con base en las circunstancias especrrcas de a orgarcactón. Estos puntos de interés
pueden ayudar a la dirección a la hora de d1señar 'l"D erentar y llevar a cabo el control
interno así como al evaluar si los principios re e11antes están de hecho presentes y en
funcionamiento. El Marco no requiere que 1a direceton evalue por separado si estos pun-
tos de interés se encuentran presentes.

Controles para llevar a cabo los principios

Dentro del proceso de control interno se encuentran rncorporados los controles, que
constan a su vez de políticas y procedimientos. Las políticas reflejan la visión de la direc-
ción o del consejo sobre lo que debe hacerse para llevar a cabo el control. Los procedi-
mientos se componen de medidas que implantan las políticas. Las organizaciones
seleccionan y desarrollan controles dentro de cada componente para llevar a cabo los
principios relevantes. Los controles están interrelacronados y pueden respaldar múltiples
objetivos y principios.

El Marco no determina qué serie de controles específicos se deben seleccionar, desarro-

llar o desplegar para que un sistema de control interno sea efectivo. Esa determina-
ción debe ser el result ado del crit erio profesional adoptado por la dirección de
acuerdo con factores específicos de cada organización tales como:

• Las leyes, reglas, regulaciones y normas aplicables a la organización.

• La naturaleza del negocio de la organización y de los mercados en los que opera.

• El alcance y la naturaleza del modelo operativo adoptado por la dirección.

• La capacidad del personal responsable del· control interno.

• El uso y la dependencia de las tecnologías.

• Las respuestas adoptadas por la dirección ante los riesgos evaluados.

Existe la expectativa de que la dirección obtenga pruebas convincentes que respalden

su determinación de que los componentes y principios relevantes están presentes y en
funcionami ent o. La dirección considerará los controles junto con su evaluación de los
componentes y de los principios relevantes. El entendimiento de cómo los controles lle-
van a cabo los principios a través de su selección, desarrollo y despliegue, proporciona
 Consideraciones Adi<ionales -

:'.'ldencias que respaldan la evaluación realizada por la dirección acerca de si el s istema

ce control interno de la organización es efectivo. La ausencia de controles necesarios
:lara llevar a cabo los principios relevantes representaría una defictencta del control in-
· erno. El Marco contempla el uso del criterio profesional a la hora de evaluar el impacto
potencial de una deficiencia de control en la presencia y el funcionamtento de un princi-
oo relevante. La dirección puede tener en cuenta otros controles (que pueden estar o no
-e actonados con un componente o principio en particular) que compensen una deficien-
c-a del control int erno.

l-os límites de la organización

'.'.Jchas organizaciones optan por externalizar determinados procesos y actividades de
... egocio a proveedores de servicios externalizados. Este enfoque ha cobrado gran popu-
andad debido a las ventajas que conlleva conseguir acceso a recursos humanos de
:>aJO coste, reducir costes en la gestión diaria de determinadas funciones, obtener ac-
ceso a mejores procesos y sistemas y permitir a la dirección centrarse en mayor medida
e,., a misión de la organización .

...os proveedores de servicios externalizados pueden ayudar a las organizaciones a llevar

a cabo procesos de negocio tales como compras, gestión de cuentas a pagar, nóminas,
gestión de pensiones y prestaciones a empleados, gestión de inversiones y programas
ce retribución basados en acciones. Estos proveedores externos pueden además llevar
a cabo actividades tecnológicas que respalden los procesos de negocio, prestando ser-
. ctos para abastecer, gestionar y mantener sistemas tecnológicos que anteriormente se
gestionaban internament e. Los avances conseguidos en el ámbito tecnológico han cre-
ado oportunidades de ahorro en costes a través del acceso a complejas arquitecturas
aue proporcionan tecnologías compartidas escalables y bajo demanda que respaldan
actividades más complejas y operaciones de negocio en constante cambio, cuyo coste
POdría ser prohibitivo para la dirección en caso de que constituyeran una inversión in-
ierna.

Esta dependencia de proveedores de servicios externalizados modifica los riesgos de

as actividades del negocio, incrementa la importancia de la calidad de la información y
de las comunicaciones con el exterior de la organización, y genera mayores desafíos a la
hora de supervisar sus actividades y los controles relacionados. Si bien la dirección
puede recurrir a terceros para que lleven a cabo determinados procesos de negocio, ac-
tiVidades y controles en nombre de la organización, en último término, la dirección es
quien asume la responsabilidad del sistema de control interno. Así por ejemplo, la direc-
ción es quien asume la responsabilidad a la hora de definir objetivos, gestionar los ries-
gos asociados y seleccionar, desarrollar y desplegar el control para llevar a cabo los
componentes y los principios relevantes.

El Marco puede aplicarse al conjunto de la organización con independencia de las alter-

nativas que la dirección haya adoptado sobre cómo llevar a cabo las actividades de ne-
gocio para respaldar sus objetivos, bien sea directamente o a través de relaciones
externas.

Control Interno- Marco 1nteg1aao • Ma1'0 2013 11111 27

Marco Entorno de Control • Evaluaclon de R1esqos • Ad1v1dades de Control· lnformaCIOn y Comunicación • ActiVJdaC!S _

Tecnolog ía
La tecnología puede resultar esencial para apoyar a - - :ce "'""'"' ='"' a consecución de
los objetivos de la organización y me¡orar e con· s.:x::r: -e: ac; ldades de la organiza-

A menudo nos referimos a la tecnolog1a a~ es e~ :--....s -~'".OS expresiones tales

como "los sistemas de información de gestor:"::: as:~ :;.as
ce .a nformación".
Estas expresiones o términos companen a cea o: :r z.a· !E..a ::O""b '1ación de proce-
sos manuales y automatizados, ast como '12!Cwa-:: y s.=-: a~ --o...,at,zado, y metodo-
logías y procesos informáticos. El Marco .r.. 2a e • _ ;:cr.o~ a para referirse a
todos los sistemas informatizados. nclu das a~ -~ ~ :s -~orrna:.cas que funcionen en
un sistema informático O en sistemas de CO"trol ooera:: or.a.

Los entornos tecnológicos varían en grar l""ec ca ~ - ~ :x:KX'l ce ·a:"'"laño, la complejidad

y el grado de integración. Dichos entamas 0..1ece- --..-,. ~<:See granoes sistemas cen-
tralizados e integrados hasta sistemas descer:ra ::ac:;s c...: o:>eren de manera indepen-
diente dentro de una unidad operativa espec foca. E-~ es:os s s:emas se pueden incluir
entornos de procesamiento en tiempo real QI.Je peiT"-:.a"' _.., acceso nmediato a la infor-
mación, incluidas aplicaciones informáticas mo es cua o~-edan ser aohcables a múlti-
ples sistemas, organizaciones y geografas La ~ecno!og a '"lace oos bte que las
organizaciones puedan procesar grandes vo umeres ce ~nsacc'ones. transformar
datos en información para apoyar una sólida toma de oeCJs!Ones, compartir información
de manera eficiente a todos los niveles de la orgarcac<On as como con sus socios co-
merciales, garantizar la confidencialidad de la n•o,...,acion y e 1a• un uso inapropiado de
la misma. De igual manera, la tecnología puede pe,..,~,. a .. ~a orga.,!Zacion compartir
sus datos operacionales y de desempeño con nteres as oar.es nteresadas.

La innovación tecnológica crea oportunidades y nesgas. Puede hacer posible el desarro-

llo de nuevos modelos de negocio y nuevos mercados ernpresana es. generar eficiencias
a través de la automatización y permitir a las organ·zactones evar a cabo actividades
que anteriormente hubieran sido difíciles de tmagtnar. La tecnolog.a puede incrementar
la complejidad, lo cual dificulta la identificación y la gest1ón de os riesgos.

Los principios presentados en el Marco no cambian con a aohcac1on de la tecnología.

Esto no quiere decir que la tecnología no haya cambtado e entorno del control interno.
Sin duda alguna, afecta a cómo una organización es capaz de diseñar. implementar y
llevar a cabo el control interno, teniendo en cuenta la mayor disponibilidad de informa-
ción y el uso de procedimientos automatizados, pero los mtsmos pnnctptos siguen
siendo adecuados y relevantes8 .

8. Dado que se trata de un marco basado en pnnc1p10S y dado que la tecnol0g1a esta constantemente evo-
lucionando. el Marco no aborda tecnologías espec1f>CaS ta:es como e cloud cor1putlng o las redes socia-
les.
Entidades de mayor tamaño frente a
org anizaciones de menor tamaño
_os principios que subyacen a los componentes del control interno son aplicables tanto
a as organizaciones de mayor tamaño como a las de menor tamaño. Stn embargo, los
modelos utilizados para su implementación pueden variar en el caso de las organizacio-
'1es de menor tamaño, con independencia de si la organización cotiza en un mercado de
valores, es de propiedad privada, es un organismo público o una organización sin ánimo
de lucro. Por ejemplo, todas las organizaciones cotizadas cuentan con un consejo de
administración u otro órgano de gobierno similar con responsabilbidades de supervisión
sobre la información de la organización. Una organización de menor tamaño puede tener
una estructura societaria y un modelo operativo de gestión menos complejos así como
una comunicación con los administradores más frecuente, lo cual permita adoptar un
enfoque diferente de supervisión por parte del consejo. De igual manera, de la misma
manera que muchas organizaciones cotizadas a menudo est án obligadas a contar con
un canal de denuncias, este tipo de procedimientos de comunicación pueden variar en
el caso de organizaciones de menor tamaño u otro tipo de grandes compañías no coti-
zadas. En una organización de grandes dimensiones, por ejemplo, el volumen de even-
tos comunicados puede exigir que inicialmente se comunique un incidente a un
departamento interno de personal previamente identificado, mientras que en una organi-
zactón de menor tamaño puede que se comunique directamente al presidente del co-
mtté de auditoría.

Las organizaciones de menor tamaño suelen tener una serie de ventajas diferenciadas
q ue pueden contribuir a conseguir un sistema de control interno efectivo. Estas ventajas
pueden incluir un mayor alcance del control ejercido por la alta dirección y una mayor
Interacción directa con el personal. Por ejemplo, las organizaciones de menor tamaño
puede que encuentren que las reuniones informales con los miembros del personal re-
sultan enormemente eficaces para comunicar información relevante para el desempeño
operacional de la organización, mientras que las compañías de mayor tamaño puede
q ue requieran de mecanismos más formales tales como la preparación de informes por
escrito, portales en la intranet, reuniones formales periódicas o teleconferencias para co-
municar asuntos similares.

Por el contrario, las organizaciones de mayor tamaño pueden aprovechar determinadas

economías de escala que a menudo afectan a los equipos de apoyo. Por ejemplo, esta-
blecer un equipo o función de auditoría interna dentro de una organización nacional de
pequeño tamaño, probablemente exigiría destinar una mayor proporción de los recursos
económicos de la organización que en el caso de una organización multinacional de
mayor tamaño. Una organización de menores dimensiones puede que no disponga de
un equipo o función de auditoría interna o puede que externalice dicha función , mientras
que una organización de mayor tamaño sí que dispondrá de esta función , la cual tendrá
una mayor gama de conocimientos y experiencias entre su personal interno. En cual-
quier caso y casi con toda probabilidad , el coste relativo de dicha función será superior
en el caso de la organización de menor tamaño que en el caso de una organización de
mayores dimensiones.

Control Jnterno - Marco lm~rado • Ma¡o lOil 11111 29

Marco 1Entorno de Control • Evaluacion de Rtesgos • Acttvtdades de Control • lnformaoon vComumcacton • Acltvtdades de
euo o o o o nooo o o

Beneficios y costes del Cor: ..o

Beneficios
El control interno proporciona muchos be'i~.ocs a _.....a or;;:a.- -.aci>r Ofrece a la direc-
ción y al consejo de administración un n .e o: :cr- =-::a ~ DC:>r~a e'l relación con la
consecución de sus objetivos, aportanoo es •::-ec:-oac sc::r: :::o.-,o funciona el negocio y
ayudándoles a reducir las probabilidades oe c~.<e s.: ;nx:..;::ca-- sorpresas. Entre las ven-
tajas o beneficios más significativos de un Slste~a o: .::.. . . . ,. :'0! "'~erno efectivo para la
mayoría de las organizaciones se encue"tra" a ~e ce C\Jr"1P r determ inados re-
quisitos para acceder a los mercados de cap....a.es :YO::xYCI()r1a'10ores un mayor creci-
miento económico e innovación gractas a d cna a.::x:>r-ac:on ce cap a El acceso a los
mercados de capitales, por supuesto. con e... a respo.-.sa:x caaes para llevar a cabo de
manera confiable y puntual una adecuada n•orrnac o oa'"a 'OS acctonistas, acreedores,
proveedores de capital, reguladores y demás terceras oar..es COP as que la organización
pueda tener una relación contractual directa. Por ejer"'olo u"~ s stema de control interno
efectivo apoya la información financiera externa &.able a cua a su vez potencia la con-
fianza de los inversores a la hora de aportar e' cao·.a ,.,ecesario

Otros beneficios del sistema de control interno e'ect1v0 r'IC u1en tos siguientes aspectos:

• Una información fiable que apoye a la direccton ~ a conse¡o en la toma de decisiones

sobre aspectos tales como la fijación de precios oe os productos, las inversiones de
capital y la asignación de recursos.

• Un uso sistemático de determinados mecanismos para procesar transacciones, apo-

yar la calidad de la información y de las comunicactones a todos los niveles de la or-
ganización, mejorar la velocidad y la fiabilidad a la que se tntcian y se liquidan las
transacciones y proporcionar un mantenimiento fiable de registros documentales y la
integridad continuada de los datos.

• El aumento de la eficiencia dentro de las funciones y procesos

• Una base para aquellas decisiones en las que sea necesario hacer uso del criterio
profesional en aspectos altamente subjetivos y significativos.

• La capacidad y confianza para comunicar con precisión el desempeño del negocio a

los socios comerciales y clientes, reforzando así la continuidad de la relación con los
mismos.

De igual manera, el Marco permite a la dirección mejorar la eficiencia en el diseño, im-

plementación y ejecución de un sistema de control interno. Por ejemplo:

• Comprender la importancia de especificar objetivos adecuados puede centrar la

atención de la dirección en aquellos riesgos y controles que sean más importantes
para lograr estos objetivos.

• Centrarse en aquellas áreas de riesgo que superen los niveles aceptables y deban ser
gestionados a todos los niveles de la organización puede reducir los esfuerzos desti-
nados a la mitigación de riesgos en áreas de menor importancia.
 lUmiU~JdUUII~ H UiliUUCII~)

• Coordinar esfuerzos para identificar y evaluar riesgos a través de múlttples objetivos

puede reducir el número de riesgos aislados que se evalúen y mttlguen.

• Seleccionar, desarrollar y desplegar controles que lleven a cabo múltiples principios

también puede reducir el número de controles aislados o redundantes.

• Aplicar un lenguaje común -el Marco- que aborde los procesos y controles operacio-
nales, de información y de cumplimiento puede reducir el número de lenguajes utili-
zados para describir el control interno a todos los niveles de organización.

Las organizaciones siempre tienen limitaciones en sus recursos humanos, de capital y

de gasto y por tanto suelen considerar los costes con relación a los beneficios que po-
drían derivarse de enfoques alternativos a la hora de gestionar las distintas opciones del
control interno.

Costes
Generalmente, es más fácil abordar el aspecto de los costes a la hora de realizar una va-
loración coste/beneficio dado que en la mayoría de los casos los costes financieros se
pueden cuantificar de manera más precisa. Por lo general, se suelen considerar todos
los costes directos asociados a la implementación de medidas y respuestas de control
interno, más los costes indirectos cuando sea viable cuantificarlos. Algunas organizacio-
nes también incluyen los costes de oportunidad asociados al uso de los recursos.

En líneas generales, la dirección considera una amplia gama de factores de costes en re-
lación con los beneficios previstos a la hora de seleccionar y desarrollar los controles in-
ternos. Estos factores pueden incluir los siguientes:

• Considerar los pros y contras de contratar y retener empleados con un mayor nivel
de capacidades y los mayores costes de retribución que esto lleve aparejados. Por
ejemplo, una empresa privada, estable y de pequeñas dimensiones puede que no
quiera o pueda contratar a un director financiero que tenga experiencia trabajando
para empresas cotizadas.

• Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo activida-
des de control; el posible incremento de esfuerzos que dicha actividad añada al pro-
ceso de negocio; y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.

• Evaluar los efectos del aumento de la dependencia en las tecnologías. Si bien el es-
fuerzo requerido para llevar a cabo el control y el impacto que puedan tener los nue-
vos controles basados en tecnologías sobre el proceso de negocio puede que sean
pequeños, el coste relacionado con la selección, desarrollo, mantenimiento y actuali-
zación de la tecnología podría ser significativo.

• Comprender cómo los cambios en los requisitos de información pueden exigir una
mayor recopilación, procesamiento y almacenamiento de datos, lo cual podría impul-
sar de manera exponencial el volumen de datos necesarios. Con un mayor volumen
de datos a disposición de la organización, ésta afrontará el reto de evitar la sobre-
carga de información asegurándose un flujo de información adecuado, en el formato

Control Interno - Marco Integrado • Mavo 2013 11111 31

1 1. • • 1'

adecuado. en base al nivel apropiado de detalle. para las personas adecuadas y el

momento oportuno. Para establecer un sistema de información que sopese los cos-
tes y los benefiCIOS será necesano realizar una valoración meditada de los requisitos
de información.

Otras consideraciones para determinar los beneficios y costes

En toda valoracion coste/beneficio, el lado de los beneficios a menudo 1ncluye una eva-
luación más subjetiva. Por eJemplo. los benef1c1os o ventajas de un programa de forma-
ción efectivo normalmente suelen ser ev1dentes pero también dif1ciles de cuantificar. Los
programas de formación a menudo no están diseñados para medir o cuantificar los be-
neficios o para capturar los datos necesanos que perm1tan evaluarlos. Los programas de
formación de ventas puede que no estén estructurados para cuantificar los resultados
de ventas de Jos empleados antes y después de asistir a la formación, lo cual dificulta la
determinac1on de s1 d1cha formac1ón ha sido eficaz y si se han cumplido /os objetivos.
De 1gual manera. va rorar ros oenerltrbs en re(acri:ia coa les el",ct9C!..»t;J{?S DP J.as partes in-
teresadas puede resultar aún más dificil de evaluar. No obstante, en mucnos casos, e\
beneficio de desarrollar medidas dentro de cualquiera de los c1nco componentes del
control 1nterno, se puede evaluar en el contexto del benef1cio asoc1ado a la consecuc1ón
del objetivo al que hace referencia.

La compleJidad de las valoraciones coste/beneficio, se ve a su vez incrementada por la

interrelación existente de los controles con las operaciones del negoc1o. Cuando los
controles se integran con los procesos de negocio y de gestión. resulta d1f1cil aislar sus
costes o benefic1os.

Depende por tanto de la dirección cómo evaluar en una organización los costes frente a
los beneficios derivados de planteamientos alternativos a la implementación de un SIS-
tema de control, y qué medidas adoptar en ultimo término. No obstante. el coste por si
solo no es una razon aceptable para no Implementar el sistema de control 1nterno Las
valoraciones coste/beneficio respaldan la capacidad de la direcc1ón para desarrollar y
mantener un sistema de control interno que sopese la asignación de recursos humanos
en relacion con las areas de mayor nesgo, complejidad u otros factores relevantes para
los ob]et1vos de la organ1zac1ón.

Do e u mentación
Las organ1zac1ones desarrollan y mantienen una determinada documentación para su
s1stema de control 1nterno por diferentes de razones. Una de ellas cons1ste en aportar
claridad a las funciones y responsabilidades. lo cual favorece la coherencia a la hora de
cumplir las practicas. políticas y procedimientos de la organización en la gestión del ne-
gocio. Una documentación eficaz ayuda a capturar el diseño del control1nterno y a co-
municar aspectos como el qu1én, qué, cuando, dónde y por que de la eJeCUCIOn del
control interno. y a generar normas y expectativas de desempeño y de conducta. Otro
propósito de la documentación consiste en ayudar en la formación de personal nuevo y
en ofrecer mformación actualizada o de referencia para el resto de empleados. La docu-
mentación también aporta pruebas de la ejecución del control interno, permite su ade-

11111 (~":·o¡J-tt~no !.laico ntegr;do · Mm 2013

cuada supervisión y respalda la información sobre la eficacia de comrol lnteMo espe-
cialmente cuando es evaluada por terceras partes que interactúan co" la organ1zación
tales como los reguladores, auditores o clientes. De igual manera. a documemac1on
constituye un medio para conservar el conocimiento de la organ1zac1ón y mrt1gar el
riesgo de que los conocimientos residan únicamente en un limitado número de
empleados.

La dirección también debe determinar cuánta documentación se necesita para evaluar la

eficacia del control interno. Siempre es necesario un cierto nivel de documentación para
asegurar a la dirección que cada uno de los componentes y principios relevantes están
presentes y en funcionamiento y que los cqmponentes funcionan juntos. Esto puede in-
cluir, por ejemplo, documentos que muestren que todos los envíos han sido facturados o
que se han llevado a cabo todas las conciliaciones periódicas. Es necesario tener en
cuenta dos niveles específicos de requisitos de documentación en relación con la infor-
mación financiera y no f inanciera externa:

• En aquellos casos en los que la dirección deba rendir cuentas a reguladores, accio-
nistas u otras terceras partes con respecto al diseño y a la ejecución eficaz de su sis-
tema de control interno, la dirección tendrá un mayor grado de responsabilidad. Por
lo general, esto conlleva un cierto nivel de documentación para garantizar que cada
uno de los componentes y principios relevantes est án presentes y en funcionamiento
y que los componentes funcionan juntos. La naturaleza y el grado de documentación
necesarios podrán estar influidos por los requisitos regulatorios de la organización.
Esto no significa necesariamente que toda la documentación sea o deba ser más for-
mal, pero sí que se disponga de pruebas convincentes que muestren que los compo-
nentes y los principios relevantes están presentes y en funcionamiento, y que los
componentes funcionan juntos y que son apropiados para satisfacer los objetivos de
la organización.

• En casos en los que un auditor externo verifique la eficacia del sistema de control in-
terno, es probable que la dirección deba proporcionar al auditor el apoyo necesario
para llevar a cabo dicha verificación sobre la eficacia del control interno. Este apoyo
incluirá la generación de pruebas que muestren el sistema de control interno ha sido
diseñado adecuadamente y funciona de manera eficaz para proporcionar una seguri-
dad razonable de cara a la consecución de los objet ivos de la organización. A la hora
de considerar la naturaleza y el grado de documentación necesarios, la dirección de-
berá tomar en cuenta que la documentación para respaldar dicha verificación proba-
blemente sea utilizada por el auditor externo en el marco de su auditoría, lo cual
incluirá valorar la suficiencia de dicha documentación. De igual manera, la dirección
necesitará documentar aquellos casos significativos en los que se utilice el criterio
profesional , cómo se han valorado dichas decisiones y cómo se alcanzaron las deci-
siones finales.

Puede que siga habiendo casos en los que los controles sean informales o estén implíci-
tos en las decisiones y medidas adoptadas por la dirección . Esto puede ser adecuado
cuando la dirección sea capaz de obtener pruebas a través del desarrollo ord1nano de
las actividades del negocio que indiquen que el personal ha llevado a cabo de manera
ordinaria dichos controles. Sin embargo, es importante tener en cuenta que los contro-
les, tales como aquellos que se encuentran incorporados a las actividades de supervi-
sión o a las evaluaciones de riesgos, no pueden ser ejecutados en su totalidad sin que la
alta dirección tenga acceso a algún tipo de documentación sobre los análisis y procesos
de reflexión llevados a cabo por la dirección.

La naturaleza y el grado de documentación también variarán en función del tamaño de la

organización y de la complejidad del control. Las organizaciones de mayor tamaño nor-
malmente cuentan con un sistema de control interno mayor y con unos procesos de ne-
gocio de mayor complejidad, y por tanto estas organizaciones suelen requerir un mayor
volumen de documentación, lo cual incluirá manuales detallados de políticas y procedi-
mientos, flujogramas de procesos, organigramas y descripciones de puestos de trabajo.
En el caso de organizaciones de menor tamaño, la necesidad de documentación formal
será inferior. En estas últimas, suele haber menos personas y menos niveles directivos, al
tiempo que existen relaciones profesionales más estrechas y una interacción más fre-
cuente, lo cual potencia la comunicación sobre las expectativas y las metas alcanzadas.
En consecuencia, la dirección de la organización de menores dimensiones podrá con-
cluir a menudo que dispone de los controles adecuados a través de la mera observación
directa.

La documentación del sistema de control interno deberá satisfacer las necesidades del
negocio y ser proporcional a las circunstancias. El grado de documentación que res-
palde la presencia y el funcionamiento de cada uno de los componentes y los principios
relevantes del control interno, así como que los componentes funcionan juntos es una
cuestión de criterio profesional, y deberá llevarse a cabo teniendo en cuenta una ade-
cuada valoración de los costes que conlleve. De igual manera, la organización podrá be-
neficiarse de algún tipo de documentación formal que permita a la dirección reflexionar
sobre la lógica de los criterios profesionales aplicados y su alineación con los objetivos
de la organización.

11111 Control Interno- Marco Integrado • Mavo 2013

 5. Entorno de Control

Resumen del capítulo

El entorno de control es el conjunto de normas, procesos y estructuras que
constituyen la base sobre la que llevar a cabo el control interno de la organi-
zación. El consejo y la alta dirección son quienes establecen el "Tone at the
top" con respecto a la importancia del control interno, incluidas las normas de
conducta que se espera de todos ellos. La dirección refuerza las expectativas
existentes en los distintos niveles de la organización. El entorno de control in-
cluye la integridad y los valores ét icos de la organización; los parámet ros que
permiten al consejo llevar a cabo sus responsabilidades de supervisión; la es-
tructura organizacional y la asignación de facultades y responsabilidades; el
proceso de atraer, desarrollar y retener a profesionales competentes; y el rigor
aplicado a los parámetros de desempeño, incentivos y recompensas para im-
pulsar la responsabilidad por rendir cuentas de cara al desempeño. El entorno
de control resultante tiene un importante impacto en el conjunto del sistema
de control interno.

Principios relativos al componente del entorno de control:

éticos.

2. -~-~..C:.C?.~.~~).C?.. 9.~..~~~-~~~~~~~.C:.i.~~---~-~-~-~~~~-~.?... ~~9.~.P..~.~-~~~~~~--~-~ ..1.?... 9!.~~~~~?..~..Y..

~J.~.r~~--~- ~-~~P.~.'Y~~!~.~ --~~! ..~~:?.~.~P.~.~-~ --~-~-~--~~~~~-~.?...~~..C:.C?.~.!.~.C?.I.. ~.':l~~~~~...
3. -~~--~~-~~~~~~-~ --~:?.~.?..~.~-~C:.~.! ..C:.C?.~...I.~-~~p~_ryi~!~.~ --~~! ..C:.C?.~:?.~.i.~?.. !~~--~-~~~~-~~-~E.?..~!.
!.?..~.. !!.~~~~--~-~-.r.~P~.~~.Y. ..I. ~:?...~.iy~!.~.~--~~ ..?..':!.~.C?r.!.~.?..~...Y..E.~.~P.C?.~.~-?..~.i.!!9.?..~.
~Pt.C?P.~~~~~.P~~?... !~..C:.C?.~:?.~P~.C:.i. ~~--~-~--~g~--~~J.~.!.iY.C?.~:.
4. ~.?... ~r.9.~~.!~.?..C:.i. ~~--~-~~.':!.~.~~r.?... ~~-~pr.~.l!,l.!~~.P~~?...~~~.?..~.~! ..~~~~~T.C?.I.!~r..Y. ..~~~~~~r.
a..P.~~f.~.~!.C?D.?..I.~-~--~~~.P.~~-~-~.!.~.~ --~-~.. ~!.i .~-~.?..C:.i.~~----~~~--~- ~:?.. .C?.~.i.~!.iY.C?.~--~~ ..1.~
~-~~~-~!.~~~!~~ . .
5. l?.. ~r.9.~~.!~~.C:.i.~~--~-~!.i.~-~.. !.~.~ .T~~P.C?.~.~-~-~-i.!~9.~.~-~-~--~~--~-~~.. P.~r.~~~~:?.. ~..~.~':(.~.!..~.~
co.~ ~r.~!..!~~~~~-~-p~r.~..!~..C:.C?.~.:?.~.C:.~Pi.~~--~-~ ..I.C?.~..~~J.~.~-iyg_~ :.

Control Interno- Plarco ~r.·eqrm • 11.?10 2913 11111

Marco 1 • Evaluaclon de R•esgos • Actividades de Control• lntormauón y ComumcaCion • Act1Yilla:3

El entorno de control se ve influen-

ciado por una serie de factores inter-
nos y externos, entre los que se
incluyen la trayectoria histórica de la
organización, sus valores, el mercado
en el que opera y su entorno competi-
tivo y regulatorio. El entorno de con-
trol está definido por las normas,
procesos y estructuras que guían al
personal de la organización, en todos
los niveles de la organización, en el
desempeño de sus responsabilidades
de cara al control interno y a la toma
de decisiones. El entorno de control
establece la disciplina que soporta la evaluación de los nesgas que inciden en la conse-
cución de los objetivos de la organización, la ejecuctón de las actividades de control, el
uso de los sistemas de información y comunicación y el desarrollo de las actividades de
supervisión.

Una organización que establezca y mantenga un sólido entorno de control se posiciona

como una organización más resistente a la hora de afrontar presiones internas y exter-
nas. Para conseguirlo, debe demostrar un comportamiento coherente con el compro-
miso de la organización con respecto a la integridad y los valores éticos de la
organización, unos adecuados procesos y estructuras de supervisión, un diseño de la or-
ganización que permita la consecución de los objetivos de la organización con una ade-
cuada asignación de facultades y responsabilidades, con un elevado grado de
capacidad entre sus profesionales y una firme capacidad de responsabilidad por rendir
cuentas de cara a la consecución de los objetivos.

La cultura de la organización refuerza el entorno de control ya que establece una serie

de expectativas de comportamiento que reflejan su compromiso de cara a la integridad y
a los valores éticos de la organización, a su supervisión, responsabilidad por rendir
cuentas y su capacidad de evaluación del desempeño. El establecimiento de una sólida
cultura deberá tener en cuenta, por ejemplo, en qué medida se comunican con claridad
y de forma sistemática las normas éticas y de comportamiento y en qué modo se refuer-
zan en la práctica. Como tal, la cultura forma parte del entorno de control de la organiza-
ción pero también incluye elementos de otros componentes del control interno, tales
como las políticas y procedimientos, la facilidad del acceso a la información y la capaci-
dad de respuesta ante los resultados de las actividades de supervisión. Por tanto, la cul-
tura se ve influenciada por el entorno de control y por otros componentes del control
interno y viceversa.
 '1' h:• tr n¡~,tl 't •e: ( n 1 l r't ¡t 1 1
S -11 r'P •A

La organización demuestra compromiso con la

integridad y los valores éticos.

Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
risticas relativas a este principio:

• -El consejo de administración y la dirección a todos

los niveles de la organización demuestran a través de sus instrucciones, medidas y
comportamiento la importancia de la integridad y de los valores éticos a la hora de
apoyar el funcionamiento del sistema de control interno.

• -Las expectativas del consejo de administra-

ción y de la alta dirección en relación con la integridad y los valores éticos se defi-
nen en las normas de conducta de la organización y son comprendidas a todos los
niveles de la organización así como por parte de los proveedores de servicios exter-
nalizados y socios comerciales.

• -Se dispone de procesos para

evaluar el desempeño de profesionales y equipos con respecto a las normas de
conducta que se esperan de la organización.

• -Las desviaciones que se puedan

producir con respecto a las normas de conducta que se esperan de la organización
se identifican y se solucionan de forma oportuna y sistemática.

Se espera de la dirección y del consejo de administración9 que den ejemplo a la hora de

poner en práctica los valores, la filosofía y el modo de actuación de la organización.
Ambos órganos deben tener en cuenta las expectativas que los diversos grupos de inte-
rés tales como los empleados, proveedores, clientes, inversores y la comunidad en ge-
neral han depositado en la organización. De igual manera, se ven influenciados por las
normas sociales y éticas de los mercados en los que opera la organización. Además de
promover el entendimiento y el cumplimiento de los requisitos legales y regulatorios, la
dirección y el consejo adoptan medidas específicas para marcar la pauta en lo referente
a los aspectos morales, sociales, medioambientales y demás formas de conducta res-
ponsable, entre los que se incluyen por ejemplo, actuaciones relativas a la información
sobre las emisiones de gases de efecto invernadero de la organización, o la responsabili-

9. El Marco usa el térm1no "consejo de administración" para refenrse al máximo organo oe gobierno. Inclui-
dos los consejeros. los socios generales, los propietarios o el consejo de supervisión o vigilancia.

Conlrollr.tNno- t'.arco unegraoo • lldvO 2013 11111

Marco ! • Evaluaoon de R1esgos • Actividades de Control• Información y Comumca(fOil • J.l!t'ri'-D~~S:oli!=::l

naturales en su comunidad local. ....as :x::.ect=::."'i:3S r:s:::::.: es se expresan a través de

diversos grados de formalidad meo..a:-·e.

• Las declaraciones expresadas e- - ~ ::r_ -- llcs ~:::S ce la organización.

• Las normas o códigos de cono.Jeta.

• Las políticas y prácticas.

• Los principios operacionales.

• Las instrucciones, orientacrones y ce:1as -co::; ca::a-ees ce soporte.

• Las medidas y decisiones adoptaaas ::x>r ~ ::-~·-vx a cs.:i"'tos niveles y por el

consejo de administración.

• Las actitudes y respuestas ante as ces -a:cJOOeS cu~ se D..edan producir con res-
pecto a las normas de conducta atJe se esoerar 04: a O'Qa"" zación.

• Las medidas informales y rutinat'las as CO"'O la corr.u"' cae on de los máximos res-
ponsables a todos los niveles de la orgar..z.acion.

Estos elementos reflejan las expectativas de ntegNiao ae lOS valores éticos así como
el grado en el que se aplican en las decrsrones acop:adas a todos los niveles de la orga-
nización, así como por parte de los proveedores ae sen. c.os externalizados y de los so-
cios comerciales (por ejemplo, con los socros de negoctos con¡untos o de alianzas
estratégicas}. Estos elementos articulan y refuerzan e compromtso de actuar de manera
correcta, y no limitarse únicamente al cumplimtento de as leyes y regulaciones, de ma-
nera que estas prioridades sean comprendidas y adoptadas a todos los niveles de la or-
ganización. El grado en el que estas expectativas no sólo sean comunicadas sino
también puestas en práctica por la alta dirección y por el consejo, así como al resto de
niveles de gestión dentro de la organización, se caracterizará sin duda por el "Tone at
the top" de la organización.

Esta pauta marcada por la alta dirección se ve sin duda influenciada por el estilo de ac-
tuación y la conducta personal de la dirección y del consejo de administración, por su
actitud frente al riesgo y por su posición, que podrá ser conservador o agresivo (por
ejemplo, su posición a la hora de realizar estimaciones o elegir políticas) y por el grado
de formal idad (por ejemplo, en las compañías familiares de menor tamaño, los controles
podrán ser más informales), lo cual sirve sin duda para transmitir un mensaje a la orga-
nización . La falta de objetividad, la falta de receptividad ante las malas noticias o las
prácticas de compensación injustas podrían impactar en la cultura y en último término
constituir un incentivo para llevar a cabo conductas inapropiadas o fraudulentas. Por el
contrario, un historial de comportamiento ético responsable por parte de la dirección y el
consejo de administración y un compromiso demostrado a la hora de abordar los casos
de conductas inapropiadas envía un sólido mensaje en apoyo de la integridad. De igual
manera, es probable que los empleados desarrollen las mismas actitudes sobre lo que
está bien y lo que no está bien y sobre los riesgos y controles a los demostrados por la
dirección. El comportami~nto individual de las personas a menudo se ve influenciado
por el conocimiento de que la alta dirección se ha comportado con la mayor ética y
moral a la hora de enfrentarse ante decisiones personales y empresariales difíciles de
tomar, y por el hecho de que todos los directivos hayan tomado las medidas oportunas
para abordar dichos casos de conductas irregulares.
 Componentél del Control Interno

::: hecho de que el consejo y la alta dirección marquen la pauta de manera srstemática a
;:a·. és de los distintos niveles de gestión de las unidades operacionales establece un en-
: mdimiento común de los valores, motores del negocio y comportamrel"'lto que se espera
::e os empleados y socios de la organización. Esto incluye sin duda los distrntos niveles
• o visiones que a menudo se denomina como "marcar la pauta entre los mandos lnter-
-:dios" en el caso de las grandes organizaciones. El hecho' de que esta act1tud se lleve
~ cabo de manera sistemática contribuye a unir a la organización en sus esfuerzos por
=o"'seguir los objetivos de la organización. Sin embargo, poner en práctica esta actitud
::e manera sistemática no está exento de dificultades. Por ejemplo, las motivaciones, los
;-ados de evaluación de los proveedores y los niveles de atención al cliente puede que
a.- en en gran medida de un mercado a otro, y la manera en que la dirección responda
!!.'"'~e dichas presiones puede marcar la pauta de manera diferente en los distintos niveles
::.: a organización. De igual manera, los mensajes lanzados desde la dirección con res-
:-ecto a lo que es o no es aceptable pueden variar a la hora de abordar problemas espe-
:~cos en los diferentes niveles de la organización; sin embargo, cuanto más coherentes
xa/' con la pauta marcada en las altas esferas de la organización, más homogénea será
- forma de llevar a cabo las responsabilidades de control interno de cara a la consecu-
- ::>n de los objetivos de la organización .

=.ro a.~gunos casos, la pauta que marque el director general de la organización puede
L=-ner como resultado consecuencias inesperadas. Por ejemplo, puede darse el caso de
- equ1po de dirección que no tenga problema en cambiar las condiciones contractuales
::: la organización para competir en el entorno de negocio local. Si bien este tipo de mo-
:: -=cac1ón puede ser considerado como algo positivo a los efectos de satisfacer las ne-
::cesodades de los clientes y generar ingresos por ejemplo, para hacer llegar los
::.t"'ductos al cliente con mayor rapidez puede tener consecuencias negativas a los efec-
•os de lograr otros objetivos, tales como el cumplimiento de las normas de seguridad de
::;s productos, prácticas comerciales no abusivas y demás requisitos. El hecho de que la
2...~ drrección aporte instrucciones y pautas claras, y que demuestre coherencia a todos
res ,., .eles de gestión, facilitará la consecución de los objetivos de la organización.
=- one at the top" es fundamental para el funcionamiento del sistema de control in-
:-'"""0 Srn dicho "Tone at the top" que refuerce una sólida cultura de control interno, se
~-:de terminar reduciendo la conciencia hacia el riesgo, adoptándose respuestas in-
~ecuadas, definiendo actividades de control de manera deficiente o con escasa acep-
~c on por parte de los empleados, al tiempo que la comunicación y la información
:x!ede resultar inadecuada, haciendo caso omiso al feedback obtenido de las activida-
:::s supervisión. Por tanto, " marcar la pauta" puede servir como detonante o como obs-
itaet.J o del control interno.

!..aS '1ormas de conducta guían a la organización a través de su comportamiento, sus ac-

• cades y sus decisiones de cara a la consecución de los objetivos:

• Estableciendo lo que se debe y no se debe hacer.

Proporcionando orientación para permitir a los profesionales leer entre líneas y tener
en cuenta los riesgos asociados.

Control Interno - Marco Integrado • Mayo 1013 11111 39

Marco • Evaluauon de R1esgos • Act1v dades de Control • lnformauon vComunlcaCion • A

• Tomando en consideración las leyes reg as regy ac•ones, normas y demás expec-
tativas que las partes interesadas de a orgal"l.!Za.ClOn puedan tener, tales como la
responsabilidad social corporativa.

Las expectativas éticas, normas y costumbres ouece" .ariar de un país a otro. La direc-
ción y el consejo de administración o el organo ce s~oe~ son equivalente establecen
las normas y mecanismos que la organrzac•on aeoe co,..,prender y cumplir, y definen los
procesos y recursos para interpretar y abordar e oo~enc a de desviación existente.
Estas expectativas se traducen en una declarac•o" de creenc•as. valores y normas de
conducta para la organización.

La organización demuestra su comprom1so de cara a .a ntegndad y los valores éticos

aplicando las normas de conducta y formulando continuamente preguntas desafiantes,
especialmente cuando sea necesario adoptar dec1s1ones difíciles. Por ejemplo, la organi-
zación se puede preguntar: ¿Esto infringe las normas de conducta de la organización?
¿Esto es legal? ¿Tendríamos un problema si nuestros accionistas, clientes, reguladores,
proveedores u otros grupos de interés se enteran de esto? ¿Daría esto una imagen ne-
gativa de esta persona o de la organización en general?

La integridad de los valores éticos son clave en las comunicaciones y en la formación de

la organización. Por ejemplo, una compañía que reciba habitualmente premios y galardo-
nes como "mejor lugar en el que trabajar" y consiga unos elevados niveles de retención
de empleados normalmente proporciona la formación a sus empleados sobre la cultura
de la organización y los valores éticos corporativos, con el apoyo de la alta dirección y
del consejo de administración. Las sesiones de formación se llevan a cabo trimestral o
semestralmente dependiendo del número de empleados contratados. Durante dicha for-
mación, los empleados aprenden cómo el entorno ético se ha desarrollado dentro de la
organización. De igual manera, se proporciona a los empleados una serie de ejemplos
de cómo la integridad y los valores éticos han contribuido a identificar y solucionar pro-
blemas y la importancia que tiene comunicar y plantear las preocupaciones que un em-
pleado pueda tener.

Las normas de conducta de la organización se comunican y se refuerzan regularmente

no sólo a todos los niveles de la organización sino también con los proveedores de servi-
cios externalizados. Por ejemplo, la aplicación del control interno en el ámbito del cum-
plimiento de las normas de seguridad de los productos se aplica más allá de la
organización para incluir a los socios de alianzas comerciales estratégicas conjuntos, a
proveedores, distribuidores comerciales y otros proveedores de servicios externalizados
en todas las ubicaciones.

La dirección tiene la responsabilidad última sobre las actividades que delega mediante
acuerdos contractuales o legales con proveedores de servicios externalizados. Entre las
variables que pueden afectar al alcance de las comunicaciones, de la supervisión y de
otras actividades ne<?esarias para garantizar que los proveedores servicios externos y
socios comerciales cumplen las normas de conducta de la organización se incluyen:

• La naturaleza de los servicios externalizados.

• El grado de alineación entre las normas de conducta de los proveedores de servi-

cios y las normas de conducta de la organización.
 .. P' ........... J ...- ............ . • " • " ' " "

• La calidad y la frecuencia con la que los proveedores de servtc1os retuerzan y super-

visan el cumplimiento de las normas de conducta por parte de su personal.

• El volumen y el grado de complejidad de la cadena de suministro y del modelo de

negocio de la organización.

:=, ,cumplimiento de las normas de conducta por parte de los proveedores de serv1c1os
=•':ernalizados y de los socios comerciales puede repercutir negativamente en la alta di-
r?Cetón y afectar a la propia organización perjudicando a los propios clientes, a otros
:: .oos de interés o a la propia reputación de la organización, lo cual puede exig1r costo-
sas medidas correctivas. Por tanto, la dirección conserva la responsabilidad sobre la eje-
:-.;ctón de los procesos que ha delegado a proveedores de servicios externalizados o
'50C os comerciales.

LaS 11ormas de conducta establecidas constituyen la base para evaluar el cumplimiento

c.¿ a ntegridad de los valores éticos a todos los niveles de la organización y por parte
-~ !Os proveedores de servicios externalizados. Las normas de conducta se comunican
z -a,es de las políticas y prácticas de la organización así como a través de los contratos
::~ e'Tlpleo y de servicios. Algunas organizaciones exigen un documento de entrega for-
-.::. aue demuestre la recepción y el cumplimiento de dichas normas. Con el fin de ga-
n-: zar que se cumplan las normas en la práctica, las medidas, decisiones y actitudes
:e os profesionales de la organización son evaluados por la dirección o por un tercero
-et>el'ldiente.

wmplimiento de las normas de conducta en ocasiones procede de situaciones tales

ccmo.

• ~ ·Tone at the top" no transmite adecuadamente las expectativas que se tiene en lo

re,ativo al cumplimiento de las normas.

~ consejo de administración no proporciona una supervisión imparcial sobre el

cumplimiento de las normas por parte de la alta dirección.

• ~Joste una elevada descentralización sin una adecuada supervisión, lo cual conlleva
cue la alta dirección no sea consciente de las medidas adoptadas en los niveles in-
:enores de la organización.

• _os superiores, compañeros de trabajo o partes externas ejercen presión para dejar
ce ,ado el cumplimiento estricto de las normas o para desarrollar comportamientos
~audulentos o ilícitos.

• _os ob¡etivos de desempeño fomentan incentivos o presiones para dejar de lado los
::omportamientos éticos.

• No existen canales adecuados para que los empleados puedan comunicar sus pre-
ocupaciones y cuestiones con total seguridad.

• "lo se aborda la inexistencia o ineficacia de los controles, lo cual genera oportunida-

des para ocultar los malos resultados.

Conlrol lnterno - Marco Integrado • Mayo 2013 11111 41

Marco • Evaluauón de R1e~go~ • Acliv1dade~ de Control •lnlormaciOn y Comumcauon • Actí~lá!

• Los procesos para investigar y reso er sux_=:a;s cor.cuctas irregulares son inade-
cuados.

• La función de auditoría interna es oeo nc ~- .: ra-.ac oad para detectar comuni-

car las conductas irregulares.

• Las sanciones relacionadas con os cases ::: :o: ::u...~ 11apropiadas se aplican de
manera incoherente, insignificante o ooco ~:rr.e, o no se dan a conocer a la
organización perdiendo así su efec<o e :;:;as¡ '"'-

Por ejemplo, las normas de conducta puecEr :r.::x; """ las ::xact cas que podrían ser in-
terpretadas como prácticas de conn -.e11c a ::la!"a =a:..-::"(: os cero 1a organización debe
establecer mecanismos para llevar a ca.oo as ~ <a :s como formación y comunica-
ción de sensibilización, análisis de a acti oac c.:: ~O'"" ::e n~ectos de mercado para
identificar potenciales problemas y demas ,..,..ec cas oa.-a =~.a~ detectar desviaciones
con respecto a las normas de conducta de a cxgar..:zaoo- ....a organ1zación comunica
los niveles de tolerancia establecidos COP resoec~o a :>as !).es desv1ac1ones. En función
de la importancia del impacto en la organ,zacion, e • - e :::e rnedtdas correctivas puede
variar pero se aplican de manera coherente a i:Odos los M e es de la organización. Las
evaluaciones sobre el cumplimiento de as flOmlas oa concveta por parte de profesiona-
les individuales y equipos forman parte de un proceso s sternattco de comunicación y re-
solución de incidencias. Este proceso ex1ge oue la o recc10r

• Defina una serie de indicadores (por ejemplo . porce'"'~J e de empleados que com-
pletan la formación , resultados de las act•v oades oe superv1s1on. incumplimientos
de la confidencialidad, connivencia con otros par.•c oaPi:es del mercado, casos de
acoso), para identificar problemas y tendenctas relat:.as a .as normas de conducta
de la organización, incluidos los proveedores as sef"\J tCIOS externalizados. Tales indi-
cadores se revisan periódicamente y se redef;nen er caso necesario para contribuir
a identificar problemas potenciales con antelacton o antes de que se repitan.

• Establezca procedimientos continuos y penódicos de cumplimiento para confirmar

que se cumplen las expectativas y los requisitos tanto internamente como por parte
de los proveedores de servicios externalizados.

• Identifique, analice y comunique problemas y tendenc1as de conducta empresarial a

la alta dirección y al consejo de administración Establezca mecantsmos para identi-
ficar problemas, entre los que se incluyen líneas directas de comunicación de infor-
mación, funciones de recursos humanos y líneas ettcas. La realización de un buen
análisis a menudo exige que participen equipos de múltiples departamentos y fun-
ciones para determinar la causa raíz del problema y las medidas correctivas nece-
sarias.

• Considere la solidez de la alta dirección a la hora de demostrar la integridad y los

valores éticos como un .comportamiento que ha de ser objeto de evaluación en las
revisiones de desempeño, así como en las dec1stones de compensación y promo-
ción profesional.

• Recabe cualesquiera t ipo de acusaciones de manera centralizada y se asegure de

que dichas acusaciones son evaluadas por profesionales independientes a la acu-
sación en cuestión.
 Componentes aetlontrOJJmerno 1

Ueve a cabo y documente investigaciones en base a protocolos de nvestigación

definidos.

• Efectúe un seguimiento de las medidas correctivas implantadas de manera que los

problemas sean solucionados de manera oportuna y coherente.

• Analice periódicamente los problemas para identificar tendenc1as y causas raíz, lo

cual puede conllevar en ocasiones la modificación de las políticas, comunicaciones,
formación o controles.

evaluaciones pueden ser desarrolladas por un proceso de gestión continua y/o a tra-
!;..3:5

~ de un tercero independiente. Los profesionales de la organización también pueden

?Ya.uar y comunicar las irregularidades que observen a través de canales de comunica-
:x~ formales e informales tales como un canal de denuncias, procesos de feedback as-
.::"'.Oe'lte y reuniones habituales con los empleados.

:.A!'do se producen desviaciones con respecto a las normas de conducta esperadas,

?.S:as se abordan de manera oportuna y coherente. En función de la gravedad de la des-
<:eiÓn determinada mediante el proceso de evaluación, la dirección puede adoptar dife-
:r·es medidas y también puede que tenga que valorar las leyes locales, pero las
-c-:as a las que están sujetos los empleados seguirán siendo coherentes. En función
::-= .a gravedad de la incidencia, se podrá realizar una advertencia al empleado y facili-
- :servicios de coaching, ser objeto de un periodo de prueba, o en último término
:c--er fin a la relación laboral.

ControllntffllO - 11art:o l!r.<;ro!Gl • !l.m !(113 11111

"!arco • Evaluación de Riesgos • Ael v1dades de Control • lnformatiO" vComunicanon • Acllr~tes Of

• t r e:. lb

,., El consejo de adrr ,., srrac1ón demuestra

independencia de la direccion y ejerce la supervisión del
desempeño del sistema de contro nterno.

Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

• -El consejo de administración

identifica y acepta sus responsabilidades de supervisión en relación con los requisi-
tos y las expectativas establecidas.

• -El consejo de administración

define, mantiene y evalúa periódicamente las habilidades y los conocimientos nece-
sarios entre sus miembros para poder formular preguntas incisivas a la alta direc-
CIÓn y adoptar medidas proporcionadas.

• -El consejo de administración cuenta con suficientes

miembros independientes de la dirección, objetivos a la hora de efectuar evaluacio-
nes y en la toma de decisiones.

• -El consejo de admi-

nistración tiene la responsabilidad de la supervisión con respecto al diseño, imple-
mentación y ejecución del control interno por parte de la dirección:

- Entorno de control-Establece la integridad de los valores éticos, las estructuras

de supervisión, las facultades y responsabilidades, las expectativas de capacidad
y de responsabilidad por rendir cuentas frente al consejo de administración.

- Evaluación de riesgos-La supervisión de la evaluación de riesgos para la conse-

cución de los objetivos efectuada por la dirección, incluido el potencial impacto
de que se produzcan cambios significativos, casos de fraude y anulaciones del
control interno por parte de la dirección.

- Actividades de control-Proporcionan supervisión a la alta dirección en el

desarrollo y ejecución de las actividades de control.

- Información y comunicación-Analizan y comentan la información relacionada con

la consecución de los objetivos por parte de la organización.

- Actividades de supervisión-La evaluación y supervisión de la naturaleza y el al-

cance de las actividades de supervisión así como de la evaluación efectuada por
la dirección y de la solución de deficiencias.
El consejo de administración u órgano de supervisión equivalente .e' ·conse1o" com-
prende el negocio y las expectativas de las partes interesadas. 1nc1U1dos c!.entes. em-
pleados, inversores y el público general, así como los requisitos lega.es 1 regulatonos y
demás riesgos relacionados. Estas expectativas y requisitos contribuyen a de'in1r los ob-
etivos de la organización, las responsabilidades de supervisión desarro1 adas por el con-
sejo y las necesidades de recursos.

El consejo tiene facultades para contratar al CEO (Chief Executive Officer. director gene-
ral o equivalente), para rescindir su contrato, así como para establecer el plan de suce-
sión de dicho puesto, según sea necesario; a este profesional se le encomienda la
ejecución general de la estrategia de la organización, la consecución de sus objetivos y
la eficacia del sistema de control interno. El consejo es responsable de proporcionar su-
pervisión y desafiar de manera constructiva a la dirección.

Dependiendo de la jurisdicción de la que se trate, las estructuras de supervisión se pue-

den desarrollar voluntariamente o ajustándose a la ley, regulación, normas pertinentes,
tales como las normas de cotización en el correspondiente mercado de valores. Si bien
los requisitos para las organizaciones de propiedad privada, organizaciones sin ánimo de
lucro u otras organizaciones pueden variar, las organizaciones cotizadas en muchas ju-
risdicciones exigen que se disponga de comités a nivel del consejo de administración
que se centren en determinados temas específicos, tales como:

• Comités de nombramientos 1 buen gobierno corporativo que dirigen la selección de

los consejeros y supervisan la evaluación de la alta dirección y del consejo de admi-
nistración.

• Comités de compensación que supervisan las polfticas y prácticas de retribución de

la alta dirección . motivando determinados comportamientos, sopesando los incenti-
vos de la consecución de resultados a corto y largo plazo, vinculando el desempeño
a los objetivos estratégicos y asociando la compensación del riesgo.

• Comités de auditoría que supervisan el control interno sobre la información finan-

ciera así como la integridad y la transparencia de la información externa, incluidos
los informes financieros.

• Otros comités del consejo dedicados a abordar asuntos específicos que sean críti-
cos para la consecución de los objetivos de la organización (por ejemplo, comités
de riesgos para las instituciones de servicios financieros o comités de cumplimiento
para las organizaciones farmacéuticas).

La supervisión llevada a cabo por el consejo se ve apoyada por estructuras y procesos

que la dirección establece a nivel ejecutivo. Por ejemplo, los comités de dirección pue-
den centrarse en asuntos tales como las tecnologías de la tnformación, los
productos/ servicios, los procesos u otros aspectos del negocio que requieran una aten-
ción pormenorizada. La dirección evalúa continuamente los riesgos que ejercen los cam-
bios del entorno operativo (por ejemplo, la aparición de nuevas tecnologías, el

Control interno- Marco Integrado • Mayo ZOB 11111 45

Marco 1 • Evaluacion de Rre1gos • Actividades de Control • lnformacron y Comumrarlon • Arlrvrllades de SuperviSIOI!

incremento de los requisitos regulatorios y la evotuc O" oe ,.,ooe1o de negocio) y aborda

las implicaciones que puedan tener para el s1sterna de CO"~ "terno.

Si bien el consejo mantiene la responsabilidad sobre a s...oervrsion. el CEO y la alta di-

rección asumen la responsabilidad directa del desat"fQ 10 e 'llp ementación del sistema
de control interno. Dependiendo del tipo de orgar zactOn } de su estrategia, estructura y
objetivos, las unidades operativas pueden tener mayor o mellOr grado de autonomía a la
hora de diseñar los procesos y estructuras que hagan posrble el control interno. Por
ejemplo, si bien una organización puede implenentar un srstema ERP (planificación de
recursos corporativos) que estandarice todos los principales procesos y controles de la
organización, otra organización podría optar por que cada división decida e implemente
aquellos procesos que sean más adecuados para sus act1v1dades de negocio.

El consejo de administración es independiente de la dirección y debe demostrar las co-

rrespondientes habilidades y conocimientos especializados para el desempeño de sus
responsabilidades de supervisión. La independencia se demuestra a través de la objeti-
vidad de pensamiento, actuación, apariencia y ejecución por parte de los miembros del
consejo. Por lo general , una organización cotizada deberá contar con una mayoría de
consejeros independientes, que no tendrán ninguna relación actual ni reciente de tipo
personal o profesional con la organización (en algunas jurisdicciones, esto también es un
requisito para todos los miembros de los comités del consejo tales como los comités de
auditoría). El factor de independencia y conocimientos especializados relevantes tam-
bién tiene en cuenta los distintos cargos en el consejo ocupados por cada uno de los
miembros del consejo con el fin de limitar cualquier tipo de sesgo o conflicto de intere-
ses que pueda derivarse de aquellos miembros del consejo que ocupen un cargo similar
en consejos de administración de otras compañías.

Dado que el consejo debe participar activamente en todo momento y debe estar prepa-
rado para cuestionar y analizar las actividades llevadas a cabo por la dirección, presen-
tar puntos de vista alternativos y tener la valentía de actuar en caso de que existan
sospechas o evidencias de conductas irregulares, es necesario que el consejo incluya
consejeros independientes. Sin duda alguna, los directivos y empleados aportan unos
sólidos conocimientos de la organización pero los consejeros independientes con los
conocimientos especializados adecuados aportan valor a través de su imparcialidad,
sano escepticismo y evaluaciones objetivas.

A las organizaciones privadas, organizaciones sin ánimo de lucro y demás organizacio-

nes puede que les resulte costoso o difícil atraer a miembros del consejo independien-
tes y competentes. Dependiendo de los requisitos aplicables (algunas de ellas puede
que no estén obligadas a contar con un consejo de administración), puede que estas or-
ganizaciones tengan que identificar una serie de características y cualidades profesiona-
les y personales entre los candidatos que resulten importantes para la organización (por
ejemplo, comprender las perspectivas de los distintos grupos de interés, estar orientado
hacia el control interno) y establezcan por tanto un consejo de administración com-
puesto por miembros que demuestren estas características. En circunstancias tan ex-
 Componentes del Control interno 1

cepcionales como éstas, en las que una organización no dispone de un consejo inde-
pendiente, es necesario reconocer este hecho y poner en práctica determtnados proce-
sos y controles diferentes que den como resultado una supervisión adecuada.

La composición del consejo se establece en función de la misión, valores y diversos ob-

jetivos de la organización así como de las capacidades y conocimientos especializados
necesarios para supervisar, cuestionar y evaluar al equipo de la alta dirección de la forma
más apropiada. El tamaño del consejo se determina teniendo en cuenta el número ade-
cuado de miembros que permitirá llevar a cabo análisis críticos y constructivos, entablar
conversaciones productivas y adoptar decisiones. Las capacidades que se esperan de
los miembros del consejo incluirán sin duda integridad y principios éticos, liderazgo, ca-
pacidad de análisis crítico y de resolución de problemas. De igual manera, se espera que
el consejo incluya un espectro de habilidades y conocimientos especializados y comu-
nes a todos ellos que les permita entablar conversaciones y deliberaciones, tales como:

• Mentalidad del control interno (por ejemplo, escepticismo profesional , perspectivas

sobre los enfoques para identificar y responder ante los riesgos, evaluación de la
eficacia del sistema de control interno).

• Conocimientos sobre la organización y sobre el mercado (por ejemplo, conoci-

miento de los productos/ servicios, de la cadena de suministro, de la base de clien-
tes y de los competidores).

• Conocimient os financieros, que incluirán conocimientos sobre la información finan-

ciera (por ejemplo, normas contables y requisitos de información financiera).

• Conocimientos jurídicos y regulatorios (por ejemplo, entendimiento de las leyes, re-

glas, regulaciones y normas vigentes).

• Conocimientos sociales y medioambientales (por ejemplo, entendimiento de las ex-

pectativas y actividades sociales y medioambientales).

• Incentivos y compensación (por ejemplo, conocimientos de las prácticas y niveles

de compensación del mercado).

• Sistemas y tecnologías relevantes (por ejemplo, entendimiento de los desafíos y

oportunidades en el ámbito de las tecnologías y sistemas críticos para la organiza-
ción).

Los conocimientos avanzados y la independencia del consejo de administración serán

evaluados periódicamente en relación con las necesidades en constante cambio de la
organización. Los consejeros participarán en sesiones de formación según sea oportuno
para actualizar sus habilidades y conocimientos relevantes.
Marco • Evaluanon de Rie~gos • ActiVIdades d~ Control • lnlwnaCtor., Comunrca!lon • Actmdades de 5.:::

l t l 1

El consejo de administración participa en el e¡ercicro de suoe"" sron del desarrollo y eje-

cución del control interno a través de cada uno de los c rnco comoonentes del Marco , tal
y como se muestra en la tabla siguiente:

Componentes del control interno Actividades de supervisión por parte del consejo de administración

Entorno de control • Superv1sar la defm1ción y aplicación de las normas de conducta de la orga-

nización
• Establecer las expectativas y evaluar el desempeño del CEO o puesto equi-
valente.
• Establecer las estructuras y procesos de supervisión en línea con los obje-
tivos de la organización (por ejemplo, consejos y com1tés según se est1me
oportuno de acuerdo con los conocimientos y capacidades requeridos).
• Encargar revisiones sobre la eficacia de la supervisión llevada acabo por el
conse10 y abordar las oportunidades de mejora.
• E¡ercer las responsabilidades fiduciarias correspondientes a los accionistas
y demás propietarios (en caso aplicable) y la atenc1ón oportuna de cara a
la superviSión (por ejemplo, preparación prev1a y asistencia a reumones.
revisión de los estados financieros de la organización y demás revelacio-
nes de información).
• Cuestionar a la alta dirección mediante la formulación de preguntas com-
plejas sobre los planes de la organización y su desempeño, y exigiéndoles
medidas correctivas y de seguimiento en caso necesario (por e¡emplo,
cuest'1onanóo ~ransawones Que se pmuuican tepeMamen\e a\ c\ene de
los periodos anuales o intermedios).

Evaluación de riesgos • Tener en cuenta factores internos y externos que representan riesgos Sig-
nificativos de cara a la consecución de los ob¡etivos; 1denllficar problemas
y tendenc1as (por ejemplo, implicaciones de sostenibilidad de las activida-
des empresariales de la organización).
• Superv1sar la evaluación realizada por la dirección sobre riesgos relaciona-
dos con la consecuc1ón de los objetivos, incluyendo el 1mpacto potencial
de cambios Significativos (por etemplo. nesgas asociados a la introduc-
Ción en un nuevo mercado). casos de fraude y corrupción.
• Evaluar en qué medida la organización evalúa de forma proactiva los nes-
gas relativos a las mnovaciones y cambios tales como aquellos cambios
que vienen motivados por grandes desarrollos tecnológicos, económicos o
geopolíticos.

Actividades de control • Llevar a cabo investigaciones específicas en el entorno de la dirección con

respecto a la selección, desarrollo y despliegue de las actividades de con-
trol en áreas de nesgas significativas así como acciones correctivas en
caso necesario (por ejemplo. como respuesta a riesgos significativos re-
sultantes de factores internos o externos)
• Supervisar a la alta dirección en su ejercicio de las actividades de control.
 Componentes del Control Interno

Componentes del control interno Actividades de supervisión por parte del consejo de administración

Información y comunicación • Comunicar instrucciones y el "Tone atthe top".

• Obtener. revisar y analizar la información relat1va a la consecución de los
objetivos de la organización.
• Custionar la Información proporcionada y presentar opiniones alternativas.
• Revisar la divulgación de información para los grupos externos de interés
en términos de su integridact. relevancia y precisión.
• Permitir y abordar la comunicación ascendente de problemas y cuestiones
identificadas.

Actividades de supervisión • Evaluación y supervisión de la naturaleza y el alcance de las actividades de

supervisión, anulaciones de controles por parte de la dirección, de la eva-
luación efectuada por la dirección y de la solución de deficiencias.
• Interactuar con la dirección. auditores internos y externos y demás partes.
según sea oportuno. para evaluar el nivel de conocimiento sobre las estra-
tegias de la organización, los objetivos especificados, nesgas e implicacio-
nes en materia de control asociados con la evolución del negocio. sus
infraestructuras. regulaciones y demás factores.

Las obligaciones de transparencia refuerzan la responsabilidad por rendir cuentas tanto

de la alta dirección como del consejo de administración . Si bien los requisitos y expecta-
tivas en materia de divulgación de información pueden variar en función de la jurisdic-
ción, el sector de actividad u otros aspectos, el consejo de administración supervisará
que dichas necesidades son comprendidas y satisfechas en todo momento. La comuni-
cación de información al consejo de administración se producirá tanto de forma perió-
dica como de manera puntual e informal, según sea necesario, para ayudar al consejo a
supervisar los aspectos relacionados con el sistema de control interno.
Marco • Evaluaclon de Rresgos • Actrvrdades de Control • lnlormacron vComu01ranon •

La direcc o
consejo, las estructuras eles de
autoridad y responsa b ::::; ~secución

de los objetivos .
................................................ ... ·---------~----~~~

Los siguientes puntos de trteres =-= -x-..antes caracte-

rísticas relativas a este pnnc010.

• -t.a e recc1on designa y evalúa

las líneas de comunicac1on oe :OI'ii7aCJI'.:Ir. =-ara :.:ca :str..Jc¡ura de la organización,
haciendo posible la ejecuc on ce as ;a
tes y el flujo de información para ges- nar -ces ce la orgamzación.

• - ....a e recc1on y el consejo

de administración delegan facultades, oef ner responsan oaoes J ut11zan tecnolo-
gías y procesos aprop1ados para astgnar responsab1l dades y segregar funciones
en caso necesario a los distintos niveles de la organizac1on

- Consejo de administración-Mantiene la autoridad sobre as dec1siones más sig-

nificativas y revisa las asignaciones encomendadas a .a d recc1on y las limitacio-
nes de facultades y responsabilidades.

- Alta dirección-Establece instrucciones, onentac1ones ~ contro para permitir a la

dirección y al resto del personal comprender y llevar a cabo sus responsabilida-
des de control interno.

- Dirección-Guía y facilita la ejecución de las tnstrucc1ones proporcionadas por la

alta dirección dentro de la organización y sus un1dades de negocio.

- Personal-Comprende las normas de conducta de la organización, los riesgos

evaluados asociados a los objetivos y las actrv1dades de control relacionadas en
su respectivo nivel de la organización. el flUJO de 1nformac1ón y comunicación que
se espera de ellos y las actividades de supervisión relevantes para su cumpli-
miento de objetivos.

- Proveedores de servicios externa/izados-Cumplen la definición adoptada por la

dirección sobre el alcance de las facultades y responsabilidades asignadas a ter-
ceros involucrados con la organización que no son empleados de la misma.
 Componentes del Control Interno

La alta dirección y el consejo de administración establecen la estructura de la organiza-

ción y las líneas de comunicación de información necesarias para planificar, ejecutar,
controlar y evaluar periódicamente las actividades de la organización; en otras palabras,
para llevar a cabo sus responsabil idades de supervisión. Para ello, se soportan en los
procesos y tecnologías requeridos para proporcionar una clara responsabilidad por ren-
dir cuentas y flujos de información dentro de la organización y sus unidades de negocio.

Las organizaciones a menudo se estructuran de acuerdo con diferentes dimensiones. En

particular:

• El modelo operativo adoptado por la dirección puede seguir las líneas de productos
o servicios para facilitar el desarrollo de los productos y servicios, optimizar activi-
dades de marketing , racionalizar la producción y mejorar la atención al cliente u
otros aspectos operativos.

• Las estructuras jurídicas a menudo se diseñan para gestionar los riesgos del nego-
cio, crear estructuras fiscales favorables y conferir una mayor capacidad de actua-
ción a los directivos que operen en actividades en el extranjero.

• Los mercados geográficos pueden proporcionar subdivisiones adicionales o agre-

gaciones de los resultados.

• De igual manera, las organizaciones formalizan una amplia gama de relaciones con
los proveedores de servicios externalizados para apoyar la consecución de sus ob-
jetivos, lo cual crea estructuras y líneas de comunicación de información adicional.

Cada una de estas visiones puede proporcionar una evaluación diferente del sistema de
control interno. Si bien la agregación de los riesgos en una única dimensión puede que
no genere ningún problema, la perspectiva sobre el negocio que se consiga a través de
una dimensión diferente puede mostrar un determinado riesgo de concentración en
torno a un tipo de clientes determinados, un exceso de dependencia de un único pro-
veedor u otras vulnerabilidades. La propiedad y responsabilidad por rendir cuentas en
cada nivel de agregación permitirá además este tipo de análisis y revisión en base a múl-
tiples dimensiones.

Las estructuras de las organizaciones evolucionan a medida que la naturaleza del nego-
cio evoluciona. Por lo tanto, la dirección revisa y evalúa las estructuras para comprobar
su relevancia, eficacia y eficiencia como apoyo al sistema de control interno. Véase
como ejemplo el caso de un banco que comunique los resultados de su desempeño y la
eficacia del control interno en base a sus entidades legales, unidades de negocios o
geografías. Si este banco no revisa con frecuencia su información para verificar que re-
fleja adecuadamente su modelo de negocio actual, puede que fracase a la hora de reco-
nocer la aparición de determinados riesgos, la ausencia de controles apropiados y la
deficiente generación de información.

Para cada tipo de estructura que disponga la organización (por ejemplo, estructura de
mercados geográficos, estructura de segmentos de negocio, estructura de organización
legal), la dirección diseña y evalúa las líneas de comunicación de información pertinentes
Harcol • Evaluaoon dP R1esgo$ • ACtividades de <ontrol • lnformacton y Comumcac10n • MI.:

de manera que se lleven a cabO as r::::s;::u sa •Hca:Ps

se requiera. De igual manera, v#ca oo;. oo -=-.....-:-'"="' __,......,............,..,.
en la ejecución de responsabil aades ¿ t:::ll:l::E ¡¡c..,
veedores de servicios externalizaoos. _as
hora de establecer y evaluar las estTlJ;C'-..:.::3S
tes:

• Naturaleza, tamaño y dtstf'OtJO.x 2:g:C:;::c

• Requisitos financteros. fisca:=s rE?".....:.-::rn5

de las jurisdicciones corresoonca:=-

Con independencia de la es<~'l"a ::.=

de facultades y responsab daces :s

defensa con relación al cumof Yevia supervi-

sión del consejo de admimstraoor.

con el negocio, su retnbuc100 _ ::s::a±:z:::2:E:::=-.............::

al que prestan asesorafTI'en~ ; ~

• Los auditores internos co"5ü..!li!l2'" -= ~

cando información sobre e s;s:;.~ ce=--
 Componentes del Control Interno

La evaluación periódica de las estructuras existentes en relación con la consecución de

los objetivos de la organización permitirá llevar a cabo una realineación con las priorida-
des que vayan surgiendo (por ejemplo, nuevas regulaciones) y ejecutar medidas de ra-
cionalización (por ejemplo, a través de diferentes áreas y un1dades operativas) para
proporcionar una visión integral y detallada del control interno.

El consejo de administración delega autoridad y define y asigna responsabilidades en la

alta dirección. A su vez, la alta dirección delega facultades y define y asigna responsabi-
lidades en la organización y sus unidades de negocio. La autoridad y responsabilidad
se delega en base a las capacidades demostradas. y las funciones se definen de
acuerdo con quien sea responsable de tomar las decisiones o quien deba ser informado
al respecto. El consejo y/ o la alta dirección definirán hasta qué punto se autorizará, ani-
mará o limitará a los distintos profesionales y equipos a avanzar en la consecución de
los objetivos o abordar problemas o cuestiones cuando sur¡an.

Las principales funciones y responsabilidades asignadas a todos los niveles de la organi-

zación suelen incluir las siguientes:

• El consejo de administración se mantiene informado y cuestiona de manera objetiva

a la alta dirección en caso necesario para aportar orientaciones con respecto a las
decisiones más significativas.

• La alta dirección, que incluirá al CEO o equivalente, será el último responsable,

frente al consejo de administración y al resto de grupos de interés, en establecer las
instrucciones, orientaciones y control que permitirán a la dirección y al resto del per-
sonal comprender y llevar a cabo sus responsabilidades.

• La dirección, que incluirá puestos de supervisión y de toma de decisiones, ejecutará

las instrucciones proporcionadas por la alta dirección en la organización y en sus
unidades de negocio.

• Se espera que el personal, que incluirá a todos los empleados de la organización,

comprendan las normas de conducta de la organización, sus objetivos según sean
definidos en relación con su área de responsabilidad, los riesgos evaluados de cara
a dichos objetivos, las actividades de control relacionadas en sus respectivos nive-
les de la organización, el flujo de información y comunicación y cualesquiera activi-
dades de supervisión relevantes para la consecución de sus objetivos.

• La dirección y el personal tiene responsabilidad directa sobre los procesos externa-

lizados llevados a cabo por proveedores de servicios externos. Se proporcionará a
los proveedores de servicios externalizados unas condiciones contractuales claras y
concisas en relación con los objetivos y expectativas de conducta y de desempeño
de la organización, sus niveles de competencia técnica y los flujos de información y
comunicación que se espera de ellos. Dichos proveedores podrán ejecutar proce-
sos de negocio en nombre de la orgamzación o en colaboración con ella, pero será
esta última quien siga siendo responsable del control interno.
Harco l • Evaluación de Riesgos • Actividades de Control • lnlormacion yComumcanon • Actividades l1f

demuestren tener las competenc: as ~~ t::r::a' Cí:~;cr.:es

manera sistemática las normas ce COO-~
cedimientos; y para comprencer as :o.""JS.=-- J- • k- -::e es .-..:s;;cs ::u: asumen.

La delegación de autoridad prooc:xt:~X= - ~~tuca=p=-::: ~=en ncrementa la

complejidad de los riesgos a ges-.JOii-· ..2-::..-:: ~~ :re:-..aczy¡ del consejo
de administración, proporcton~ - ::.as; _
ble y qué no lo es, tales CO~'"'O
latorias de la organizaclór"l.

La asignación de autoncac a::x:r..a ~:ras~ ~ ac:..ar según sea ne-

cesario en un puesto deteiT:l·~.acc P="- ;z-- ~ .as mrtaciones de
dicha autoridad, de manera cu::

• Esta delegación salame~~= oa.r::<= -=" _-ar os objetivos

de la organizacion por e:--- - _ -.os oroductos que im-
plique a las functofles ce ~
de ventas).

• No se acepten nesgas ~.ac::oa.ao:s _

• Se segreguen las res~==:~ ~ =- n:s.;r: ::..: :C(j ~t.Jeta irregular a la

hora de lograr los ObJe . os

• Se aprovechen las tecnolog.a.s e: t:x=;"" ::ra ca:=~ - :::...... 1ción y limita-

ción de puestos y responsan: caces :=.;r- u::¡- =e ~= :.~ os orocesos de
negocio (por ejemplo, drfere"'tes - • ::-:::S :E a-n:s: ~ :bs ss3-as =.;:,o a nivel cor-
porativo y de filial ; conceslofl ce ~ or. "e, socios co-
merciales y demás).

• ES ~~- :"".CZ aue lleven a

cabo actividades en nombre de a :::r-:==:c::a:::JO o::c:::r- ::-.cr :, =•-a-.ce de sus dere-
chos en la toma de decisiones
 Componentes del Control Interno

0Ptl1u0-trC1 e rnpromrc;n ron :'J corlr> t n n

~U PI )f 1

1
,., La o rga nización demuestra co m p romiso p ara
atra er, d esar ro llar y ret ener a p rofesiona les competentes en
alineación co n los o bj eti vos de la o rgan izaci ó n.

~ 1 t
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

• - Las políticas y prácticas reflejan las expectativas

y competencias necesarias para respaldar la consecución de los objetivos.

• - El con-
sejo de administración y la dirección evalúan las competencias existentes en la or-
ganización y en los proveedores de servicios externalizados en relación con las
políticas y prácticas establecidas, y actúan según sea necesario para abordar la
falta de competencias identificadas.

• - La organización proporciona mento-

res y formación a sus profesionales para atraer, desarrollar y retener a personal y
proveedores de servicios externalizados competentes y suficientes para respaldar la
consecución de los objetivos.

• - La alta dirección y el consejo de administración

desarrollan planes de contingencia en la asignación de responsabilidades importan-
tes para el control interno.

r'
Las políticas y prácticas son orientaciones y comportamientos a nivel de organización
que reflejan las expectativas y requisitos de los inversores, reguladores y demás grupos
de interés. Constituyen la base sobre la que definir las competencias necesarias dentro
de la organización y proporcionar los fundamentos sobre los que desarrollar procedi-
mientos más detallados para ejecutar y evaluar el desempeño así como para determinar
medidas correctivas en caso de ser necesario. Dichas políticas y prácticas aportan:

• Requisitos y racionalización (por ejemplo, implicaciones de las leyes de seguridad

de productos, de sus reg las, regulaciones y normas aplicables a la organización).

• Habilidades y conductas necesarias para respaldar el control interno en la consecu-

ción de los objetivos de la organización (por ejemplo, conocimiento del funciona-
miento de las plat aformas tecnológicas en las que se basan los procesos de
negocio).
Marco! • Evaluación deRiesgos • ActJV'dades de Control• nlormaoon y Comumcauon • Actividades de Super\'ls11)11

• Definen la responsabilidad por la rendición de cuentas de cara al desempeño de las

principales funciones de negocio (por ejemplo, propietarios/responsables definidos
de la seguridad de los productos y áreas de aplicabilidad dentro de la organización).

• Bases sobre las que evaluar las deficiencias identificadas y definir medidas correcti-
vas en caso necesario (por ejemplo, corregir un proceso o reforzar habilidades de la
dirección o de otros miembros del personal).

• Soportes para reaccionar de manera dinámica ante los cambios (por ejemplo, vin-
culación con procedimientos operativos aplicables para reflejar nuevos requisit os
regulatorios, nuevos riesgos identificados, decisiones internas para modificar los
procesos de negocio).

Las políticas y prácticas permiten que se centre la atención en las competencias a

todos los niveles de la organización, empezando por el consejo de administración en re-
lación con el CEO, el CEO en relación con la alta dirección, y así de manera descendente
hacia los distintos niveles de la dirección. El compromiso resultante con la capacidad de
los profesionales de la organización facilita la medición de la consecución de objetivos a
todos los niveles de la organización y por parte de los proveedores de servicios externa-
lizados, determinando cómo se han llevado a cabo los procesos y qué habilidades y
comportamientos deben aplicarse.

Se entiende por competencia la cualificación para desempeñar las responsabilidades

asignadas. Para ello, se requiere disponer de las habilidades y conocimientos pertinen-
tes, los cuales se obtienen fundamentalmente a través de la experiencia profesional, de
la formación y de las certificaciones. Las competencias se expresan a través de la acti-
tud, el conocimiento y el comportamiento de los profesionales en el desempeño de sus
responsabilidades.

La función de recursos humanos de una organización a menudo puede ayudar a definir

las competencias y los niveles de personal necesarios por puesto de trabajo, facilitando
la formación y manteniendo registros documentales acerca de la realización de los cur-
sos correspondientes y evaluando la relevancia e idoneidad del desarrollo profesional de
los empleados en relación con las necesidades de la organización.

La organización define sus requisitos en materia de competencias según sean necesa-

rios para respaldar la consecución de objetivos, teniendo en cuenta, por ejemplo:

• Los conocimientos, habilidades y experiencias necesarios.

• La naturaleza y el grado de criterio profesional que debe aplicarse así como las limi-
taciones que deben establecerse en la autoridad asignada a un puesto en particular.

• Un análisis coste/beneficio de los diferentes niveles de habilidades y experiencias.

El consejo de administración evalúa las capacidades del CEO y, a su vez. la dirección

evalúa las capacidades existentes en la organización y en los proveedores de servicios
externalizados en relación con las políticas y prácticas establecidas, y actúan según sea
 Componentes del Control Interno

necesario para abordar la falta o exceso de capacidades identificadas. En particular, un

perfil de riesgos en constante cambio puede provocar que la organización destine sus
recursos hacia unas áreas u otras del negocio que requieran una mayor atención. Por
ejemplo, cuando una organización lanza un nuevo producto al mercado, puede optar
por incrementar el número de personal en los equipos de venta y marketing, o cuando
se emitan nuevas regulaciones aplicables, puede que opte por centrarse en determina-
dos profesionales para que sean los responsables de su implementación. La falta de
competencias puede hacer referencia al número de empleados, a sus conocimientos es-
pecializados o una combinación de factores. La dirección será responsable de actuar
para mitigar este tipo de falta de competencias de forma oportuna.

El compromiso con la competencia de sus profesionales se ve respaldada por los pro-

cesos de gestión de recursos humanos, y se incorpora a dichos procesos, para atraer,
desarrollar, evaluar y retener al perfil adecuado de directivos y demás miembros del per-
sonal, así como a proveedores de servicios externalizados. El número adecuado de re-
cursos se determina y se reajusta periódicamente teniendo en cuenta la importancia
relativa de los riesgos a mitigar para respaldar la consecución de los objetivos de la or-
ganización. La dirección, a los diferentes niveles dentro de la organización, establece las
estructuras y procesos para:

• Atraer- Identificar candidatos que demuestren que encajan con la cultura de la or-
ganización, con su modo de actuación, con las necesidades de la organización y
que tengan las competencias requeridas para los puestos propuestos.

• Formar- Permitir que los profesionales desarrollen las competencias pertinentes a

las funciones y responsabilidades que les han sido asignadas, reforzar las normas
de conducta y los niveles esperados de capacidad de cara al desarrollo de determi-
nadas funciones asignadas, adaptar la formación en función de los puestos y las
necesidades, y tener en cuenta un adecuado mix de técnicas de prestación de la
formación, que incluirán formación presencial, autoestudio y formación en el puesto
de trabajo.

• Tutelar- Aporta asesoramiento al profesional sobre su desempeño de cara a las

normas de conducta y competencias que se esperan de su desempeño, alinea las
habilidades y conocimientos especializados del individuo con los objetivos de la or-
ganización y ayuda al personal a adaptarse a un entorno en constante evolución.

• Evaluar- Mide el desempeño de los profesionales en relación con la consecución

de los objetivos y la demostración de la conducta que se espera del profesional ,
contrastándolos con los acuerdos de nivel de servicio y otro tipo de normas con-
tractuales establecidas para la contratación y retribución de proveedores de servi-
cios externalizados.

• Retener- Proporciona incentivos para motivar y reforzar los niveles esperados de

desempeño y de conducta, incluida su formación y la consecución de credenciales
en caso oportuno.
Harcol • Evaluacion de Riesgos • Actividades de Conlrol• lnformacion y Comumcac1on • ActiVIdades de S!;llf(r.._

Mediante este proceso, cualquier comportam1e11to que no sea corerente con las normas
de conducta, las políticas y prácticas, y con las responsab ICiades de control interno
será identificado, evaluado y corregido de manera oportuna o de o contrano será abor-
dado a todos los niveles de la organización. De este modo. la organización es capaz de
abordar activamente las competencias que son necesanas para respaldar la consecu-
ción de los objetivos de las organizaciones sopesando de forma oportuna los costes y
beneficios relacionados.

La dirección identifica y evalúa continuamente aquellos puestos que se consideran

esenciales para lograr los objetivos de la organización. La importancia de cada puesto
se determina evaluando cuál sería el impacto si dicho puesto quedara temporalmente o
permanentemente vacante. Por ejemplo, el CEO y demás miembros de la alta dirección,
los proveedores estratégicos y los principales socios comerciales son funciones que nor-
malmente exigen que se disponga de planes para garantizar que se siguen logrando di-
chos objetivos aún en caso de que dicho puesto específico quede vacante.

La alta dirección y el consejo de administración desarrollan planes de contingencia en la

asignación de responsabilidades importantes para el control interno. En particular, se de-
finirán los planes de sucesión para los principales ejecutivos y los candidatos a la suce-
sión contarán con la formación y el coaching oportuno para asumir el correspondiente
puesto potencial.

De igual manera, se llevarán a cabo planes de sucesión cuando se deleguen funciones

significativas a través de mecanismos contractuales a proveedores de servicios externa-
lizados. Cuando una organización tenga una dependencia considerable de un proveedor
externo y la organización haya evaluado el riesgo del impacto directo que una disfunción
o avería en los procesos y sistemas de dicho proveedor en la capacidad de la organiza-
ción para lograr sus objetivos, será necesario adoptar algún tipo de plan de sucesión.
Las medidas que incluyan la puesta en común de conocimientos y documentación facil i-
tarán la sucesión a nuevo proveedor cuando sea necesario.
 Componentes del Control Interno 1

Aplt a la resr onsabtlldad r or a nd n dP

cuent 3
... --- La o rganización d efin e las respo nsabil idades de
las perso nas a nivel d e contro l intern o p ara la consecución
d e los o bj etivos.

1 t

Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

• Apl i
- La dirección y el consejo de administración estable-
cen mecanismos para favorecer la comunicación y la responsabilidad por la
rendición de cuentas por parte de los profesionales correspondientes con respecto
al desempeño de sus responsabilidades de control interno a todos los niveles de la
organización e implementan medidas correctivas en caso de ser necesario.

• - La dirección y
el consejo de administración establecen parámetros de desempeño, incentivos y
otras recompensas oportunas con respecto a las responsabilidades adoptadas a
todos los niveles de la organización, reflejando las dimensiones adecuadas de
desempeño y las normas de conducta esperadas, y tomando en cuenta la consecu-
ción de los objetivos a corto y largo plazo .

•
- La dirección y el consejo de administración alinean los incentivos y
recompensas con el desempeño de las responsabilidades de control interno de
cara a la consecución de los objetivos.

• - La dirección y el consejo de adminis-

tración evalúan y ajustan las presiones asociadas a la consecución de los objetivos
a medida que asignan responsabilidades, desarrollan parámetros de desempeño y
evalúan el desempeño .

•
- La dirección y el consejo de administración evalúan el
desempeño de las responsabilidades de control interno, incluido el cumplimiento de
las normas de conducta y los niveles de competencias esperados y proporcionan
recompensas o aplican medidas disciplinarias según se requiera.
Marco • Evaluac1on de Rresgos • ActiVIdades de Conuol • lntor11aclór. vComumcaCión • Acllv dad es de Superv1sion
60 • •

El consejo de administración insta al CEO a que asuma la es:x>.~sao 1dad últ1ma de

comprender los riesgos a los que se enfrenta a orgw ::a,c-t<Y.; y j s es·ao ecer los siste-
mas de control interno necesarios para respaldar a cons.:c x. es los OOJetivos de la
organización. El CEO y la alta dirección, a su .. ez soro r:so...-.nsa:: ~ o.: o señar, imple-
mentar, ejecutar y evaluar periódicamente as ~~Jr:::S ~
des necesarias para establecer una adecuaoa resOOflsa:x..:=z: x:K la rendtc•ón de
cuentas de cara al control interno a todos os r e es ~= ~...:a:- ::.a...-.or.. -
La responsabilidad por la rendición de cuentas nace: re·~- ..a a - ·o-a de responsabi-
lidad que ha sido delegada con respecto a oese....... :>=>...f.o ::e: ce.--: -Cf"'o en aras de lo-
grar los objetivos y teniendo en cuenta los rresgos a _ ::- : s.: e 0..::-'ffia a organización.
Puede que se recurra a proveedores de serv•c os e lern.a.. 'Y""c!).~ car2 oesempeñar res-
ponsabilidades junto con la dirección o en represe-:acon Cé ta - ma en cuyo caso la
dirección establecerá los niveles requeridos de aese...... oei'i y '"""
visión, y mantendrá la responsabilidad última sotye -=- ccr:-
porcionará asesoramiento para permitir la cornpre'"'SiOC :r.: ios esg-cs a os que se
enfrenta la organización , para comunicar las expec..a as-: c.or. -:x.a de .as responsa-
bilidades de control interno en aras de soportar a COl"..secuo.::o ::: ~ oo et1vos de la or-
ganización y para que el personal correspondiel"':e asu .......a tas r::so:.r.sab dades
oportunas al respecto.

La asunción de responsabilidad con respecto al cor.~"'O -:me x ::?""' ... estra a través de
cada una de las formas de estructura organ.zac·on.a - --a.•:= ;.e~ - ::.oo;;a" zación. Por
ejemplo, un directivo cuyas responsabilidaaes ~ _ a.; ::. ~.:.>'"'--:r.:c de unas prácti-
:: .:a un1dad o pe-

evaluación de riesgos, actividades de con~ro. oractr-::as .._~ ~..a.::.tOO y comunicación

y actividades de supervisión que cumpran fas :> - :as !:'!": ~ o-:~:,. as leyes y
regulaciones correspondientes.

La responsabilidad por la rendición de cuer~ es-..a t - :::u::e.c::oao: ox : oerazgo, en

la medida en que. el "Tone at the top" cortr'ou e~ .;z.::.=:ar o:.:E-= 3 300'1Sabilida-

y reforzar la responsabilidad por la rendic1on ae co ~ -

propósito común mediante:

• La claridad de las expectativas de la ana c-:-::.a: ~-=o: a..~ n1stración,

abordando cuestiones como la integnoaa ::: =.;e;;;, lbs o::r"~ o= --?"es. las ac-
tividades ilegales o irregulares y mecan s~os :;a::a ~- _
cía desleal (por ejemplo, un código de CO"C..r..:. s.:
todos los empleados y proveedores de se~ ::v.::s :

• La dirección proporciona asesoramiento a ·.ra r:s oe s:.:- s... r....o de ac-

tuación, y dicho asesoramiento y orientac10n s: ~:-:--=es : s.: ~entali-
dad, formal idad, persistencia y demás ac.-:uc:-s (1: la o::r: :so~o al
 Componentes del Control Interno 1

control interno (por ejemplo, una organización que haya tenido éxito a la hora de
asumir determinados riesgos significativos puede tener una perspectiva diferente
sobre el control interno que otra organización que haya tenido que hacer frente a di-
ficultades económicas o regulatorias como resultado de la asunción de áreas de
elevado riesgo).

• El flujo de control y de información (por ejemplo, comunicando cómo se adoptan las

decisiones y solicitando y proporcionando feedback de 360° con respecto al
desempeño conseguido).

• Los canales de comunicación ascendente y de otro tipo para empleados y provee-

dores de servicios externalizados que les permita sentirse cómodos a la hora de co-
municar infracciones de las normas éticas (por ejemplo, a través de canales de
comunicación anónimos o confidenciales).

• El compromiso de los empleados con la consecución de los objetivos colectivos

(por ejemplo, a través de la alineación del desempeño y los objetivos individuales
con los objetivos de la organización).

• La respuesta de la dirección ante desviaciones de las normas y comportamientos

esperados (por ejemplo, las notificaciones, despidos y/ o demás medidas correcti-
vas que se derivan del incumplimiento de las normas de la organización, de la eva-
luación del desempeño y de las estructuras de recompensa son, proporcionales a la
consecución de los objetivos de la organización).

La responsabilidad por la rendición de cuentas viene motivada por el "Tone at the top" y
se ve respaldada por el compromiso hacia la integridad y los valores éticos, las compe-
tencias, estructuras, procesos y tecnologías, que colectivamente influyen en la cultura
de control de la organización. Se adoptan medidas correctivas cuando es necesario para
restablecer la responsabilidad por la rendición de cuentas de cara al control interno.

El desempeño se ven influenciado en gran medida por el grado en el que los profesiona-
les asumen sus responsabilidades y cómo se ven recompensados al respecto.

La dirección y el consejo de administración establecen parámetros de desempeño, in-

centivos y otras recompensas oportunas con respecto a las responsabilidades adopta-
das a todos los niveles de la organización, teniendo en cuenta la consecución de los
objetivos a corto y largo plazo. Al tener en cuenta que, el hecho de recompensar resulta-
dos futuros en el presente puede derivar en consecuencias no previstas, la organización
deberá establecer una combinación de parámetros de desempeño cuantitativos y cuali-
tativos, que deberán ser equilibrados para recompensar los éxitos y aplicar medidas dis-
ciplinarias en los comportamientos indebidos según sea necesario y en línea con los
objetivos establecidos. Considérese el ejemplo de una compañía que esté tratando de
conseguir una mayor fidelización de sus clientes mediante productos de calidad. Para
ello, puede involucrar a su plantilla para que reduzcan las ratios de defectos de produc-
ción y alinear sus parámetros de desempeño, incentivos y recompensas con los objeti-
D ,., ., • Evaluación de Rresgos • Actividades de Control • lnformacion y Comunrcacion • Aclrvidades de Supervrsron

vos de producción de su unidad operativa y con las expectativas de cumplir con las nor-
mas de calidad y de seguridad de los productos, con las leyes de segundad en el tra-
bajo, con los programas de fidel ización de clientes y mediante una precisa comunicación
de revisión de productos defectuosos.

Los parámetros de desempeño, incentivos y recompensas respaldarán un sistema efec-

tivo de control interno en la medida en que se adapten a os ob¡etJVos de la organización
y evolucionen de forman dinámica con sus necesidades. La tabla srgUiente ilustra los
principales parámetros de desempeño y algunas consideracrones que se deben tener en
cuenta a la hora de motivar, medir y recompensar un alto desemoeño.

Parámetros de éxito Consideraciones

Objetivos claros • Tener en cuenta todos lOS n .e es o e oersonal a la hora de

respaldar los objetivos o e a orgar z.ac on.

• Tener en c uenta las mu't pes o '"1e<'ls:ones de la conducta es-

perada y del desempeño o e a eygar .:acron. de los proveedo-
res de servicios extemaJrzaaos , ae los sacros comerciales
(por ejemplo, mediante COf':Fcr.os ce~ .e de servrcio) y definir
objetivos e incentrvos ~ preso"es -e',acronados.

Implicaciones definidas • Comunicar/reforzar los oo¡e:. .os :::~ a cxga.'1rzacron y cómo se

espera que cada área ~ r .e ce ,a o-:...a~z.acon respalde la
consecución de los ob¡e, os

• Identificar y analizar eventos o..¿: ~haya recompen-

sado en el pasado y aque lOS a ...e e ~ haya penalizado.

• Comunicar consecuencras JXlS as) ~~.as) de no con-

seguir o de conseguir en parte e-- s..l ~;:-::: c.ad ros objetivos
específicos de la orgamzacion

Parámetros significativos • Definir parámetros que ~a'lS'or.7.~ ::.a:::::s ::: soares en infor-
mación signrfrcatrva sot>rE e c=:s=-::.=;.:;

• Medir valores esperaoos ~....r :: ~=r=: :.a.es en el ámbito

del impacto de las oes .c;co-,;:s ¡a-- :DS- as como negati-
vas.

• Evaluar el impac;.o esoer..cc ::.= .JS ::lG'=:NOS ce a organiza-

ción.

Ajustes a cambios • Ajustar los param.:~ ;:¿ ::.~ :a: :g~ andad en base
a una evaluacror s:~::--m ~ ~ ICs <Tlpactos po-
tenciales de resgcs a -.ec......a ¡x;.: ? _ :.rx.r.a: con el paso del
tiempo, así como a~= :a"o =-= --=sgcs asociados.
n

Los incentivos aportan motivación a la direccion a. :s-:: :.: ::,=-;:.:¡¡;-- ::;a:a que su de-
sempeño sea el adecuado. Es habitual el uso de os a_--'~ :;¿ ~~ :l a consecu-
ción de bonus o primas, pero también pueden tr.: ;2'EJS: =~ =~:.: ::o-no la
asignación de mayores responsabilidades, mayor • s: :.a:: :-=n::c - =--•o y otras for-

fi7 11 Control interno - Marco lnteQrado • Mavo2013

 Componentes del Control interno

mas de recompensa no monetarias. La dirección aplica de manera coherente y revisa

con regularidad las estructuras de recompensa y la medición de resultados de la organi-
zación para asegurarse de que no motiva el desarrollo de conductas inapropiadas (por
ejemplo, la falta de equtlibrio entre los objetivos de ventas y otros objetivos clave para la
viabilidad del negocio puede generar conductas que no estén alineadas con las normas
previstas). De igual manera, las estructuras de retribución y recompensa, incluidas las
estructuras de contratación y promoción, incorporan la revisión de las conductas históri-
cas frente a las expectativas de comportamiento ético. Los profesionales que no cum -
plan las normas de conducta de la organización serán sancionados y no se les
ascenderá ni recompensará de ningún otro modo.

Con independencia de la forma en que se lleven a cabo, los incentivos motivan los com-
portamientos. Una organización que limite su atención únicamente a incrementar los be-
neficios es más probable que experimente comportamientos no deseados, tales como la
manipulación de los estados financieros o los registros contables, prácticas comerciales
basadas en la alta presión ejercida, negociaciones dirigidas a incrementar las ventas o
beneficios trimestrales a cualquier precio o mediante ofertas implícitas de sobornos.

La dirección y el consejo de administración evalúan con regularidad el desempeño de

los profesionales y de sus equipos en relación con los parámetros de desempeño defini-
dos, que incluyen factores del desempeño del negocio así como el cumplimiento y so-
porte de las normas de conducta y de las competencias demostradas.

Los parámetros de desempeño se revisan periódicamente para garantizar que son siem-
pre relevantes y adecuados con relación a los incentivos y recompensas. En caso nece-
sario, los factores internos o externos se vuelven a alinear con los objetivos y demás
expectativas de la dirección, del personal y de los proveedores externos.

La dirección y el consejo de administración establecen objetivos y metas con respecto a

la consecución de los objetivos que, por su propia naturaleza, generan presiones dentro
de la organización. Las presiones también se pueden derivar de las variaciones cíclicas
de determinadas actividades, que las organizaciones tienen capacidad de influir me-
diante la redistribución de las cargas de trabajo o incrementando los niveles de recur-
sos, según se considere oportuno, para reducir el riesgo de que los empleados "sigan
atajos" en aquellos casos en los que, de hacerlo, podria ser muy desfavorable para la
consecución de los objetivos.

Estas presiones, que también se ven afectadas por el entorno interno y externo, pueden
motivar positivamente a profesionales específicos para que satisfagan sus expectativas
de conducta y desempeño, tanto a corto plazo como a largo. Sin embargo, si se ejercen
presiones indebidas, esto puede provocar que los empleados tengan miedo a las conse-
cuencias de no lograr los objetivos y procesos relacionados o para participar en activi-
dades fraudulentas y de corrupción.

Las presiones excesivas se suelen asociar comúnmente a:

• Objetivos de desempeño poco realistas, en especial en base a los resultados a

corto plazo.
Marco! • Evaluacion de Rie~go~ • ActiVIdades de Control • lnlormanon vComunrcaCIOO • Actrv1dades de Superv1s1oo

• Los conflictos de objetivos de los diferentes grupos de n·eres.

• El desequilibrio entre recompensas con respecto al desempeflo ' rnanciero a corto

plazo y aquellas recompensas que se centren en los derT'as grupos de interés, tales
como los objetivos de sostenibilidad.

Por ejemplo, la presión para generar unos niveles de ventas que no sean proporcionales
a las oportunidades de mercado pueden derivar en que los responsables comerciales se
vean obligados a falsificar los números o participar en casos de soborno y otros actos ilí-
citos. Las presiones para demostrar la rentabilidad de las inversrones realizadas pueden
hacer que los traders asuman riesgos ajenos a la estrategta para cubrir las pérdidas in-
curridas. De igual modo, las presiones para lanzar un producto al mercado a gran veloci-
dad y generar ingresos con rapidez puede hacer que el personal opte por tomar "atajos"
en materia de desarrollo de productos o comprobactón de las medidas de seguridad, lo
cual puede resultar perjudicial para los consumidores o derivar en una deficiente acepta-
ción por parte del público y una reputación menor.

Para alinear los objetivos de los profesionales y los de la unidad de negocio con res-
pecto a los de la organización, la organización debe tener en cuenta cómo se asumen
los riesgos y cómo se gestionan en base a la retribución y demás recompensas. Por
ejemplo, a medida que los traders asumen riesgos en nombre de sus clientes y organiza-
ciones, dichos profesionales deben ser conscientes de que su retribución, progresión y
posicionamiento puede ser impulsada, reducida o perdida en función de los resultados
obtenidos. Las estructuras de incentivos que no sirven para tener en cuenta de forma
adecuada los riesgos asociados al modelo de negocio pueden ocasionar comportamien-
tos inapropiados.

Otros cambios en el negocio, tales como cambios en la estrategia, en el diseño de la or-

ganización, y en actividades de adquisición/ desinversión, también generan presiones. La
dirección y el consejo deben comprender dichas presiones y equilibrarlas mediante
mensajes apropiados e incentivos y recompensas. La dirección y el consejo fijan y ajus-
tan, según estimen oportuno, las presiones sobre los incentivos y recompensas cuando
asignan responsabilidades, diseñan parámetros de desempeño y evalúan el desempeño.
Es responsabilidad de la dirección guiar a aquellas personas en quienes hayan delegado
autoridad para adoptar las decisiones apropiadas en el curso ordinario del negocio. Por
ejemplo, las organizaciones a menudo consideran el desempeño financiero , el desarrollo
de competencias y la oportunidad y exactitud de los reportes para los grupos de inte-
rés, como los objetivos más críticos para la viabilidad de su negocio. De igual manera,
se espera que la dirección, otros miembros de personal y los proveedores de servicios
externalizados y socios comerciales sigan perseverando en todo momento en lo relativo
a la entrega de productos o servicios de calidad, seguridad en el cumplimiento de las
funciones por parte del personal, y otros factores que podrían crear un peligro o daño
moral a la reputación de la organización.

De la misma manera que los objetivos de desempeño se definen de manera descen-

dente desde el consejo de administración hacia el CEO, la alta dirección y el resto del
personal, la evaluación del desempeño frente a dichos objetivos se lleva a cabo también

Controllnlerno- Marco lntecnado • Havo 2013

 Componentes del Control Interno 1

de manera descendente en cada uno de estos niveles. El consejo de administración eva-

lúa el desempeño del CEO, que a su vez evalúa al equipo de la alta dirección, y así suce-
sivamente. En cada nivel, se evalúa el cumplimiento de las normas de conducta y las
competencias esperadas, al tiempo que se asignan las correspondientes recompensas o
medidas disciplinarias en caso de ser necesario. Las recompensas pueden efectuarse
en forma de gratificación económica, concesión de acciones, reconocimiento, creci-
miento o ascenso en la jerarquía dentro de la organización. Los resultados de estas eva-
luaciones se comunican y se actúa en base a ellas asignando las correspondientes
recompensas o sanciones según lo aplicable para influir en el comportamiento deseado.

Las políticas y prácticas de compensación se basan en la filosofía de retribución de la

organización, que tendrán en cuenta el posicionamiento competitivo que trata de conse-
guir (los métodos y niveles de incentivo y retribución para atraer a los profesionales de
mayor talento deberán ser superiores a los ofrecidos por compañías homólogas en el
sector). La retribución y demás modalidades de compensación se conceden en base a la
evaluación del desempeño, las capacidades y la adquisición de habilidades así como de
acuerdo con la información de precios disponible en el mercado, con el objetivo de rete-
ner a los profesionales de mejor desempeño y fomentar que los profesionales de desem-
peño más bajo dejen de serlo. Recursos humanos gestiona el proceso de obtención,
procesamiento y comunicación de la información relevante a los niveles oportunos de la
dirección y del resto del personal.

El desempeño se medirá en relación con la consecución de los objetivos y la capacidad

para llevar a cabo una adecuada gestión dentro de los niveles de tolerancia al riesgo
tanto a corto como a largo plazo. En este sentido, se consideran tanto los riesgos histó-
ricos (retrospectivos) como los riesgos a futuro (prospectivos).
 6. Evaluación de Riesgos

Resumen del capítulo

Cada organización se enfronta a una gama diferente de riesgos procedentes
de fuentes externas e internas. El riesgo se define como la posibilidad de que
un evento ocurra y afecte negativamente a la consecución de los objetivos.
La evaluación de riesgos implica un proceso dinámico e iterativo para identi-
ficar y evaluar los riesgos de cara a la consecución de los objetivos. Dichos
riesgos para la consecución de los objetivos a todos los niveles de la organi-
zación se tienen en cuenta con relación a unos niveles preestablecidos de to-
lerancia al riesgo. De este modo, la evaluación de riesgos constituye la base
para determinar cómo se gestionarán dichos riesgos . Una condición previa o
la evaluación de riesgos es el establecimiento de objetivos asociados a los di-
ferentes niveles de la organización. La dirección especifica estos objetivos de
acuerdo con las categorías de objetivos operacionales, de información y de
cumplimiento, con suficiente claridad para permitir la identificación y evalua-
ción de los riesgos para dichos objetivos. La dirección también considera la
idoneidad de los objetivos para la organización. La evaluación de riesgos tam-
bién requiere que la dirección tome en cuenta el irnpacto que puedan tener
posibles cambios en el entorno externo y dentro de su propio modelo de ne-
gocio, y que puedan provocar que el control interno resulte inefectivo.

Principios relativos al componente de la Evaluación de Riesgos:

6. -~~-.?.~g~~.~~~g_(~~ ..9.~.~.i.~~.~.. !.?.~..?.~i~.~!Y~~ ..~.r?.r:.. ~~~~~~~~~~~...'?.!.~~!.~.~.~ ..P..~.~.~.. P~~~.~!.~~

.~.~-.~~-~-~.~!.~!~~~!.~.':.. Y.. ..~.~~~.~~~!.~.':.. ~.~..~?..~ ..~!.~.~9?..?...~.~·'·~g~?.~.~~~?..~:.
7. .~.~..?.~9.~~~~·~·~·i·~~ ..i.9.~!~~!f.~~~...I.C?.~.. :.~~~9?.~.P.~.'.~~..~~.E~.r~~.~.~.~!.'?..i.~~...~.~.. ~~~
?..~i~~.i.Y.C?.?...~~ ..~?..~.C?.?... ~?..?...~.~~.~.~~-~..~~..~~.?.E~~.~.i.~~?.i.~.~..Y..'.?.?...~~~~!.~~.~?..~?...~~~~
~~.~.~~ ..~~ ..~.~.~.1.. 9.~~~:.~.i.!~~.~.. ?.?!.~?. ..?.~..~.!~~?~.~..9~~!.i.?.~~~·.

8. .~.~..?.~.$J.~.~.~~·~·~·i·~~...~?..~.?..i.~.~.~?... ~~..P.~?.~~~!.1.~~.!~9..9.~. fr.~~~~. ~.'...~.'!~1.~!~!...'.~~

~!~~~~~..P~:.?;.!.?...~5?.~~~~.~.~.~~Q ..~~ ..'.?.~..?.~J.~.~.i.Y.?..S.:.
9. 0~0?...~~$J•~o~o~~•~•~•i•~~•i•c:l~~~.if.igo~..Y.. ..~.'!.~~9.~.,!?.~.~~!.!.1.~!?..?...9~J~o.P..?.~!.~~•~Oo?:!~~~?:~
~!9..~.i.t.ig_~.~!.'!.~~.~.~.t.~..~' ..?.i.?~~~.?...~.~..~.?.~~.~?..'..!.~.~~:.!:~:.
Marco 1Entorno de Control • Eva UlClon de RJtsgos • Actrvrdades ce Control • lnformaclon yComunrcacton • ActfV!dades de SuP1!rWiSJon

Introducción
Todas las organizaciones, con inde-
pendencia de su tamaño, estructura,
naturaleza o sector en el que operen,
Entorno de Control
se enfrentan a riesgos a todos los ni-
veles. El riesgo se define en el Marco
como la posibilidad de que un evento
ocurra y afecte negativamente a la
consecución de los objetivos.

El uso del término "negativamente" en

esta definición no ignora el hecho de
que puedan producirse variaciones
positivas en relación con un evento o
una serie de eventos. Las grandes va-
riaciones positivas también pueden generar impactos adversos e'"' determinados objeti-
vos. Por ejemplo, téngase en cuenta el caso de una Cor'pañ·a q ....e orevea vender 1.000
unidades de un producto y fije un calendario de producciÓn ce::r?"""' 01ado para lograr
esta demanda prevista. La dirección tiene en cuenta a oos ::>túdao oe que los pedidos
reales puedan superar esta previsión. Si se produce un o'u'7'er. rea de pedidos de
1.500 unidades, puede que esto no afecte a los ob1et. os a e ve" :as pero podría afectar
negativamente a los costes de producción (mediante as 'lOraS e:t:ras que serían necesa-
rias para satisfacer este incremento de la demanda o es o!Jie:, os de satisfacción del
cliente (mediante el aumento de los productos no drsoon bes t:"' s-;.ock y los tiempos de
espera). En consecuencia, la venta de un mayor numero oe ... n caoes de lo previsto
puede afectar negativamente a una serie de objetivos d ist '"'tos a os objet ivos de ventas.

Como parte del proceso de identificación y evaluacton de 'lesgo5, una organización tam-
bién podrá identificar oportunidades, como pueda ser la posrb oad de que un evento se
produzca y afecte positivamente a la consecución de los ob]etrvos. Estas oportunidades
son importantes para determinar y comunicar los procesos de fiJaCtón de objetivos. Por
ejemplo, en el caso anterior, la dirección canalizaría las oportumdades de nuevas ventas
en los procesos de fijación de objetivos. Sin embargo, identificar y evaluar oportunida-
des potenciales, tales como nuevas oportunidades de ventas. no es parte del control in-
terno.

El riesgo afecta a la capacidad de una organización para tener éxito, competir dentro de
su sector, mantener su solidez financiera y una reputación positiva, y mantener la calidad
general de sus productos, servicios y profesionales. En la práctica, resulta imposible re-
ducir el riesgo a un nivel de cero. De hecho, la mera decisión de participar en un negocio
ya conlleva un riesgo. La dirección debe determinar cuánto riesgo debe aceptar, esfor-
zarse por mantener el riesgo dentro de ese nivel y comprender cuánta tolerancia al
riesgo tiene para superar sus niveles objetivo de riesgos.

El riesgo a menudo se incrementa cuando los objetivos difieren del desempeño histórico
y cuando la dirección implementa cambios. De igual manera, una organización no suele
fijar objetivos explícitos cuando considera que su desempeño es aceptable. Por ejemplo ,
puede que una organización considere que su servicio al cliente ha sido históricamente
 Componente1 del Controllnterqo Evaluac on de Rresgo1

aceptable y por tanto no necesite hacer cambios para mantener los niveles actuales de
servicio. Sin embargo, como parte del proceso de evaluación de riesgos, la organización
deberá disponer de un entendimiento común de los objetivos a nivel de organización re-
levantes para las operaciones, para la información y para el cumplimiento, y cómo estos
objetivos se despliegan a todos los niveles de la organización.

Tolerancia a1 r esgo
La tolerancia al riesgo es el nivel aceptable de variación del desempeño en relación con
la consecución de los objetivos. El hecho de operar dentro de un rango de tolerancia al
riesgo proporciona a la dirección una mayor confianza de que la organización logrará sus
objetivos. La tolerancia al riesgo se puede expresar de muy diversas maneras adaptán-
dose a cada categoría de objetivos. Por ejemplo, a la hora de considerar la información
financiera, la tolerancia al riesgo suele expresarse en términos de materialidad 10 , mien-
tras que en áreas como el cumplimiento y las operaciones, la tolerancia al riesgo a me-
nudo se expresa en términos de nivel aceptable de variación del desempeño.

Normalmente, la tolerancia al riesgo se determina como parte del proceso de fijación de

objetivos y, al igual que sucede con la fijación de objetivos, la fijación de niveles de tole-
rancia es una condición previa para determinar las respuestas a los riesgos y las activi -
dades de control relacionadas. La dirección puede ejercer una discreción significativa a
la hora de fijar la tolerancia al riesgo y de gestionar los riesgos cuando no existan requ i-
sitos externos. Sin embargo, cuando sí que existen requisitos externos, tales como obli-
gaciones relacionadas con los objetivos de cumplimiento y de información externa, la
dirección tendrá en cuenta la tolerancia al riesgo en el contexto de las leyes, reglas, re-
gulaciones y normas externas establecidas.

De igual manera, la alta dirección tendrá en cuenta la importancia relativa de los distintos
objetivos y prioridades (algunos de los cuales podrían ser incluso contradictorios o ex-
cluyentes) a la hora de tratar de lograr dichos objetivos. Por ejemplo, puede que el COO
(director de operaciones) considere que los objetivos operacionales requieren un mayor
nivel de precisión que las consideraciones de materialidad de los objetivos de informa-
ción, y al contrario le sucederá al CFO (director financiero). No obstante, resultaría pro-
blemático que las organizaciones que cotizan en el mercado de valores realizaran un
excesivo énfasis en los objetivos operacionales hasta tal punto que afectarán negativa-
mente a la confiabilidad de la información financiera. Estos aspectos deberán ser teni -
dos en cuenta en el marco del proceso de planificación estratégica y de fijación de
objetivos, y las tolerancias deberán ser fijadas en consecuencia. Este tipo de decisiones
también podrá afectar a nivel de recursos asignados para la consecución de los respec-
tivos objetivos.

Los parámetros de desempeño se utilizan para ayudar a una organización a operar den-
tro de una tolerancia de riesgo establecida. La mejor manera de medir la tolerancia al

10. Los reguladores y otros organismos emrsores de estándares definen el térmrno "matenalidad". La direc-
ción desarrolla un entendrmiento de esa matenalidad según se define este concepto en leyes. reglas y
normas a la hora de aplicar el Marco en el contexto de dichas leyes. reglas y normas.

Controllnlerno- Marco Integrado • Mayo 2013 69

Marco 1Entorno de Control • Evaluaoon de RttSQOS • ActiVIdades de Control • lnlormaCion v Comunrcanon • ActiVIdades de~

riesgo a menudo es la misma unidad que los oo·e~ es r=:aaona:::.::s =>or ejemplo, una
organización:

• Puede proponerse como objetivo consegu r er-:-e;-ar s..;::, OI!'OC:x:<os a trempo en un

98% de casos, siendo un rango de entre e g- ~ =· ::;: -
-a.-,go de variación
w

aceptable.

• Puede fijarse como objetivo que el 90% de aaue :--s prc;~.aes que asistan a
cursos de formación aprueben los exámertes ~:: ~· :s. s bren puede acep-
tar que tan sólo un 75% lo haga.

• Puede prever que los miembros de su perso<1a -esoonca.n a ~ocas las reclamacio-
nes de los clientes en un plazo de 24 horas. oero ~ ::ceo~ Que hasta un 10%
de las reclamaciones puedan recibir una resp¡..esta e"' $o ola.::o de 36 horas.

11111 r~••ollntornn - M>rrn lntonr>rln • M>un 7011

 Componentes del Control interno Evaluaclon de Rragcs

Especifica objetivos adecuados

P incipio 6 La organización define los objetivos con

suficiente claridad para permitir la identificación y

1 evaluación de los riesgos relacionados .

..........................................................................................................................................................................................

Puntos de mterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a los objetivos operacionales, de información y de cumplimiento:

Objettvos Operac/OnZlles

• Reflt:j. 1 la5 e s es \JI.. 1<:. rt -e.,c o - Los objetivos operacionales reflejan las
u

opciones efectuadas por la dirección en relación con la estructura, consideraciones

sect oriales y el desempeño de la organización.

• C l..<s t<..le ar k" r _"' JL - La dirección tiene en cuent a los niveles

aceptables de variación en relación con la consecución de los objetivos operaciona-
les.

• 1 ·r de >e::.~ r ... ( f ~ e "rC { ~ rL ·aC..Il- e -La organización re-

Iet.:.
fleja el nivel deseado de desempeño financiero y de operaciones para la organiza-
ción dentro de los objetivos operacionales.

• orn L ,, r 6 " ii.. n 1 r ~ l " - La dirección utiliza los ob-

jetivos operacionales como base sobre la que asignar los recursos necesarios para
lograr el desempeño financiero y operacional deseado.

Ob}ettvos de Información t=manctera Externa

• íu , ¡.¡., lé:.s r ~ r· •.t.. e~ tao~:::. .1p Ce bl s -Los objetivos de información finan-

ciera son coherentes con principios contables que sean adecuados y estén a dispo-
sición de la organización. Los principios contables seleccionados son adecuados
para las circunstancias.

• "01 ,.. .J -La dirección tiene en cuenta la materialidad en la pre-

sentación de los estados financieros.

• 1 La información externa refleja las trans-

J -

acciones y eventos correspondientes para mostrar las característi cas cualitativas y

las afirmaciones contables realizadas.
Mdrco Entorno de Control • Ev1 ro• d~ Resgos • Actrvrdades de Control • lnlormaoon yComunrcaCion • Actrvrdddes de SupemSJon
. .. .. ......... .

N.) f=m mc.tera bdf'r

• -La dirección establece

objetivos coherentes con las leyes y regulaciones, o normas y marcos de organiza-
ciones externas reconocidas.

• -
La dirección refleja el nivel requerido
de precisión y exactitud adecuado para las necesidades de los usuarios y de
acuerdo con los criterios establecidos por terceras partes en la información no fi-
nanciera.

• - La información externa refleja las

transacciones y eventos correspondientes dentro de un rango de límites
aceptables.

Ob1 t1~ o de a In .:>rr1ac vn lnt rn i

• - La información interna proporciona a la di-

rección información completa y precisa con relación a las opciones elegidas por la
dirección y la información necesaria en la gestión de la organización.

• - La dirección refleja el nivel requerido

de precisión y exactitud adecuado para las necesidades de los usuarios en los obje-
tivos de información no financiera, y la materialidad dentro de los objetivos de infor-
mación financiera.

• - La información interna refleja las

transacciones y eventos correspondientes dentro de una rango de límites acepta-
bles.

Ob;f'tlV S .."'/(' e mpl/1171

• - Las leyes y regulaciones establecen

normas mínimas de conducta que la organización integra en sus objetivos de cum-
plimiento.

• - La dirección tiene en cuenta los niveles

aceptables de variación en relación con la consecución de los objetivos de cumpli-
miento.

Una condición previa a la evaluación de riesgos es el establecimiento de objetivos aso-

ciados a los diferentes niveles de la organización. Estos objetivos se alinean con la orga-
nización y respaldan a la misma en sus esfuerzos por llevar a cabo la dirección
estratégica de la misma. Si bien la fijación de los objetivos y la estrategia no forman
parte del proceso de control interno, los objetivos forman la base sobre la que se imple-
mentan y se llevan a cabo los enfoques de evaluación de riesgos y sobre las que se es-
tablecen posteriores actividades de control. Como parte del control interno, la dirección
 Componentes del Control Interno 1Eva •ac on de Resgos

especifica los objetivos y los agrupa dentro de amplias categorías a todos los niveles de
la organización, en relación con las operaciones, la información y el cumplimiento. La
agrupación de objetivos dentro de estas categorías permite identificar y evaluar los ries-
gos que pueden afectar la consecución de dichos objetivos.

A la hora de confirmar la idoneidad de los objetivos, la dirección puede considerar as-

pectos tales como los siguientes:

• Alineación de los objetivos establecidos con las prioridades estratégicas.

• Articulación de las tolerancias al riesgo por cada uno de los objetivos.

• Alineación entre objetivos establecidos y leyes, reglas, regulaciones y normas esta-

blecidas aplicables a la organización.

• Articulación de unos objetivos que sean específicos, medibles u observables, alcan-

zables, pertinentes y limitados en el tiempo.

• El despliegue descendente de los objetivos a todos los niveles de la organización y

de sus unidades de negocio.

• La alineación de los objetivos a otras circunstancias que requieran una atención es-
pecífica por parte de la organización.

• La confirmación de los objetivos adecuados dentro del proceso de fijación de obje-

tivos antes de que dichos objetivos sean utilizados como la base sobre la que llevar
a cabo las evaluaciones de riesgos.

Cuando los objetivos de estas categorías no estén claros, cuando no esté claro en qué
medida estos objetivos respaldan la dirección estratégica, cuando existan dudas o preo-
cupaciones de que los objetivos puedan no ser adecuados en base a las circunstancias,
a los hechos y a las leyes, reglas, regulaciones y normas establecidas aplicables a la or-
ganización, o cuando la organización tenga que basar su evaluación de riesgos en una
serie de objetivos comprendidos pero no autorizados, la dirección comunicará esta pre-
ocupación para que se incorpore al proceso de establecimiento de la estrategia y de fija-
ción de objetivos.

ObJ t1vos Operac o•1a1es

Los objetivos operacionales reflejan las opciones elegidas por la dirección dentro del en-
torno específico de negocio, sectorial y económico en el que opera la organización. Por
ejemplo, una agencia pública municipal puede que cuente con varios objetivos operacio-
nales, cada uno de los cuales respaldado por una serie de iniciativas y criterios. Entre
sus objetivos se encuentran por ejemplo:

• Implementar cinco actividades de participación de la ciudadanía en la reducción del

efecto invernadero en los próximos 12 meses.
Marco' Entorno d@ Control • Evatuatlon de Resgos • Act1v1dades de Control • tnformacion vComumcacKJn • ActiVIdad@! de Supervis1on

• Incrementar el uso del cinturón de seguridad en un 30%, reduc r la velocidad en un

10% en general, un 20% en las zonas escolares, y reduc1r e1 nuiT'ero de cruces en
un 25%.

• Implementar tarifas específicas sobre el consumo de agua en base a los patrones

de consumo urbano e industrial en un plazo de cinco años.

Una organización con ánimo de lucro puede establecer objetivos operacionales que se
centren en el uso eficiente de recursos. Por ejemplo, una gran cadena comercial puede
tener entre sus objetivos:

• Proporcionar a sus clientes una amplia gama de productos a precios sistemática-

mente inferiores a los de sus competidores.

• Incrementar la tasa de rotación de existencias hasta 12 veces al año en los próxi-

mos dos trimestres.

• Reducir sus emisiones de C02 en un 5% y reducir/reciclar el material de envasado

en un 10% durante el próximo año.

Como parte de los objetivos operacionales, la dirección también específica un rango de

tolerancia al riesgo durante el proceso de fijación de objetivos. En el caso de los objeti-
vos operacionales, la tolerancia al riesgo puede estar expresada como referencia a los
niveles aceptables de variación en relación con la consecución del objetivo.

Met s v recursos

Un conjunto claro de objetivos operacionales proporciona un claro punto de atención

sobre el que la organización comprometerá los recursos significativos necesarios para
conseguir las metas de desempeño deseadas. Entre dichas metas se incluyen objetivos
relativos al desempeño financiero, que serán aplicables a todos los tipos de organiza-
ciones . Una organización con ánimo de lucro puede centrarse en los ingresos, rentabili-
dad, liquidez o cualquier otro parámetro, mientras que una organización sin ánimo de
lucro o una agencia pública puede que haga un menor énfasis general en los parámetros
financieros, pero seguirá esforzándose por alcanzar metas en cuestión de ingresos, liqui-
dez y gasto. Si los objetivos operacionales de una organización no están bien concebi-
dos o claramente especificados. sus recursos podrían ser utilizados de manera
deficiente.

Qb, t1vos d nf rmac Of7

Los objetivos de información hacen referencia a la preparación de informes que abar-

quen aspectos de confiabilidad, oportunidad, transparencia u otros conceptos estableci-
dos por los reguladores, organismos de normalización reconocidos o políticas de la
organización. Esta categoría incluye la información financiera externa, la información no
financiera externa, la información financiera interna y la información no financiera interna.
Los objetivos de información externa están motivados fundamentalmente por las leyes,
regulaciones y las normas establecidas por los gobiernos, reguladores, organismos de
normalización y órganos contables. Los objetivos de información interna están motiva-
 Componentes del Control interno Eval aoon de Re~os

dos por las instrucciones estratégicas de la organización y por los requisitos y expectati-
vas de información establecidos por la dirección y el consejo de administración.

ObJet•vos de lnformac1on f-lnanctera Extern:1

Cufr!p con la Normas Co t )b/cs

Las organizaciones deben lograr los objetivos de información financiera para satisfacer
las obligaciones externas. La información financiera y los estados financieros publicados
son necesarios para acceder a los mercados de capital y pueden resultar críticos a la
hora de optar a la concesión de determinados contratos o al negociar con proveedores.
Los inversores, analistas y acreedores pueden utilizar los estados financieros y otro tipo
de información financiera para evaluar el desempeño de la organización y para compa-
rarlos con sus homólogos y con otras alternativas de inversión.

Los objetivos de información financiera son coherentes con los principios contables ade-
cuados y disponibles para la organización y apropiados a las circunstancias. Los objeti-
vos de información financiera externa abordan en la preparación de los estados
financieros a efectos externos, incluidos los estados financieros publicados, otros esta-
dos e informes financieros, y otras formas de información financiera externa derivadas
de los registros y libros financieros y de contabilidad de gestión de la organización.

• Los estados financieros para propósitos externos se preparan de acuerdo con las
normas, reglas y regulaciones contables aplicables. Estos estados financieros pue-
den incluir los estados financieros intermedios y anuales, los estados financieros
consolidados y la información financiera específica que se derive de dichos esta-
dos. Estos estados, por ejemplo, puede que se presenten públicamente ante un re-
gulador, se distribuyan en las asambleas anuales, se publiquen en el sitio web de la
organización o se distribuyan a través de medios electrónicos.

• Otros estados e informes financieros puede que se preparen de acuerdo con otras
bases contables y estén fundamentalmente motivados por las autoridades fiscales,
las agencias públicas o por otros requisitos contractuales. Los informes y estados
financieros puede que sean distribuidos a usuarios externos (por ejemplo, para in-
formar a un banco sobre los covenants o acuerdos financieros establecidos en un
contrato de préstamo, o a una autoridad fiscal en relación con la presentación de
declaraciones de impuestos, o a una agencia de financiación por parte de una orga-
nización sin ánimo de lucro en las que dichas declaraciones no se hagan públicas).

• Otra información financiera externa derivada de los registros y libros financieros y

de contabilidad de gestión de la organización en lugar de derivarse de los estados
financieros puede incluir las presentaciones de resultados, información financiera
seleccionada publicada en el sitio web de la organización e importes específicos
que se comuniquen para dar cumplimientos a las leyes y regulaciones aplicables.
Los objetivos de información financiera externa relativos a este otro tipo de informa-
ción financiera puede que no estén motivados directamente por los organismos de
normalización y reguladores sino que normalmente son las partes interesadas quie-
nes esperarán que se alineen con dichas normas y regulaciones.
Hareo 1 Entorno de Control • EvatuaCton de R1e~os • ~c~~vtdades de C?ntrol • !"f~rmauón Y.~?.~umcac1~~ • ~CIIVI!IaOe5 !le~

CaraC"'terJ:,tlcac:; Cualitativas

La información financiera externa refleja las transacc1ones y eventos q ue muestren la~

características cualitativas y las afirmaciones contables que subyacen a los estados f1~
nancieros establecidos por los respectivos organismos de normalización contable. Exts-
ten muchas fuentes de este tipo de características y afrmaciones contables relativas a la
información financiera.
\..os es\ ao os \inan ci efos e~\emos se ? Ueoen cons\aetat en \érrn\nos de características
funda mentales 'J de caracterfstic as de m ejora.""

Las características fundamentales hacen referencia a la relevancia y a la representación

fiel , tal y como se indica a continuación:

• Relevancia - información que es capaz de marcar la d iferencia en las decisiones

del usuario.

• Representación Fiel - información que es completa, neutral y exenta de errores.

Las características de mejora hacen referencia a la comparabilidad , verificabilidad, opor-

tunidad y comprensibilidad, tal y como se indica a continuación:

• Comparabilidad- información que puede ser comparada con otra información si-
m ilar sobre otras organizaciones y con información similar sobre la propia organiza-
ción correspondiente a otro periodo u otra fecha.

• Verificabilidad- diferentes observadores independientes y debidamente informa-

dos alcanzan un consenso, aunque no necesariamente un acuerdo completo, de
que una descripción específica es una representación fiel.

• Oportunidad- contar con información disponible para los responsables de la toma

de decisión en el momento adecuado para su uso.

• Comprensibilidad - información que es clasificada, caracterizada y presentada con

claridad y concisión.

Inherente en relevancia es el concepto de "materialidad en los estados financieros" . La

materialidad establece el umbral para determinar si un importe financiero es o no rele-
vante. La información es material si su omisión o un error en la misma podría influir en
las decisiones de los usuarios adoptadas en base a la información financiera. La mate-
rialidad depende del tamaño del elemento o del error juzgado en las circunstancias es-
pecíficas de su omisión o error. En el caso de la información financiera externa, la
materialidad refleja el nivel requerido de precisión y exactitud adecuado a las necesida-
des de los usuarios externos y presenta las actividades subyacentes de la organización,
las transacciones y eventos dentro del rango de límites aceptables 13 •

11. Derivadas de las Normas InternaCionales de lnformac1ón F1nanc1era.

12. Algunas ¡urisd1cciones pueden describir las afirmac1ones contables de los estados financieros utilizando
térm1nos tales como "ex1stenc1a u ocurrencia", "integridad. valoración o asignación", "derechos y obliga·
c1ones". y "presentación e Información a revelar".
13. Derivadas de las Normas Internacionales de Información Financiera. Algunas junsdicciones pueden utilizar
descripciones diferentes de la materialidad en los estados financieros.
 Compone~tes del Control Interno 1Eva rcn de Resgos

La confiabilidad es otra característica cualitativa frecuentemente utilizada que se asocia

con los objetivos de información financiera externa. La confiabilidad implica preparar es-
tados financieros externos que estén exentos de sesgo o error material. La confiabilidad
también es necesaria para que la información represente fielmente las transacciones u
otros eventos que pretenda representar. La información externa también refleja el nivel
requerido de precisión y exactitud adecuado a las necesidades internas y para las activi-
dades subyacentes de la organización, presentando transacciones y eventos dentro de
un rango de límites aceptables.

Las características cualitativas indicadas anteriormente se aplican junto con las normas
contables adecuadas y las informaciones contables en los estados financieros. Dichas
afirmaciones normalmente se encuadran en las categorías relativas a:

• Clases de transacciones y eventos para el periodo.

• Saldos contables al cierre del periodo.

• Presentación e información a divulgar.

ObJettvos de J'1forll'aclon No ¡::- ranc•era Fxtcrna

Cump/(' 1JS Norm fv1 Jr ..JS l e y(' S y R q JllCI n()<-

La dirección puede presentar su información externa de acuerdo con las leyes, reglas,
regulaciones, normas no financieras u otros marcos de trabajo. Por ejemplo, cuando la
dirección busque gestionar el impacto en el desarrollo sostenible, puede preparar y pu-
blicar un informe de sostenibilidad que proporciona información sobre su desempeño en
el ámbito económico, medioambiental y social. Otra organización puede aplicar las nor-
mas correspondientes a la cadena de custodia en virtud de las cuales sus productos se
distribuyan desde su origen forestal hasta su uso final. La organización conseguirá por
ello una certificación anual que demostrará su producción y consumo responsable de
productos forestales e informará públicamente esta información.

Cons ctcr 1 .J preCJ~ en v ref/()¡ s 1ctn. td les cf 11 urg n1 • ;e o

Al igual que con la información financiera, la información no financiera:

• Clasifica y resume la información de una forma razonable y con un nivel apropiado

de detalle de manera que no sea ni demasiado pormenorizada ni demasiado gene-
ral.

• Refleja las actividades subyacentes de la organización.

• Presenta las transacciones y eventos con arreglo al nivel requerido de precisión y

exactitud adecuadas para las necesidades del usuario.

• Utiliza criterios establecidos por terceras partes así como normas o marcos exter-
nos, según sea oportuno.
Hareo 1Entorno de Control • Evaluacion de R1esgos • Actividades de Control • lnformacion vComumcaoon • Act1v1dades c!f

Ob etivos de Información Interna

La información interna confiable, incluidos cuadros ce mar.cc " egral y "dash-boards"
de desempeño, proporcionará a la dirección la r¡'or1ae or. P.' eeiSa y completa necesaria
para gestionar la organización. Dicha información a,oo.~ a a a e "CCCion en la toma de de-
cisiones, la evaluación de las actividades y el deseiT'oeño ce a organización. Entre los
ejemplos de informes internos se incluyen los resultados ce os programas de marketing,
los informes abreviados diarios de ventas, los informes de ca.~dad de la producción y los
resultados de satisfacción de clientes y empleados. Los ob¡etivos de información interna
se basan en las preferencias, en el criterio profesional y el estilo de la dirección.

Los objetivos de información interna varían de una organización a otra dado que las dife-
rentes organizaciones tendrán distintas metas, direcciones estratég icas, y niveles de to-
lerancia al riesgo. Al igual que sucede con la información externa, la información interna
también refleja el nivel requerido de precisión y exactitud adecuado a las necesidades
internas y para las actividades subyacentes de la organización, presentando transaccio-
nes y eventos dentro de un rango de límites aceptables.

Muchas organizaciones aplicarán normas externas para asistir en la gestión de sus ope-
raciones. Dichas normas pueden hacer referencia al control sobre la tecnología, la ges-
tión de los recursos humanos y la gestión de los registros documentales. Sin embargo,
dado que las normas que son aplicables a la información externa pueden no ser aplica-
bles a la información interna, la dirección puede elegir un conjunto diferente de niveles
de variación aceptable para la información externa e interna.

Al igual que sucede con otros tipos de información, la información interna:

• Utiliza criterios establecidos por terceras partes así como normas o marcos exter-
nos, según sea oportuno.

• Clasifica y resume la información de una forma razonable y con un nivel apropiado

de detalle de manera que no sea ni demasiado pormenorizada ni demasiado gene-
ral.

• Refleja las actividades subyacentes de la organización.

• Presenta las transacciones y eventos de acuerdo con nivel requerido de precisión y

exactitud adecuadas para las necesidades del usuario.

Ob1etivos de Ct..molimierto
Las leyes y regulaciones establecen normas mínimas de conducta que la organización
integra en sus objetivos de cumplimiento. Por ejemplo, las regulaciones de salud y segu-
ridad en el trabajo podrían hacer que una organización defina como uno de sus objetivos
"envasar y etiquetar todos los productos químicos de acuerdo con las regulaciones."
Las políticas y procedimientos abordarían por tanto los programas de comunicación, las
inspecciones de las instalaciones y la formación relativa a los objetivos de cumplimiento
de la organización. De igual manera, al igual que sucede con los objetivos de informa-
ción externa, la dirección tendrá en cuenta los niveles de variación del desempeño acep-

Control interno - Marco lnteorado • Ma o2013

 Componentes del Control Interno Evaluación de Riesgos

tables en el contexto del cumplimiento de las leyes y regulaciones. Dichas leyes y regu-
laciones pueden hacer que la dirección fije unos menores niveles de variación aceptable
para seguir cumpliendo con dichas leyes y regulaciones.

Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de especificar
sus objetivos de cumplimiento, la organización debe comprender qué leyes y regulacio-
nes son aplicables a la organización. Muchas leyes y regulaciones son, en general, bien
conocidas, como por ejemplo aquellas que guardan relación con la prevención de sobor-
nos, las prácticas laborables justas y el cumplimiento de la legislación medioambiental ,
pero otras pueden resultar menos conocidas para la organización, como por ejemplo las
aplicables a una organización que quiera llevar a cabo sus operaciones en un territorio
extranjero.

Muchas leyes y regulaciones dependen de factores externos y tienden a ser similares

con respecto a otras organizaciones, en algunos casos, y con respecto a un sector en
particular, en otros. Estos requisitos pueden hacer referencia por ejemplo a los merca-
dos, precios, impuestos, el medio ambiente, el bienestar de los empleados o el comercio
internacional. Muchas organizaciones establecerán objetivos como los siguientes:

• Prevenir y detectar conductas penales y otro tipo de irregularidades.

• Preparar y presentar declaraciones fiscales antes de que se cumplan los plazos de

presentación oportunos y de acuerdo con los requisitos regulatorios.

• Etiquetar la información nutricional en el envase de los alimentos de acuerdo con

las directrices aplicables.

• Contar con una flota de vehículos que se encuentren dentro de los requimientos
máximos de control de emisiones.
Marco 1 Enlomo de Conlrol · Eva uaCion de Re~gos · ActiVIdades de Conlrol • lnlormaCion vComumcac1ón • Acl1vidades de SupemSJon

ldent1f1ca y analiza el riesgo

n ... : ... -: .... :- La organización identifica os r-iesgos para la
consecución de sus objetivos en todo s os ,.., .:e es de la
organización y los analiza como base sobre a cu al
determinar cómo se deben gestio nar.
~---·············· · · ············· · · ·· · ·

Puntos de 1rteres
Los siguientes puntos de interés ponen de manrf esto ~.: na sen~ ce rr=1oortantes caracte-
rísticas relativas a este principio:

• lnclu on '<!
- La organización identifica y evalua r esgos a "' ; ~ orgariZación, filial, di-
visión, unidad operativa y función relevantes para la CO"'se--.:x O"' de sus objetivos.

• - La r den~ ~cacte-r. ce nesgas t iene en cuenta

factores internos y externos y su impacto en a coc;s<:e..= ::'" e: los objetivos.

• - -E :r~ ~cion dispone de

mecanismos de evaluación de riesgos efect os e : -:: .:a:- a os "'lrveles oportu-
nos de la dirección .

• "'S nesgas dentrficados son

- -'--
analizados a través de un proceso que mcluye la ~-.a- oo ::e la mportancia po-
tencial del riesgo.

• - ...a e a :JaC on ce os nesgas incluye la

consideración de cómo deben gestionarse e resgo SI sa ceoe aceptar, evitar, re-
ducir o compartir el riesgo.

lde t1f caCIO'l de r esqos

La identificación del análisis de riesgos es un proceso ~e~"a- :J con ~ 11uado q ue se lleva a
cabo para ampliar la capacidad de la organtzacron para og•ar sus ob¡etrvos. Aunque una
organización podría no indicar explícitamente todos SLIS oo e: os. esto no significa que
un objetivo implícito se encuentre exento de un nesgo r.te!'110 o externo. Con indepen-
dencia de si un objetivo se indica expresamente o imp e La....,ente e proceso de evalua-
ción de riesgos de la organización deberá tener en cuen.a os r esgos que puedan
ocurrir. Este proceso se ve respaldado por una serie de act. oades récnrcas y mecanis-
mos, cada uno de ellos relevantes para el conjunto de a e\ a Jac Of' de riesgos. La direc-
ción desarrolla e implementa controles relacionados COr" e ~ oesarro1o de estas
actividades.

La dirección tiene en cuenta los riesgos a todos los nive•es de a organización y adopta
las medidas necesarias para responder ante ellos. La eva...~ac•ó, efectuada por una or-
ganización tendrá en cuenta factores que influyan en la gravedad. velocidad y persisten-
 Componentes del Control interno Eva uat ón de Riesgos

cia del riesgo, la probabilidad de que se produzcan pérdidas de activos. y el impacto re-
lacionado en las actividades de operaciones, de información y de cumplimiento. De igual
manera, la organización debe comprender su tolerancia a la hora de aceptar riesgos y su
capacidad para operar dentro de dichos niveles de riesgo. La identificación de riesgos
debe ser muy detallada. Deberá tener en cuenta todas las interacciones significativas -
de productos, servicios e información- internas que se generen dentro de una organi-
zación y entre la propia organización y los correspondientes socios comerciales y
proveedores de servicios externalizados. Estas organizaciones pueden incluir a provee-
dores, inversores, acreedores, accionistas, empleados, clientes, compradores, interme-
diarios y competidores potenciales y existentes así como organismos públicos y medios
de comunicación. De igual manera, la organización deberá tener en cuenta los riesgos
que se deriven de factores externos tales como la aprobación o modificación de leyes y
regulaciones, aspectos medioambientales y eventos naturales que puedan producirse.

De igual manera, es importante tener en cuenta que los riesgos que hacen referencia
fundamentalmente a una categoría de objetivos pueden influir en los objetivos de otras
categorías. Por ejemplo, un riesgo que hace referencia fundamentalmente a un objetivo
operacional en lo que respecta a la producción y entrega oportuna de los productos de
una compañía, también puede afectar a la información financiera si los contratos comer-
ciales de la compañía contienen sanciones por retrasos en las entregas. En aquellos
casos en los que una organización esté valorando los riesgos que hagan referencia fun-
damentalmente a una categoría de objetivos -por ejemplo a la información financiera-
el proceso de evaluación de riesgos puede que también tenga que considerar objetivos
de otras categorías que puedan impactar en dichos objetivos de información financiera.

La identificación de riesgos es un proceso iterativo y a menudo se integra dentro del

proceso de planificación. Sin embargo, puede que sea necesario adoptar una perspec-
tiva renovada con respecto a los riesgos identificados y no remitirse únicamente a reali-
zar un inventario de riesgos, tal y como se indicaba en la revisión anterior. El foco de
atención deberá centrarse en la identificación de todos los riesgos que potencialmente
impactan en la consecución de los objetivos así como a los riesgos emergentes -aque-
llos riesgos cuya relevancia e importancia para la organización esté siendo cada vez
mayor y que puedan ser abordados analizando y evaluando los factores de riesgos co-
rrespondientes, con independencia de los remotos que puedan parecer.

La identificación de riesgos tiene en cuenta los riesgos a los distintos niveles de la es-
tructura organizacional, incluido el conjunto de la organización y sus unidades de nego-
cio y procesos tales como ventas, recursos humanos, marketing, producción y compras.
La identificación de riesgos a nivel de organización suele llevarse a cabo a un nivel relati-
vamente alto y, por lo general, no incluye la evaluación de los nesgas a nivel de transac-
ciones. Por el contrario, la identificación de riesgos a nivel de procesos es, por su propia
naturaleza, más detallada e incluiría los riesgos a niveles de transacciones.

De igual manera, la evaluación de riesgos tiene en cuenta los riesgos que se originan en
los proveedores de servicios externalizados, en los principales proveedores y socios co-
merciales que puedan impactar directa o indirectamente en la consecución de los objeti-
vos por parte de la organización.
Marco 1Entorno de Control • Evaluaoor. de Rtesgos • Acttvtdades de Control • lnformaoon vComumcaoon • Achvtdades de Supervtsion

Factores mternos y externos

La dirección tiene en cuenta los riesgos en relación con 'actores internos y externos. Los
riesgos son dinámicos; por lo tanto, para determinar la frecuencta del proceso de eva-
luación de riesgos, la dirección generalmente tendra en cuenta el ntmo de cambio de
estos riesgos que afectan a la consecución de los obJet•vos as1como otras prioridades
operacionales y los costes relacionados. Por lo genera este proceso es una combina-
ción de evaluaciones de riesgos continuadas y penootcas. S1aumenta el ritmo de cam-
bio relacionado con un objetivo o con factores ntemos o externos. resultará útil acelerar
la frecuencia de evaluación de los riesgos relacionados o nc uso evaluar el riesgo en
tiempo real.

Rtec.,aos a mvc/ de orgamzac1on

Los riesgos a nivel de organización pueden der~arse ~LO oa 'actores internos como de
factores externos. Entre los factores externos. se ouede"' nc ú r os stguientes:

• Económicos - Los cambios que pueden a'ectar a a financ ,ac.ón, disponibilidad de

capital y barreras de entrada para la competencia.

• Entorno natural - Las catástrofes naturales o desastres ca..Jsados por el hombre o

los continuos cambios a los que se ve somet do e el ,.,a o ... eden provocar cambios
en las operaciones de la organización, reduc1r la dispor> o oad de determinadas
materias primas o incluso provocar pérdidas en tos s SLernas de Información, po-
niendo de manifiesto la necesidad de disponer de p ares de cont.ngencia.

• Regulatorio - Una nueva norma de información 'ina!'IClera at.e pueda exigir infor-
mación diferente o adicional a una organizactón JUfld ca a modelo operativo adop-
tado por la dirección o a una línea de negocio; una nt..e.a e1 o regulación
antimonopolio que pueda exigir la aplicación de detei'TT' nades cambios en las estra-
tegias o políticas operativas o de información.

• Operaciones en el extranjero- Un cambio de gobierno en un país extranjero en el

que opera la organización puede dar como resultado la adopc1on de nuevas leyes o
regulaciones y la aplicación de cambios en los regímenes tributanos.

• Sociales - Las expectativas y necesidades cambiantes de os c lientes pueden

afectar al desarrollo de productos, al proceso de producc1on a a atención al
cliente, a la fijación de precios o a las garantías concedidas.

• Tecnológicos -Avances que pueden afectar a la disponibtlidad y uso de datos, a

los costes de las infraestructuras y a la demanda de determ.nados servicios basa-
dos en tecnologías.

Entre los factores internos se pueden incluir los siguientes:

• Infraestructura - Decisiones sobre el uso de recursos de captta. que pueden afec-

tar a las operaciones y a la disponibilidad continuada de nfraestructuras.

• Estructura de la dirección - Un cambio en la responsabt tdades de la dirección que

pueda afectar a la manera en la que se lleven a cabo determ nadas controles.
 Componentes del Control Interno 1Evaluanon de Riesgos

• Personal- La calidad del personal contratado y los métodos de formación y moti-

vación que pueden influir en el nivel de sensibilidad hacia el control dentro de la or-
ganización; el vencimiento de contratos laborales que puede afectar a la
disponibilidad de determinados miembros del personal.

• Acceso a activos - La naturaleza de las actividades de la organización y la accesi-

bilidad de los empleados a los activos que pueden contribuir a la apropiación inde-
bida de recursos.

• Tecnología - . Una interrupción en el procesamiento de los sistemas de informa-

ción que puedan afectar negativamente al funcionamiento de la organización.

La identificación de factores externos e internos que puedan contribuir al riesgo a nivel

de organización resulta crítica para la evaluación integral de los riesgos. Una vez que se
han identificado los principales factores, la dirección puede entonces tener en cuenta su
relevancia e importancia y, en la medida de lo posible, relacionar estos factores con acti-
vidades y riesgos específicos.

Por ejemplo, un importador de calzado y ropa puede establecer el objetivo a nivel de or-
ganización de convertirse en el líder del sector en moda de alta calidad. La organización
tendrá en cuenta riesgos generales como el impacto del deterioro de las condiciones
económicas, la aceptación de los productos por parte del mercado, la aparición de nue-
vos competidores en el mercado y los cambios que se puedan producir en las regulacio-
nes y leyes medioambientales o regulatorias. De igual manera, la organización podrá
tomar en cuenta riesgos a nivel de organización tales como:

• Las fuentes de abastecimiento, incluida la calidad, cantidad y estabilidad de los fa-

bricantes extranjeros.

• La exposición a fluctuaciones en el valor de las divisas correspondientes.

• La puntualidad de la recepción de los envíos y los retrasos en las inspecciones

aduaneras.

• La disponibilidad y fiabilidad de las compañías de transporte y los costes relaciona-

dos.

• La probabilidad de que surjan hostilidades internacionales o embargos comerciales.

• Las presiones procedentes de clientes o inversores para boicotear la producción en

determinados países extranjeros cuyos gobiernos adopten políticas inaceptables.

• Las expectativas de los consumidores o grupos de interés locales con respecto al

uso de los recursos naturales.

R1esqos a n1ve1 d transacc1on

Los riesgos se identifican a nivel de transacción dentro de las filiales, divisiones, unida-
des operativas o funciones, incluidos procesos de negocio tales como ventas, compras,
producción y marketing. La gestión de riesgos a este nivel contribuye a la consecución
de los objetivos y/ o subobjetivos que se han desplegado en sentido descendente a par-
Marco 1Entorno de Control • Evaluacror. de Rresgos • Actrvrdades de Control • lntormacion ¡ ComuniCacron • Aclivrdades de Supervrsron

tir de los objetivos a nivel de organización. Una evaluación adecuada de riesgos a nivel
de transacciones, también contribuye al mantenimiento de unos niveles aceptables a
nivel de organización.

En la mayoría de los casos, se pueden identificar diferentes riesgos. Por ejemplo, en un

proceso de abastecimiento y compras, una organización puede fijar el objetivo de man-
tener un adecuado inventario de materias primas. Los riesgos de no lograr este objetivo
podrían incluir que los proveedores que suministren los materiales no cumplan las espe-
cificaciones técnicas o que no suministren conforme a las cantidades necesarias, a los
plazos acordados o a los precios establecidos. Estos riesgos podrían afectar a los obje-
tivos a nivel de organización relacionados con la forma en que se comunican las especi-
ficaciones de los bienes adquiridos a los proveedores, el uso e idoneidad de las
previsiones de producción, la identificación de fuentes de abastecimiento alternativas y
las prácticas de negociación.

Las posibles causas de un potencial incumplimiento de este objetivo pueden incluir

desde las más obvias hasta las menos previsibles. Sin duda, deberán identificarse los
riesgos más obvios que puedan afectar significativamente a la organización. Para evitar
que se pasen por alto determinados riesgos relevantes, esta identificación debe efec-
tuarse de manera independiente a la evaluación de la probabilidad de que este riesgo se
produzca. No obstante, existen limitaciones prácticas en este proceso de identificación y
a menudo resulta difícil determinar dónde establecer una línea divisoria. Por ejemplo,
puede que no tenga sentido llevar a cabo una detallada evaluación del riesgo de que un
meteorito caiga del espacio en las instalaciones de producción de la organización, mien-
tras que si que puede ser razonable que, en caso de que una fábrica esté situada cerca
de un aeropuerto, se valoren con detenimiento los riesgos de que un avión pueda chocar
contra la citada fábrica.

Anál s1s de rresoos

Una vez que se han identificado los riesgos tanto a nivel de organización como a nivel de
transacción, será necesario llevar a cabo un análisis de riesgos. La metodología para
analizar los riesgos puede variar, fundamentalmente porque muchos riesgos resultan difí-
ciles de cuantificar. En cualquier caso, el proceso -que podrá ser más o menos formal-
normalmente incluirá la evaluación de la probabilidad de que se produzca el riesgo y la
evaluación de su impacto. De igual manera, el proceso podrá tomar en cuenta otros cri-
terios en la medida en que la dirección lo considere necesario.

N1velec:. de q('stton

Al igual que sucede con otros procesos de cor.!ro! ·,...~er..o. a resoonsabtlidad por la ren-
dición de cuentas y la comunicactón de r ·~~ :::: :::ara a a ICe.,~ 'icactón de ries-
gos y a los procesos de análisis, le corresncrce ::. - c-r-=.""':'-KY.; er. e con¡unto de la
organización y de sus unidades de negoc e ...a ~_n----::<,..., ::.soone <!e mecanismos de
evaluación de riesgos efectivos que mpfican a los - e::!S opor..........os oe .a dirección que
dispongan de los conocimientos adecuaccs.
 Compor.entes del Controllnlemo Evatuaoon de RieSgos

lmnortanoa dPI nPc;ao

Como parte del análisis de riesgos, la organización evalúa la importancia de los riesgos
de cara a la consecución de los objetivos y de los subobjetivos. Las organizaciones pue-
den evaluar la importancia de los riesgos utilizando criterios tales como los siguientes:

• Probabilidad de ocurrencia de un riesgo y su impacto.

• Velocidad o rapidez del impacto una vez que se produce el riesgo.

• Persistencia o duración en el tiempo del impacto una vez que se materialice el

riesgo.

"Probabilidad" e " impacto" son términos utilizados habitualmente aunque las organiza-
ciones puede que utilicen en su lugar otros términos como "eventualidad", "gravedad" o
"consecuencia". "Probabilidad" representa la posibilidad de que se produzca un evento
determinado mientras que "impacto" representa su efecto. Algunos términos pueden
tener más de un significado específico, de manera que el término "probabilidad" indicará
la posibilidad de que se produzca un riesgo determinado en términos cualitativos tales
como "alto", "medio" y "bajo" , mientras que "eventualidad" puede indicar una medición
más cuantitativa, como pueda ser el porcentaje, frecuencia u otros parámetros numéri-
cos.

La velocidad a la que se produzca un riesgo hará referencia al ritmo al que se espera que
la organización experimente el impacto del riesgo. Por ejemplo, un fabricante de electró-
nica de consumo puede tratar de cambiar las preferencias de los clientes y el cumpli-
miento de los límites energéticos de las radiofrecuencias. El hecho de no poder
gestionar estos riesgos puede resultar en una erosión significativa del valor de la organi-
zación, hasta el punto de que pueda terminar quedándose fuera del mercado. En este
caso, los cambios en los requisitos regulatorios se desarrollarán mucho más lentamente
que los cambios en las preferencias de los consumidores.

La dirección a menudo utilizará parámetros de desempeño para determinar hasta qué

punto se están logrando los objetivos y normalmente usará las mismas unidades de me-
dida o unidades similares a la hora de valorar el impacto potencial de un riesgo en la
consecución de un objetivo específico. Por ejemplo, una organización con el objetivo de
mantener un nivel específico de atención al cliente podrá diseñar un sistema de valora-
ción o de medición para dicho objetivo -como pueda ser un índice de satisfacción del
cliente, un número determinado de reclamaciones o la medición de los clientes que vuel-
ven a comprar a la organización. A la hora de evaluar el impacto de un riesgo que pueda
afectar al servicio al cliente -como pueda ser la posibilidad de que el sitio web de la or-
ganización pueda no estar disponible durante un período de tiempo- como mejor se
determinará el impacto relacionado será utilizando los mismos parámetros.

Un riesgo que no tenga un impacto significativo en la organización y que sea poco pro-
bable que se produzca, por lo general, no exigirá una respuesta detallada ante dicho
riesgo. Un riesgo que tenga una mayor probabilidad de que se produzca y/ o que tenga
un potencial impacto significativo, por lo general, derivará en una mayor atención pres-
tada. Pero incluso aquellos riesgos con un elevado impacto potencial y una baja proba-
bilidad de que se produzcan, deberán ser evaluados, evitando hipótesis como que "este
tipo de riesgos no se produce en esta organización" , dado que incluso los riesgos de es-
casa probabilidad pueden llegar a materializarse. La importancia de comprender los ries-
gos que han sido evaluados como de baja probabilidad es mayor cuando el potencial
Marco 1Entorno de Control • EvaluaCIOA de R1esgos • Actividades de Control • lnlormaCion y ComumcaCión • Achvtdades de Supervtslon

impacto del riesgo puede prolongarse durante un mayor período de tiempo. Por ejem-
plo, el impacto a largo plazo sobre la organización de un problema medioambiental oca-
sionado por las actuaciones de una organización podrá considerarse de manera muy
diferente que el impacto a largo plazo de que una tecnolog1a no esté operativa en una
planta de fabricación durante varios días.

Las estimaciones de la importancia al riesgo a menudo se ven determinadas por el uso

de datos de eventos anteriores, los cuales proporcionan una base más subjetiva que las
estimaciones totalmente subjetivas. Los datos generados Internamente que se basan en
la propia experiencia de la organización, pueden resultar más relevantes y aportar mejo-
res resultados que los datos procedentes de fuentes externas. Sin embargo, incluso en
estas circunstancias, los datos externos pueden resultar de utilidad como punto de con-
trol o para mejorar el análisis. Por ejemplo, la dirección de la compañía que evalúe el
riesgo de paradas de producción debido a averías en los equ1pos analizará, en primer
lugar, la frecuencia y el impacto de los fallos o averías antenores en su propio equipo de
fabricación. Posteriormente, complementará estos datos con información de referencia
del sector. Esto le permitirá contar con una estimación más precisa de la probabilidad
del impacto de las averías, haciendo posible que se programe un mantenimiento preven-
tivo más efectivo. De igual manera, debe tenerse en cuenta que el uso de datos proce-
dentes de eventos pasados pueden aportar conclusiones Incompletas c uando los
eventos ocurran de manera poco frecuente.

De igual manera, la dirección puede que prefiera evaluar los riesgos utilizando un hori-
zonte temporal coherente con el horizonte temporal de los objet1vos relacionados. Dado
que los objetivos de muchas organizaciones se centran en el corto o medio plazo, la di-
rección analiza los riesgos asociados con dichos marcos temporales. Sin embargo, algu-
nos objetivos se prolongan hasta el largo plazo y la dirección no debe ignorar estos
riesgos que podrían prolongarse de manera considerable en el futuro.

R1esao mherentc v res1duaJ

La dirección tiene en cuenta tanto el riesgo inherente como el nesgo residual. El riesgo
inherente es el riesgo que afecta a la consecución de los objetivos de la organización en
caso de que no concurran medidas algunas adoptadas por a direcc1ón para alterar la
probabilidad o el impacto del riesgo. El riesgo restdua es el nesgo que afecta a la conse-
cución de los objetivos y que sigue existiendo una vez adoptadas e implementadas las
respuestas pertinentes por parte de la dirección. El anahsis de riesgos se aplica primero
al riesgo inherente. Una vez que las respuestas ante los nesgos han sido desarrolladas,
tal y como se analiza posteriormente, la direccion cons1derara el riesgo residual. La eva-
luación del riesgo inherente además del riesgo res1dual puede ayudar a la organización a
comprender hasta qué punto se necesitan adoptar respuestas ante los riesgos.

Una vez que ha sido evaluada la importancia potenc1a de tos nesgos, la dirección tendrá
en cuenta cómo debe gestionar el riesgo. Para ello sera necesario aplicar el criterio pro-
fesional en base a las hipótesis sobre el riesgo y un análisis razonable de los costes aso-
ciados con la reducción del nivel de riesgo. La respuesta adoptada no derivará
necesariamente en un menor volumen de riesgo res1dual. Pero en caso de que una res-
 Componentes del Control Interno EvaluaCion de Rtesgos

puesta ante el riesgo derive en un riesgo residual que supere los niveles aceptables para
la dirección del consejo, la dirección deberá volver a analizar y revisar dicha respuesta.
En consecuencia, el equilibrio entre el riesgo y la tolerancia al riesgo puede ser iterativo.

Las respuestas dadas ante el riesgo se enmarcan en las siguientes categorías:

• Aceptar- No se adopta ninguna medida que afecte a la probabilidad o al impacto
del riesgo.
• Evitar- Se abandonan las actividades que den lugar al riesgo; esto puede conlle-
var que se abandone una línea de producción, que se reduzca el grado de expan-
sión en un nuevo mercado geográfico o que se venda una división.
• Reducir- Se adoptan medidas para reducir la probabilidad o el impacto del riesgo,
o ambos; por lo general, puede conllevar cualquiera de las múltiples decisiones de
negocio que se adoptan en el día a día de una organización.

• Compartir- Se reduce la probabilidad o el impacto del riesgo transfiriendo o com-

partiendo de cualquier otra manera una parte del riesgo; las técnicas que se utilizan
más habitualmente incluyen la suscripción de seguros, el establecimiento de nego-
cios conjuntos, la cobertura de transacciones o la externalización de una actividad.

En relación con la respuesta al riesgo, la dirección deberá tener en cuenta:

• El efecto potencial que pueda tener sobre la importancia del riesgo y qué opciones
de dicha respuesta están alineadas con la tolerancia al riesgo de la organización.

• La segregación de funciones que permita que la respuesta adoptada logre la reduc-

ción prevista de la importancia del riesgo.
• El análisis coste/beneficio de las posibles respuestas.

E:valu<Jc,ón de opc1ones C'n las resouestas adootadas ante los

riPSQOS

A la hora de evaluar las opciones existentes en materia de respuesta, la dirección tendrá

en cuenta la importancia del riesgo, lo cual incluirá el efecto que pueda tener sobre la
probabilidad y el impacto del riesgo, reconociendo además que una respuesta puede
afectarles de manera diferente. Por ejemplo, veamos el caso de una compañía que
cuente con un centro de datos ubicado en una reg ión en la que exista una elevada acti-
vidad de fuertes tormentas. La organización establecerá un plan de continuidad para el
negocio que, si bien no tendrá ningún efecto en la probabilidad de que se produzcan tor-
mentas, mitigará el impacto de los daños que se puedan producir en los edificios o en el
personal que no pueda ir a trabajar en caso de tormenta grave. Por otro lado, la alterna-
tiva de trasladar el centro de datos a otra reg ión no reducirá el impacto de que se pue-
dan producir tormentas comparables, pero podría reducir la probabilidad de que una
tormenta similar se produzca cerca de esta nueva ubicación.

Los recursos siempre tienen limitaciones, y las organizaciones deberán tener en cuenta
los costes y beneficios asociados a las distintas alternativas de respuesta disponibles.
Antes de implementar procedimientos adicionales, la dirección deberá tener en cuenta
si algunos de los procedimientos ya existentes pueden ser adecuados para abordar los
riesgos identificados. Dado que determinados procedimientos pueden cumplir múltiples
objetivos, la dirección podría darse cuenta de que no son necesarias nuevas medidas o
Marco 1lntol"lo de Control • Eva ac,on de Resgos • Ad1vk!aaes de Conlrol • lnformac~n yComumcaCIO~ • Ac1tv1dades de SupetVISIOft

de que los procedimientos existentes podrían ser su4lc¡entes o senc amente deben ser
llevados a la práctica con un mayor nivel de ex1genc1a.

Existe una diferencia importante entre la evaluac1ón d e resgos que forma parte del con-
trol interno, y la elección de respuestas específicas ante 1os riesgos y los planes, progra-
mas u otras medidas relacionadas, que forman parte de proceso de gestión de riesgos y
no de los controles Internos. El control interno no rncluye asegurarse de que se adopta la
respuesta más óptima para abordar los riesgos ide ntí~cados. Por e¡emplo, la dirección
de una organización puede optar por compartir el riesgo relatiVO a las tecnologías al ex-
ternalizar determinados aspectos de su procesam1ento tecnolog1co a una organización
con mayor experiencia en ese ámbito (reconociendo que esta práctica podría introducir
también nuevos riesgos en la organización), mientras que otra organización puede optar
por mantener el procesamiento tecnológico dentro de su propia organización y desarro-
llar controles generales sobre las actividades para gest1onar los riesgos tecnológicos
asociados. Tanto una alternativa como otra pueden ser correctas o incorrectas en fun-
ción de la organización, dado que ambas alternativas pueden resultar eficaces para ges-
tionar los riesgos tecnológicos. Pero en caso de que una respuesta ante el riesgo derive
en un riesgo residual que supere los niveles de tolerancia al riesgo para alguna categoría
de objetivos, la dirección deberá volver a analizar y rev1sar dicha respuesta.

Una vez que la dirección haya optado por reducir o compartir un riesgo, podrá determi-
nar las medidas a adoptar para dar respuesta a dicho riesgo y seleccionar y desarrollar
las actividades de control relacionadas. La naturaleza y el grado de dicha respuesta así
como las actividades de control relacionadas dependerán, al menos en parte, del nivel
deseado de mitigación del riesgo (que es el punto que se analiza en el Capítulo 7). En al-
gunos casos, la dirección podrá seleccionar una respuesta que requiera la adopción de
medidas dentro de otro componente del control interno, por ejemplo, ampliando o mejo-
rando una parte del entorno de control.

Por lo general , las actividades de control no son necesarias cuando una organización
opta por aceptar o bien evitar un riesgo específico. Por ejemplo, una organización mi-
nera que tenga un riesgo significativo ante los precios de las materias primas podrá de-
cidir aceptar el riesgo, al considerar que los inversores son conscientes de dicho riesgo
y lo aceptan. En este caso, la dirección no llevaría a cabo ninguna actividad de control
en relación con su exposición al riesgo por el precio de las materias primas, pero proba-
blemente implementaría actividades de control relacionadas con otras afirmaciones
contables que se efectúen en los informes financieros externos, incluidas cuestiones de
integridad y valoración. Sin embargo, puede que existan casos en los que una organiza-
ción decida evitar un riesgo, y opte por desarrollar actividades de control a fin de evitar
dicho riesgo. Por ejemplo, para evitar preocupaciones sobre posibles prácticas anticom-
petitivas, una organización podría implementar actividades de control que impidan la
compra de productos a determinadas organizaciones. De igual manera, la dirección
puede que tenga que revisar el nivel de riesgo a la vista de los cambios que puedan pro-
ducirse y hacer que la aceptación de un riesgo deje de ser deseable para la organiza-
ción, por ejemplo si dicho riesgo supera la tolerancia establecida por la organización.
Cuando la dirección opte por no evaluar un riesgo o no identifique un riesgo, esto será
equivalente a aceptar el riesgo sin tener en cuenta posibles cambios en el nivel de riesgo
relacionado o si dicho riesgo sigue situándose dentro de la tolerancia al riesgo de la or-
ganización.
 Componentes del Control Interno 1E~ uac on dr Rlesgos

Evalúa el riesgo de fraude

La organización considera la probabilidad de

fraude al evaluar los riesgos para la consecución de los
objetivos.

Puntos de mterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

• - La evaluación del fraude tiene en

cuenta posibles informaciones fraudulentas, pérdida de activos y casos de corrup-
ción que se deriven de las distintas maneras en que se pueden producir casos de
fraude y conductas irregulares.

• - La evaluación del riesgo de fraude tiene en

cuenta los incentivos y las presiones.

• - La evaluación del riesgo de fraude tendrá en cuenta

oportunidades de adquisiciones, uso o venta de activos no autorizados, alteración
de registros contables de la organización o realización de otros actos irregulares.

r::
• - La evaluación del riesgo de fraude tiene en
cuenta cómo la dirección y otros miembros del personal, podrían verse motivados a
participar o justificar actuaciones irregulares.

T1pos de fraude
La evaluación de riesgos incluye, la valoración por parte de la dirección de los riesgos
relativos a la información fraudulenta y a la protección de los activos de la organización.
De igual manera, la dirección tiene en cuenta posibles actos de corrupción, tanto por
parte del personal de la organización como de proveedores de servicios externalizados
que impacten directamente en la capacidad de la organización para lograr sus objetivos.

Las medidas que se pueden llevar a cabo como parte de la aplicación de este principio
guardan una estrecha relación con el principio anterior ("Identifica y analiza el riesgo"),
que evalúa los riesgos en base a la hipótesis de que las normas de conducta ética que
se esperan de la organización serán cumplidas por la dirección, por el resto del personal
y por los proveedores de servicios externalizados. Este principio, " Evalúa el riesgo de
fraude", evalúa el riesgo en un contexto diferente, cuando las medidas de un individuo
pueden no estar alineadas con las normas de conducta que se esperan del mismo. La
dirección podrá además tener en cuenta el punto de atención referente al principio ante-
rior "Identifica y analiza el riesgo" a la hora de desarrollar, implementar y llevar a cabo el
control interno. Por ejemplo, las respuestas dadas a los riesgos identificados como parte
de este principio, se enmarcan dentro de las mismas categorías indicadas anteriormente
(aceptar, evitar, reducir y compartir). De igual manera, tal y como se ha indicado anterior-

(MirollniP!M - Marm lniPO!<Ida • Havo 701l 11

Marco 1Entorno de Control • EvaluaCior. de R1esgos • Act1v1dades de Control • InformaCión y Comu01cauon • Actividades de SuperviSion
••• o •

mente, la selección y el desarrollo de controles adoptados por la dirección para llevar a

cabo respuestas ante riesgos específicos, resulta esencial para mitigar los riesgos de
fraude.

tnformauon fraudulenta

La información fraudulenta puede producirse cuando los informes de una organización

se elaboran de manera premeditada con omisiones o errores. Estos eventos pueden pro-
ducirse a través de gastos o cobros no autorizados, irregularidades financieras y cual-
quier otro tipo de conducta irregular en la divulgación de información. Un sistema de
control interno sobre la información financiera está diseñado y se ejecuta para evitar o
detectar, de manera oportuna, una omisión o error material en los estados financieros
debido a un error o a un fraude.

Cuando se evalúan los riesgos para la consecución de los objetivos de información fi-
nanciera, las organizaciones suelen tener en cuenta el potencial de fraude existente en
los siguientes ámbitos:

• Información financiera fraudulenta - Un acto intencionado dirigido a engañar a los

usuarios de los informes financieros externos y que puede dar como resultado un
error u omisión material en dichos informes financieros.

• Información no financiera fraudulenta - Un acto intencionado dirigido a engañar a

los usuarios de la información no financiera, Incluidos los informes de sostenibili-
dad, de salud y seguridad, o de actividad laboral, y que puede dar como resultado
unos informes con un nivel de precisión inferior al previsto.

• Apropiación indebida de activos - El robo de los activos o bienes de la organiza-

ción cuando el efecto resultante pueda ocasionar una omisión o error material en
los informes financieros externos.

• Actos ilícitos - Incumplimiento de leyes o regulaciones públicas que podrían tener

un impacto material directo o indirecto en los informes financieros externos.

Como parte del proceso de evaluación de riesgos, la organización deberá identificar las
distintas maneras en las que puede producirse la información fraudulenta, teniendo en
cuenta:

• La imparcialidad mostrada por la dirección. por ejemplo, a la hora de seleccionar los

principios contables.

• El alcance de las estimaciones y JUicios de valor adoptados conforme al criterio pro-

fesional en la información externa.

• Los escenarios y métodos de fraude habituales en los mercados y sectores en los

que opera la organización.

• Las regiones geográficas en las que opere .a organtzacion.

• Los incentivos que puedan motivar comportamientos fraudulentos.

• La naturaleza de la tecnología y la capac.dad de la d recc1on para manipular la infor-

mación.
 (omponen/1!5 di!! (onlrollnlwno ! lwluctlt>n de !i'li'S?OJ

• Transacciones poco habituales o complejas que estén sujetas a una significativa in-
fluencia de la dirección.

• Vulnerabilidad ante la potencial elusión de controles por parte de la dirección y po-

tenciales tramas para evitar las actividades de control existentes.

Puede que existan casos en los que la organización no sea capaz de gestionar directa-
mente la información capturada en el marco de la información financiera, y sin embargo
se espera de ella que disponga de controles dentro de la organización que identifiquen ,
analicen y respondan ante ese riesgo en particular. Por ejemplo, la dirección de un pro-
veedor de software puede que no tenga capacidad para evitar que el personal de uno de
sus clientes online manipule las cifras de ventas registradas para reducir el importe que
deba pagar al proveedor de software. Sin embargo, la compañía de software podrá im-
plement ar actividades de control para detectar este tipo de información fraudulenta al
comparar los niveles de registro de software nuevo con los volúmenes de ventas.

De igual manera, los riesgos relativos al registro completo y preciso de las pérdidas de
activos en los estados financieros de la organización representan un objetivo de informa-
ción. En relación con los objetivos de información financiera, pueden surgir omisiones o
errores por el hecho de no haber registrado la pérdida de activos, por la manipulación de
los estados financieros para ocultar dichas pérdidas o por el registro de transacciones
fuera del período correspondiente. Por ejemplo, una organización puede mantener abier-
t os sus libros contables durante un período de tiempo posterior al cierre del ejercicio
para incluir en ese período ventas adicionales, o contabilizar de manera ilícita traspasos
de existencias ent re organizaciones de un mismo grupo, o manipular la amortización de
sus activos de capital.

Prott:.:cCJon de act1voc,

La protección de los activos hace referencia a la salvaguarda de bienes y activos frente a

posibles compras, usos o ventas no autorizadas o premeditadas de dichos bienes y acti-
vos. El uso inapropiado de los activos de una organización se produce para beneficiar a
un individuo o a un grupo de individuos. La realización de compras, el uso y la venta no
aut orizados de bienes y activos pueden hacer referencia a actividades tales como la co-
mercialización ilegal de productos, el robo de activos, así como el robo de la propiedad
intelectual, la negociación con valores fuera del horario permitido y el blanqueo de capi-
tales.

La protección de activos normalmente hace referencia a objetivos operacionales, aun-

que det erminados aspectos pueden relacionarse con otras categorías de objetivos. En
términos de operaciones, la dirección puede tener en cuenta el uso inapropiado de los
activos de la organización y de otros recursos incluida la propiedad intelectual y la pre-
vención de pérdidas derivadas de robos, despilfarro de activos o negligencias. De igual
manera, una organización también puede perder valor en sus activos a través de la inefi-
ciencia provocada por la adopción de malas decisiones de negocio -como pueda ser la
venta de un producto a un precio demasiado bajo o la concesión de un créd ito a c lientes
morosos. Estas situaciones hacen referencia a los objetivos operacionales pero no están
direct amente relacionados con la protección de los activos.
Marco, Entorno de Control • Evaluacto~ de Rresgos • Actividades de Cont'oi•Jnrormacror. v Comunrmlon • ActiVIdades de~
. .

Cuando sean de aplicación determinados reo ... ·s¡¡os :ga;es:::: reg:.t.atorios, la dirección
deberá tener en cuenta los riesgos relat1vos a a :xo:;:-ccr..:r e: los ae1•vos en relación
con los objetivos de cumplimiento. Por e¡emp o. c--a or:...ar- ~~ on podra elaborar inten-
cionadamente información inexacta dirig1da a OS rec;¡_ EC<Y.;?S oara e. tar determinadas
sanciones o inspecciones.

Con independencia del objetivo que pueda . erse a"ec..aco oor a cna actuación, la res-
ponsabilidad por la prevención de pérdidas 1 por !es oroceo ~ entes y políticas anti-
fraude seguirá recayendo en la direcc1on de a orgar- ~do, 1 ae las unidades de
negocio en las que resida al riesgo.

Corruoc1on
Además de evaluar los riesgos relativos a la proteccior oe act1vos y de la información
fraudulenta, la dirección deberá tener en cueNa oos o es casos de corrupción que se
produzcan dentro de la organización. La corrupciÓn, normalMente hace referencia a la
categoría de objetivos de cumplimiento pero sir' duda aJgtJna. también podría influir en
el entorno de control que también afecta a os ob,et: .os de '1fofTnación financiera ex-
terna de la organización. De este modo, deberan ~ererse en cue"lta los Incentivos y pre-
siones para conseguir objetivos, al t1empo que se aeoera demostrar el cumplimiento de
las normas de conducta que se esperan de ra orgar1zactor t su efecto en el entorno de
control, especialmente las medidas relacionadas con el Prnc1p1o 4 (Demuestra compro-
miso con la competencia de sus profestonales) y Principto 5 1Ap 1ca la responsabilidad
por la rendición de cuentas). Los aspectos de la corrupctón Que se tienen en cuenta en
el contexto de la información financiera externa. suelen hacer referencia a actuaciones
irregulares contempladas en las leyes perttnentes } rele,a'ltes a dtcha actividad.

A la hora de evaluar un posible caso de corrupcton no se espera Que la organización

gestione directamente las actuaciones llevadas a cabo por e oersonal de organizaciones
externas, incluidas aquellas relacionadas con act.... daaes externalizadas, clientes, prove-
edores o asesores. Sin embargo, dependiendo de r 1" e oe resgo en el marco de este
componente, la dirección podrá estipular el ntve esperado de desempeño y las normas
de conducta aplicables a través de relaciones conrac<ua:es. 1 desarrollará actividades
de control que mantengan la supervisión de .as meotoas e~adas a cabo por dichas ter-
ceras partes externas. En caso necesano. a d •recc•or resoondera ante actividades
inusuales detectadas en otras organizaciones eX'ie....,as.

E:luston de cot"troJes oor Pdrt8 ae a .:1 '"t=:~.- .,

La elusión de controles por parte de la d •recc•on, hace re•erencta a aquellas actuacio-
nes llevadas a cabo con fines ilícitos para e11.JC r los co~oles de la organización, inclui-
dos fines tales como el lucro personal o e1aurnemo oe Jos resultados económicos
presentados por la organización o de su r •e de cumo~.m e'1to Por ejemplo, con el fin
de permitir la venta de una gran cantidad de proouc:os a un el ente con un rating de cré-
dito inaceptable y poder así incrementar las \- e'ltas, wn d rect.vo podría anular ilícita-
mente el control interno autorizando esta venta. a oesar de haber sido detenida por un
supervisor que hubiera llevado un adecuado cooLrOI de c.cha transacción. Las medidas

r... ••,..., ........ ,. u ....... t .. , . . ... u ........ .,n,T

 • Componente! del Control Interno Evaluaclon d Rtesgos

que se pueden adoptar para anular estos controles no se suelen documentar ni revelar,
dado que su propósito es precisamente la de encubrir determinadas actuaciones.

La elusión de controles por parte de la dirección no debe confundirse con la intervención

por parte de la dirección, lo cual representa aquellas actuaciones que se desvíen de los
controles diseñados con fines legítimos. En ocasiones, la intervención por parte de la di-
rección resulta necesaria para abordar determinadas transacciones no recurrentes y
poco habituales o eventos similares que de lo contrario podrían ser abordados de ma-
nera inadecuada. La intervención por parte de la dirección, por tanto, es necesaria por-
que no pueden diseñarse controles para anticipar y mitigar cada riesgo posible. Las
medidas adoptadas por la dirección para intervenir suelen ser transparentes y suelen
estar bien documentadas o bien se suelen comunicar al personal correspondiente.

Como parte de la evaluación del riesgo de fraude, la dirección evaluará el riesgo de elu-
sión del control interno por parte de la dirección. El consejo de administración o cual-
quier otro comité dependiente del mismo (por ejemplo, el comité de auditoría)
supervisará esta evaluación y cuestionará a la dirección en función de las circunstancias.
El entorno de control de la organización puede influir significativamente en el riesgo de
elusión de controles por parte de la dirección. Esto es especialmente importante en el
caso de las organizaciones de menor tamaño, en las que la alta dirección puede partici-
par de manera muy activa en el desarrollo e implementación de múltiples controles.

Factores que fectc.1r a .. esgo ae fraude

Evaluar el riesgo de fraude incluye tener en cuenta aquellas oportunidades que existan
para cometer actos de fraude , así como las actitudes y justificaciones relacionadas.
Cuando se producen casos de pérdida de activos, informaciones fraudulentas o corrup-
ción, suelen existir incentivos y presiones, oportunidades para acceder a dichos activos
y actitudes y justificaciones que tratan de razonar las actuaciones realizadas. Los incen-
tivos y presiones, a menudo se derivan y guardan relación con el entorno de control, tal y
como se analiza en el Principio 5 (Hace cumplir la responsabilidad por la rendición de
cuentas). Como parte de la evaluación del riesgo de fraude, la organización deberá tener
en cuenta posibles incentivos y presiones y el impacto potencial que puedan tener en el
riesgo de fraude.

OoorturlJdad

Se entiende por oportunidad la capacidad de adquirir, utilizar o vender bienes o activos,

lo cual puede venir acompañado de la alteración de los registros contables de la organi-
zación. Aquellos individuos que participan en estas actuaciones irregulares suelen creer
que sus actividades no serán detectadas. Las oportunidades surgen como resultado de
unas débiles actividades de control y actividades de supervisión, por una deficiente vigi-
lancia por parte de la dirección y por la elusión de los controles por parte de la misma.
 Marco Entorno de Control • Evaluac1on de R1e~go~ • Actividades de Control • lnformaoón y Comumcac1ón • ActiVIdades de SupeJVISion
..... ... . o... .. .... ..

Por ejemplo, la probabilidad de que se produzca una pérdida de act1vos o una informa-
ción externa fraudulenta aumenta cuando existe:

• Una estructura organizacional compleja o inestable.

• Una elevada rotación de empleados en los equipos de contabilidad, operaciones,

gestión de riesgos, auditoría interna o personal tecnologico.

• Un diseño poco efectivo o una ejecución deficiente de las actividades de control.

• Unos sistemas tecnológicos poco efectivos.

Actitud~-_ y u t!f c1ones

Las actitudes y justificaciones llevadas a cabo por los individuos que participan o tratan
de justificar determinadas actuaciones irregulares pueden tncluir las siguientes:

• Un individuo etiqueta el uso de determinados recursos como '"disposición de prés-

tamo" y tiene total intención de devolver el d 1nero robado.

• Una persona considera que la organización le debe algo como resultado de su ele-
vada insatisfacción profesional (salario, entorno de trabajo, trato por parte de sus
jefes, etc.).

• Una persona no comprende o no le importan las consecuencias de sus propias ac-

tuaciones o de las nociones aceptadas de conceptos tales como decencia y con-
fianza.

Otros aspectos a cons1derar en a e .Jac de r esgo de

fraude
Es posible mitigar la probabilidad de que un riesgo relacionado con el fraude mediante la
adopción de medidas dentro de otros componentes de contra 1nterno o realizando
cambios en las unidades operativas, procesos de negoc1o y act v•dades de la organiza-
ción. Una organización puede optar por vender determinados serv~ cios que sean pro-
pensos a incorporar unos elevados riesgos en relacion con conductas individuales; dejar
de operar en determinadas ubicaciones geográficas; reasignar cargos entre los miem-
bros de su personal para aumentar la segregación de funciones: o reorganizar sus pro-
cesos de negocio para evitar riesgos inaceptables. Por ejemplo. el riesgo de apropiación
indebida de fondos podría reducirse al implementar un equ•po de procesamiento cen-
tralizado de pagos en el que exista una mayor segregacton de •unciones en lugar de
asignar dichas responsabilidades a un número limitado de 1ndiv1duos que se encarguen
de procesar los pagos en cada una de las oficinas de la organizactón. El riesgo de co-
rrupción también puede reducirse mediante un seguimiento mas estrecho del proceso
de compras y abastecimiento de la organización. El riesgo de fraude en los estados fi-
nancieros podría reducirse creando una serie de centros de servicios compartidos que
proporcionen servicios de contabilidad a múltiples segmentos. filiales o ubicaciones
geográficas de las operaciones de una organización. Un centro de servicios compartidos

94 11111 Control Interno - Marco Integrado • MayoZOil

 Componentes del Control Interno 1Evaluauon de R1esgos

podrá ser menos vulnerable ante la influencia de directivos de operaciones locales y

podrá implementar de manera más eficiente en costos un mayor número de programas
de prevención del fraude.

Cuando la dirección detecte casos de información fraudulenta, protección inadecuada

de activos o corrupción, será necesario que se adopten medidas de resolución al res-
pecto. Además de abordar directamente las actuaciones irregulares detectadas, puede
que sea necesario adoptar soluciones dentro del proceso de evaluación de riesgos o
cambiar determinadas medidas adoptadas en el marco de otros componentes del con-
trol interno.