Iii Coso

Investigaciones
y Publicaciones
2012 (III)
Actualizacin COSO I
Anlisis del borrador del Marco de Control Interno actualizado
Ramn Abella Rubio
Joaqun Guerola Gonzlvez
Ana Cendn Cubero
Actualizacin COSO I
Anlisis del borrador del Marco
de Control Interno actualizado
Ramn Abella Rubio

Ana Cendn Cubero
NDICE
Antecedentes .................................................................................................................................................................................................................. pg. 3

Por qu actualizar COSO I?...................................................................................................................................................................... pg. 5
A. Motivos para una actualizacin del Marco de Control Interno original ........................................ pg. 5
B. Objetivos de la actualizacin ...................................................................................................................................................... pg. 7
C. Beneficios esperados ............................................................................................................................................................................ pg. 9
Proceso de actualizacin COSO I .................................................................................................................................................... pg. 10
COSO I vs. Marco Actualizado COSO ...................................................................................................................................... pg. 12
A. Qu se mantiene del Informe COSO I? .................................................................................................................... pg. 13
B. Qu vara tras la actualizacin? ............................................................................................................................................ pg. 14
C. Actualizacin/adaptacin de documentos .................................................................................................................. pg. 41
Anexos .............................................................................................................................................................................................................................. pg. 46
A. Autores del informe .......................................................................................................................................................................... pg. 46
B. Bibliografa y Fuentes ...................................................................................................................................................................... pg. 47
Actualizacin COSO I
ANTECEDENTES
Desde su publicacin en 1992, el Marco COSO I ha sido reconocido a nivel internacional como una
Mejor Prctica en materia de Control Interno, sirviendo de base para el diseo, implementacin y
evaluacin de los Sistemas de Control Interno de distintos tipos de organizaciones.
Dicho Informe fue publicado por el Committee of Sponsoring Organizations of the Treadway
Commission (en adelante, COSO), el cual est formado por representantes de cinco organismos
profesionales diferentes:
AAA Asociacin Americana de Contabilidad.
AICPA Instituto Americano de Contables Pblicos Autorizados.
FEI Instituto de Ejecutivos Financieros.
IIA Instituto de Auditores Internos.
IMA Instituto de Contables de Gestin.
PwC particip en el desarrollo del Marco COSO I original (en adelante, Marco original o Marco
COSO I) y actualmente forma parte del equipo que lidera el proceso de elaboracin del Marco COSO
I actualizado (en adelante, Marco actualizado).
En los ltimos veinte aos, los cambios sufridos por los modelos de negocio y el mercado, as como la
globalizacin de la economa, han aumentando la complejidad de las operaciones y en consecuencia, sus
riesgos asociados y el control de los mismos. En este contexto de cambio, COSO tom la determinacin
de actualizar el Marco original a finales de 2010, con el objetivo de clarificar conceptos, adaptndolos a
las nuevas caractersticas del mercado y facilitando su aplicacin en los diferentes tipos de organizaciones.
En consecuencia, el Marco actualizado incluye modificaciones que pretenden facilitar la comprensin del
proceso de implantacin y mantenimiento de un Sistema de Control Interno.
En este sentido, el Marco actualizado est compuesto por tres volmenes:
a) Resumen ejecutivo dirigido a directores, ejecutivos y reguladores.
b) Marco integrado de Control Interno actualizado.
c) Herramientas de evaluacin a usar en la revisin de la eficacia del Sistema de Control Interno.
Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012
De manera adicional, el Marco actualizado incluye el Internal Control over External Financial
Reporting: A Compendium of Approaches and Examples (ICEFR), que consiste en una gua con
ejemplos prcticos sobre el Control Interno del reporting financiero externo.
El presente informe tiene como objetivo el anlisis del borrador del Marco actualizado en tres mbitos
fundamentales:
Los motivos que han llevado a la actualizacin del Marco COSO I.
El proceso de actualizacin actualmente en curso.
Los principales cambios identificados respecto al Marco original y el anlisis del impacto que
dichos cambios han tenido en el Gobierno Corporativo, los rganos de gestin, las funciones
de supervisin y otros Grupos de Inters relevantes.
Actualizacin COSO I
1. POR QU ACTUALIZAR COSO I?

Temas tratados
Motivos para una actualizacin
Objetivos de la actualizacin
Beneficios esperados
A. Motivos para una actualizacin del Marco de Control Interno original
En 1992, el Marco COSO fue creado con el objeto de fijar una definicin comn de Control Interno
que sirviera de base a los diferentes Grupos de Inters, estableciendo un modelo estndar a nivel
internacional para la gestin del Control Interno y la evaluacin del mismo. Sin embargo, desde la
implementacin del Marco original hace veinte aos, los modelos de negocio han sufrido cambios
significativos. La globalizacin de los mercados y el incremento de las relaciones de todo tipo entre
organizaciones de diferentes localizaciones geogrficas han aumentando la complejidad de los negocios
y en consecuencia, los riesgos asociados a los mismos.
En concreto, algunos de los factores ms relevantes que han contribuido a la necesidad de
actualizacin del Sistema de Control Interno han sido los siguientes:
Variacin de los modelos de negocio como consecuencia de la globalizacin.
Mayor necesidad de informacin a nivel interno, fruto de los cambios cada vez ms rpidos
en el entorno.
Incremento del nmero y complejidad de las normativas aplicables al mundo empresarial a
nivel internacional.
Nuevas expectativas sobre la responsabilidad y competencias de los gestores de las
organizaciones.
Incremento de las expectativas de determinados Grupos de Inters (inversores, el regulador,
etc.) sobre la prevencin y deteccin del fraude.
Aumento del uso de las nuevas tecnologas y su constante desarrollo.
Nuevas exigencias del regulador y otros Grupos de Inters en relacin a la fiabilidad de la
informacin reportada.
Estos nuevos desafos surgidos en los ltimos aos requieren una mejor gestin de las operaciones
internas y el control de las mismas y, en consecuencia, un Sistema de Control Interno actualizado,
dinmico, flexible a los cambios del mercado y aplicable a todo tipo de organizaciones.
Atendiendo a los componentes del Control Interno definidos en COSO I, los principales motivos que
han llevado a la actualizacin podran resumirse en los siguientes:
Entorno de Control: Hoy en da, los modelos de Gobierno Corporativo deben adaptarse a
los distintos tipos de estructuras organizativas coexistentes (por lnea de producto, por
geografa, etc.) dentro de cada compaa.
Por otro lado, los Grupos de Inters requieren cada vez mayor transparencia sobre los rganos
de gobierno y el control de las compaas. En este sentido, es necesario informar no slo sobre
magnitudes financieras, sino tambin sobre otros aspectos clave de las compaas
(Responsabilidad Social Corporativa, Gobierno Corporativo, estrategia, etc.), ya que los
Grupos de Inters estn interesados en una mayor variedad de informacin.
Evaluacin de riesgos: Algunas de las dificultades surgidas en la aplicacin del Marco original
hacen necesario mejorar la manera de entender y evaluar los riesgos a gestionar por el Sistema
de Control Interno. Adicionalmente, en la actualidad, las organizaciones se estn viendo
obligadas a realizar mayores esfuerzos para evitar el fraude.
Actividades de control: La tecnologa ha cobrado mayor importancia en la implementacin
de actividades de control desde que se public el Marco COSO I en 1992. Actualmente est
mucho ms integrada en los procesos de negocio. Asimismo, es necesario destacar que gran
parte de dichas tecnologas exigen la externalizacin de determinados procesos, lo que aade
complejidad a su control.
Informacin y Comunicacin: Actualmente, la gestin de la informacin en las
organizaciones es mucho ms compleja que en 1992. Dicha complejidad es consecuencia de
diversos aspectos clave:
- El volumen de informacin a gestionar ha aumentado de manera exponencial en los
ltimos aos. Por ejemplo, la informacin para la toma de decisiones es cada vez ms
abundante.
- Las fuentes y los destinatarios de la informacin tambin se han multiplicado. Cabe
destacar la necesidad de gestionar la informacin a compartir y recibir de proveedores /
socios externos clave.
- El regulador y otros Grupos de Inters muestran cada vez mayores exigencias en relacin
a la calidad y fiabilidad de la informacin reportada.
- Las tecnologas de la informacin han provocado la aparicin de las redes sociales, que
requieren mecanismos de control especficos.
Actualizacin COSO I
Actividades de monitorizacin: Los cambios regulatorios de los ltimos aos otorgan cada
vez mayor relevancia al Control Interno y la fiabilidad de la informacin reportada. Esta
circunstancia ha provocado que las funciones de supervisin de las organizaciones hayan
empezado a considerar la monitorizacin en su contexto ms amplio, ayudando a la gestin a
entender cmo debe operar un Sistema de Control Interno eficaz.
B. Objetivos de la actualizacin
El siguiente cuadro expone de manera resumida los principales objetivos perseguidos con la
actualizacin del Marco COSO I, tal y como ha expuesto la propia Comisin Treadway:
Cuadro 1.1
reas de Cambio
Objetivos
Proceso de implantacin
Aumentar la claridad del proceso de implantacin definido en el

Marco original, con el objetivo de incrementar la efectividad del
Sistema de Control Interno.
Desarrollo de
componentes de COSO I
en principios
Desarrollar los cinco componentes del Marco COSO a travs de 17

principios y puntos de enfoque que faciliten la implantacin,
mantenimiento y supervisin de un Sistema de Control Interno
efectivo.
Ampliacin del objetivo

de reporting
Ampliar el alcance del Marco de Control Interno original, para no

centrarse nicamente en el reporting financiero externo, sino
tambin en reporting interno y externo de ndole no financiera.
Proceso de implantacin
COSO ha introducido determinados cambios en los componentes de COSO I (Entorno de Control,
Evaluacin de Riesgos, Actividades de Control, Informacin y Comunicacin, Monitorizacin)
encaminados a facilitar la implantacin de un Sistema de Control Interno efectivo. Por otro lado,
junto a los tres volmenes que configuran el Marco actualizado, COSO ha puesto al da el
Compendium1 que consiste en una gua con ejemplos prcticos para facilitar la implantacin de un
Sistema de Control Interno sobre el Reporting Financiero Externo.
Internal Control over External Financial Reporting: A Compendium of Approaches and Examples (ICEFR).
Desarrollo de cada componente de Control Interno en principios y puntos de enfoque

El Marco actualizado incluye ciertas mejoras y aclaraciones que tienen el objetivo de facilitar su uso y
aplicacin. Una de las mejoras ms significativas es la formalizacin de principios que desarrollan los
componentes de COSO I. Dichos principios estaban implcitos pero no formalizados en el Marco
original. Aportan claridad para el usuario a la hora de disear e implementar Sistemas de Control
Interno y ayudan a entender los requisitos para un Control Interno efectivo.
Ampliacin del objetivo de reporting
En contraste con el Marco original, el Marco actualizado se refiere no slo al reporting financiero
externo, sino tambin al reporting no financiero y al interno:
A continuacin se presenta un cuadro reflejando la relacin entre las cuatro sub-categoras:

Figura 1.2.
Relacin del Reporting
Financiero / No Financiero
I n ter
rn
no/ Exter
rn
no
Reporting financiero externo: Las entidades necesitan cumplir con la creciente y cambiante
normativa aplicable, adems de con las crecientes exigencias de los Grupos de Inters externos
sobre la informacin financiera. En este sentido, podemos destacar el nmero cada vez mayor
de interesados en los estados financieros (agencias de rating, inversores, organismos pblicos,
proveedores, organizaciones sectoriales, etc.).
Reporting no financiero externo: La direccin debe cumplir con las regulaciones y estndares
aplicables en la realizacin y publicacin de informes no financieros externos (por ejemplo,
Memoria de sostenibilidad, planes estratgicos, etc.).
Reporting interno financiero y no financiero: Los informes internos para la Alta Direccin deben
incluir la informacin necesaria para la toma de decisiones.
Caractersticas
Actualizacin COSO I
En definitiva, las lecciones aprendidas en la aplicacin del Marco COSO I durante los ltimos aos,
as como la evolucin experimentada por los mercados, modelos de negocio y riesgos, llevaron en 2010
a la Comisin Treadway (COSO) a decidir la actualizacin del mencionado Marco COSO I, con el
objetivo de hacerlo ms prctico y adaptable a las nuevas necesidades de control de las organizaciones.
C. Beneficios esperados
Los beneficios esperados del Marco actualizado se centran en la mejora de la eficacia de los Sistemas
de Control Interno. Dicha mejora debe traducirse en una mayor agilidad en su implantacin,
mantenimiento y supervisin, mejorando la claridad y fiabilidad del reporting y, en consecuencia, la
confianza de los Grupos de Inters.
En esta lnea, los principales beneficios esperados de la actualizacin del Marco son:
Mejorar el Gobierno Corporativo.
Mejorar la fiabilidad de la informacin ms all de la meramente financiera.
Incrementar la calidad de la evaluacin de riesgos.
Reforzar las actuaciones en la lucha contra el fraude.
Adaptar los controles a las necesidades cambiantes del negocio.
Mejorar la flexibilidad de los Sistemas de Control Interno, para que sea aplicable a diversas
tipologas de organizacin.
rganos de Gobierno y
Direccin
Eficacia
Agentes
externos
Confianza
Funcin de
supervisin
Asimismo, se espera que el Marco actualizado apoye a la Direccin, Consejos de Administracin,

Comits de Auditora y funciones de Auditora Interna en el desempeo de sus responsabilidades en
cuanto al diseo, implantacin y supervisin de los Sistemas de Control Interno.
2. PROCESO DE ACTUALIZACIN COSO I

Temas tratados
Pasos de la Comisin Treadway (COSO) en la actualizacin del Marco de Control Interno
10
Figura 2.1.
Proceso y calendario de actualizacin - Informe del Marco COSO actualizado
Descripcin detallada de las fases en la actualizacin del Informe:

1. Diseo y creacin del borrador de actualizacin
COSO anunci en Noviembre de 2010 su intencin de revisar y actualizar el COSO - Internal
Control - Integrated Framework (Framework) con el objetivo de hacer ms relevantes tanto el Marco,
como las herramientas de evaluacin, en un entorno de negocio que es cada vez ms complejo, para
que las organizaciones puedan disear e implementar un Sistema de Control ms efectivo.
2. Primera Consulta Pblica
El 19 de Diciembre de 2011, COSO someti a consulta pblica hasta el 31 de marzo de 2012 el
borrador del Marco de Control Interno actualizado. En dicho perodo, el inters en la actualizacin
del informe ha sido notorio en organizaciones de diferentes partes del mundo y de todos los tamaos,
de carcter pblico y privado.
Actualizacin COSO I
Concretamente, el borrador del Informe se descarg en 162 pases para su revisin. Del total de
descargas, aproximadamente el 60% corresponden a Norte Amrica, donde ha tenido mayor
trascendencia, seguido de Europa (17%) y Asia (13%).
3. Consideracin de los comentarios en el borrador
COSO, junto con PwC y su consejo asesor formado por representantes de la industria, instituciones
acadmicas, agencias gubernamentales y organizaciones sin fines de lucro, tuvieron en cuenta todas las
observaciones obtenidas de la primera consulta pblica para la elaboracin del nuevo Marco.
4. Segunda Consulta Pblica
COSO ha publicado en Septiembre de 2012 un borrador del Internal Control over External Financial
Reporting (ICEFR): A Compendium of Approaches and Examples para someterlo a consulta pblica.
11
Este Compendium se ha elaborado como complemento al Marco para ayudar a los usuarios en la
aplicacin de los objetivos de reporting financiero externo. Es una gua para el Control Interno sobre
el reporting financiero externo, que plantea ejemplos que ayudarn a las organizaciones en la
preparacin de documentos financieros que vayan a ser publicados. Sustituye a la Internal Control
over Financial Reporting - Guidance over Smaller Public Companies2, originalmente emitida en 2006.
Debe tenerse en cuenta que, tal y como establece la Comisin Treadway en el prlogo del Marco
actualizado, esta gua es de carcter orientativo y en ningn caso tiene prioridad sobre el propio Marco.
Junto con la publicacin del Compendium para consulta pblica, COSO ha puesto a disposicin del
pblico la versin revisada del Marco actualizado, el cual incorpora revisiones sacadas de los comentarios
recibidos durante la primera consulta pblica de ms de 200 organizaciones y profesionales.
Despus de la segunda consulta pblica, abierta hasta principios de Diciembre de 2012, se revisarn
los documentos con los comentarios recibidos.
Se espera que la versin definitiva del Marco actualizado se publique en el primer trimestre de 2013.
2
Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control Interno sobre la presentacin de informes financieros
Gua para las compaas pblicas ms pequeas.
3. COSO I VS. MARCO ACTUALIZADO COSO

Temas tratados
Materias que permanecen con respecto a COSO I
Cambios introducidos en el borrador de la actualizacin
Actualizacin de documentos
12
El Marco actualizado de Control Interno ha nacido con el objetivo de adaptar el Marco existente al
nuevo contexto en el que las organizaciones desarrollan su actividad y a las caractersticas actuales de
las compaas. El objetivo no es cambiar los conceptos centrales ya desarrollados en el Marco original,
sino profundizar en los ya existentes y aadir algunos nuevos para facilitar la evaluacin de un Sistema
de Control Interno.
A travs de la consideracin de las condiciones actuales del mercado, de la economa global y de la
importancia de la tecnologa en las organizaciones, el Marco actualizado permite una mayor cobertura
de los riesgos a los que se enfrentan actualmente las organizaciones. Se perfila, por tanto, como una
base ptima para que el Sistema de Control Interno contribuya a la consecucin de los objetivos de
las compaas en el mbito de las operaciones, el reporting y el cumplimiento.
En este sentido, antes de implantar un Sistema de Control Interno, la Direccin deber establecer
los objetivos de Control Interno, en lnea con la estrategia y objetivos de la organizacin y el apetito
al riesgo de la compaa. De esta manera, se sentarn las bases para el diseo e implantacin de
Sistemas de Control Interno eficaces, eficientes y alineados con los objetivos estratgicos de las
organizaciones.
A continuacin se detallan, a modo de resumen introductorio, las principales variaciones y aspectos
conservados en el proceso de actualizacin de COSO, desarrollados en mayor detalle en los apartados
expuestos ms adelante en el mismo epgrafe:
Actualizacin COSO I
Cuadro 3.1.
Qu se mantiene del COSO I?
Qu cambia?
- Definicin del concepto de

Control Interno
- Ampliacin
y
aclaracin
de
conceptos con el objetivo de abarcar
las actuales condiciones del mercado y
la economa global.
- Cinco componentes de Control

Interno
- Codificacin de principios con

aplicacin internacional para el
desarrollo y evaluacin de la
eficacia del Sistema de Control
Interno.
- Criterios a utilizar en el proceso

de evaluacin de la eficacia del
Sistema de Control Interno
- Extensin de los objetivos de

reporting ms all de los informes
financieros externos, a los de
carcter interno y a los no financieros,
tanto externos como internos.
- Uso de juicio profesional para la

evaluacin de la eficacia de los
Sistemas de Control Interno
- Inclusin de una gua orientativa

para facilitar la supervisin del
Control
Interno
sobre
las
operaciones, el cumplimiento y los
objetivos de reporting.
13
A. Qu se mantiene del Informe COSO I?

Los siguientes puntos, ya contemplados en el informe COSO I, permanecen invariables:
La definicin del concepto de Control Interno: El Control Interno es un proceso llevado a cabo por el
personal de una organizacin, diseado con el fin de proporcionar un grado de seguridad razonable
sobre el logro de los objetivos de las siguientes categoras:
- Eficacia y eficiencia de las operaciones
- Confiabilidad de los informes realizados
- Cumplimiento de la ley y regulacin aplicable.
El informe COSO actualizado mantiene los cinco
componentes del Control Interno ya establecidos en el
informe COSO I:
1) Ambiente de control
2) Evaluacin de riesgos
3) Actividades de control
4) Informacin y comunicacin
5) Actividades de monitorizacin
A pesar de que la descripcin de los mismos y su desarrollo en el Marco actualizado han sido
puestos al da, las variaciones introducidas no modifican la base de los conceptos ya
contemplados en la versin original de 1992.
Se conservan los criterios fundamentales establecidos para la evaluacin del Sistema de
Control Interno.
El uso de juicio profesional a la hora de evaluar la efectividad del Sistema de Control Interno
sigue considerndose un elemento indispensable en el Marco actualizado, al igual que ya lo era
en el Marco de 1992.
B. Qu vara tras la actualizacin?

Los cambios ms relevantes pueden clasificarse de la siguiente forma:
14
A continuacin detallamos las principales modificaciones, indicando para cada una de ellas el impacto
a nivel de rganos de gestin, funciones de supervisin y otros Grupos de Inters relevantes.
OBJETIVOS
Aclaracin de la necesidad de establecer objetivos de negocio como condicin previa a los
objetivos de Control Interno
Ya el Marco original trataba de aclarar que la fijacin de objetivos de negocio es una condicin previa
del Sistema de Control Interno y no parte del mismo. Con el propsito de enfatizar este punto, la
versin actualizada profundiza en el anlisis del establecimiento de objetivos a nivel de operaciones,
cumplimiento y reporting.
En este sentido, en el Marco actualizado se establece que no es prctico disear e implementar un
Sistema de Control Interno, a menos que los objetivos de negocio a distintos niveles (operaciones,
Actualizacin COSO I
cumplimiento y reporting) estn definidos de forma previa. Establecer los objetivos de negocio es parte
de la planificacin estratgica de la organizacin, que debe tener en cuenta tanto las decisiones de la
Direccin, como las leyes, regulaciones y otros estndares aplicables.
El siguiente diagrama (Figura 3.2) ilustra las dos grandes fases en relacin a los objetivos.
Figura 3.2.
Definir Objetivos y Especificar Objetivos en el contexto de Reporting Financiero Externo
Planiffiicacin estratgica y gestin
Entorno, normativa y
estndares que
podrn afectar a las
operaciones, al
cumplimiento y a los
objetivos de
reporting.
Considerando el
marco externo, a
nivel interno, se
deben definir los
objetivos de negocio
y actuaciones en
distintos mbitos.
Entre dichos
mbitos se
encuentras las
operaciones, el
reporting y el
cumplimiento.
Control Interno
La compaa debe
evaluar los siguientes
aspectos en relacin a
los objetivos:
Son medibles,
alcanzables y
relevantes.
Encajan con los
requerimientos y
estndares de
Control Interno
aplicables.
Estn
adecuadamente
comunicados.
La compaa debe
utilizar los objetivos
de negocio como
base para la
evaluacin de
Riesgos a cubrir por
el Sistema de
Control Interno.
IMPACTO
Es necesario fijar los objetivos de negocio a nivel de operaciones, cumplimiento y reporting con
carcter previo al diseo e implantacin del Sistema de Control Interno. De esta forma, se puede
proporcionar un grado de seguridad razonable sobre los objetivos en las siguientes categoras:
eficacia y eficiencia de las operaciones, confiabilidad de los informes realizados, cumplimiento de
la ley y regulacin aplicable. En este sentido, conviene considerar los siguientes aspectos:
El Consejo de Administracin y la Alta Direccin deben establecer los objetivos de negocio
a nivel de operaciones, cumplimiento y reporting, para posteriormente ser capaces de disear
e implantar un Sistema de Control Interno orientado a controlar y mitigar de manera
adecuada los riesgos que afectan a dichos objetivos.
La supervisin del Sistema de Control Interno debe considerar en qu medida este ltimo
est ligado a los objetivos de negocio a nivel de operaciones, cumplimiento y reporting,
como una de las condiciones previas ms relevantes para su eficacia. El plan de supervisin
del Comit de Auditora y de la funcin de auditora interna deber considerar este aspecto.
15
Ampliacin del objetivo de reporting financiero

COSO ha mantenido los tres objetivos del Marco original (operaciones, reporting y
cumplimiento), ampliando el alcance que inicialmente se haba establecido para el objetivo de
reporting. De este modo, mientras que el primer y el tercer objetivo3 se mantienen sin variaciones,
el segundo, la confiabilidad del reporting financiero, se ampla en el Marco actualizado para
contemplar el reporting tanto de carcter financiero como no financiero y el reporting a nivel
externo e interno.
En este sentido, de acuerdo con el Marco actualizado, la presentacin de informes a nivel externo
da respuesta principalmente a las regulaciones y normativas establecidas y a las solicitudes de los
Grupos de Inters, mientras que el reporting interno atienden a las necesidades internas de las
organizaciones.
Figura 3.3.
Cubo COSO actualizado
Cubo COSO original
16
Entorno de Control
Primer objetivo: eficacia y eficiencia de las operaciones.

Tercer objetivo: cumplimiento de las leyes y regulacin aplicables.
Ac
cttivid
da
ad 1
Evaluacin de Riesgo
gos
os
Activid
da
ad 2
Activida
ad
des de Control
Unidad A
Informacin y Comunicca
acin
Un
U
nidad B
Monitorizacin
Actualizacin COSO I
IMPACTO
Tal y como se refleja en el Informe Corporate Reporting: A critical system at Risk4, cada vez son
mayores las exigencias de los Grupos de Inters en lo referente a la transparencia y fiabilidad de la
informacin reportada, tanto hacia el exterior, como a nivel interno.
Asimismo, la Encuesta de la Alta Direccin en Espaa 20115 refleja la previsin de cambios en el
modelo de gestin de la informacin por parte de las compaas, para hacer nfasis en la
comunicacin y la reputacin corporativa durante el ao 2012. En este sentido, no conviene
olvidar las actuales tendencias de reporting integrado, muy asentadas en el mundo anglosajn y
con un auge reciente en pases como Espaa. Dichas tendencias abogan por ofrecer a los Grupos
de Inters, no slo informacin financiera, sino toda aquella informacin relevante para explicar
cmo crea valor una organizacin. Dichas tendencias quedan tambin reflejadas en el mencionado
Corporate Reporting: A critical system at Risk6.
El Marco actualizado contribuye a la satisfaccin de las exigencias de transparencia y fiabilidad en
relacin a la informacin, ampliando el alcance del Sistema de Control Interno en cuanto a la
fiabilidad de la informacin reportada. De esta forma, el Marco actualizado sigue, en cierto modo,
la misma lnea que el Grupo de Trabajo de Control Interno (GTCI) de la CNMV7, que ya en junio
2010 recomendaba ampliar el alcance del anlisis de riesgos sobre la fiabilidad de la informacin
financiera, para incluir otra tipologa de riesgos.
En lnea con el Cdigo Unificado de Buen Gobierno, el Consejo de Administracin es el
responsable de la aprobacin y el seguimiento peridico de los sistemas de informacin y de
Control Interno.
La Alta Direccin, como responsable de su mantenimiento, deber analizar si su Sistema de
Control Interno abarca toda la informacin relevante, haciendo especial hincapi en la
informacin utilizada para la toma de decisiones.
En lnea con la Alta Direccin, el Comit de Auditora deber supervisar si el Sistema de Control
Interno tiene un alcance adecuado a nivel de fiabilidad de la informacin. Para ello, lo habitual es
que se apoye en la funcin de auditora interna, que deber disear un plan que incluya el anlisis
del alcance del Sistema de Control Interno, teniendo en cuenta los Grupos de Inters clave
(externos e internos) y la tipologa de informacin ms relevante para cada uno de ellos.
Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracin
con PwC.
5
4. Encuesta de Alta Direccin en Espaa 2011: Reinventando el crecimiento.
6
Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered Institute of Management Accountants en colaboracin
con PwC.
7
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
4
17
COMPONENTES, NUEVOS PRINCIPIOS Y PUNTOS DE ENFOQUE

Componentes
Los cinco componentes de Control Interno no varan con respecto al Marco original de 1992. No
obstante, en el Marco actualizado se introducen cambios clave en aspectos relacionados con ellos:
Desarrollo de los componentes en 17 principios formalizados. Las principales caractersticas y
ejemplos de cada principio estn reflejadas en los puntos de enfoque (ver epgrafe siguiente:
Formalizacin de principios)
Variacin del orden de los componentes en el cubo COSO I, apareciendo ahora en orden
inverso al que estaban en el Marco original. Con la presente modificacin, COSO pretende
que el orden de funcionamiento de cada uno de los componentes se adapte al orden ya
incluido en el cubo de COSO II o Enterprise Risk Management - Integrated Framework (ver
figura 3.14). De esta forma, ambos Marcos parten del componente ms general,
responsabilidad de los rganos de gobierno y de la Alta Direccin, para descender a
componentes ms transaccionales y terminar en la supervisin y monitorizacin. Por otro
lado, se facilita la comparacin entre ambos Marcos (de hecho, en el Marco actualizado se
incluye una breve comparacin entre ambos).
18
Actividades de control
Informacin y comunicacin
Actividades de monitorizacin
Funcin
Evaluacin de riesgos
Nivel de Entidad
Entorno de control
Divisin
Unidad operativa
Figura 3.4.
Actualizacin COSO I
Formalizacin de principios
El Marco actualizado incorpora un total de 17 principios codificados asociados a los cinco
componentes de Control Interno, as como puntos de enfoque para cada uno de ellos. Dichos
principios y puntos de enfoque comprenden criterios que pueden ayudar a la Direccin en el diseo
de un Sistema Control Interno efectivo y al supervisor a evaluar dicho Sistema y su efectividad. Los
principios establecidos representan los conceptos fundamentales asociados a cada uno de los cinco
componentes. Todos ellos son de aplicacin a los tres objetivos de Control Interno establecidos y
pretenden ampliar dicha aplicacin a todo tipo de organizaciones: cotizadas o no, pblicas y privadas,
con y sin nimo de lucro, etc.
Los puntos de enfoque representan las principales caractersticas de cada uno de los principios, con el
objetivo de ayudar a las organizaciones a comprender y aplicar el Marco actualizado, abarcando todos
los aspectos relevantes de un Sistema de Control Interno.
La figura 3.5 detalla los diecisiete principios incorporados en la estructura actualizada:
Figura 3.5.
Principios y Componentes
19
IMPACTO
Adems de formalizar los 17 principios clave que desarrollan los componentes del control interno,
el Marco actualizado define formalmente dos criterios clave para que un Sistema de Control
Interno sea efectivo:
Los cinco componentes deben estar integrados.
Los 17 principios que los desarrollan deben ser adecuadamente aplicados en la organizacin.
Por tanto, gracias a la formalizacin de principios y puntos de enfoque (implcitos en el Marco
original y explcitos en el Marco actualizado), la Direccin, el Consejo de Administracin y el
Comit de Auditora cuentan con una descripcin ms detallada de los aspectos que pueden ser
relevantes (puntos de enfoque) para el diseo, mantenimiento y supervisin de un Sistema de
Control Interno efectivo.
En este sentido, el Marco actualizado facilita la labor de diseo y supervisin del Sistema de
Control Interno y permite comprender con ms claridad el contenido, el significado y el impacto
que los Sistemas de Control Interno implementados tienen a la hora de mitigar los riesgos de la
compaa.
20
Los principios y puntos de enfoque han introducido cambios clave en cada uno de los componentes,
con el objetivo de mejorar y facilitar la implantacin y mantenimiento del Sistema de Control Interno.
Dichos cambios se enumeran a continuacin:
Actualizacin COSO I
Cuadro 3.6.
Cambios clave
Componentes
Entorno de Control
x Se recogen en 5 principios la relevancia de la

integridad y los valores ticos, la importancia de la
filosofa de la Direccin y su manera de operar, la
necesidad de una estructura organizativa, la
adecuada asignacin de responsabilidades y la
importancia de las polticas de recursos humanos.
x Se explican las relaciones entre los componentes del
Control Interno para destacar la importancia del
Entorno de Control.
x Se reflejan las lecciones aprendidas sobre la
integridad y los comportamientos ticos.
x Se ampla la informacin sobre el Gobierno
Corporativo de la organizacin, reconociendo
diferencias en las estructuras, requisitos, y retos a lo
largo de diferentes jurisdicciones, sectores y tipos de
entidades.
x Se enfatiza la supervisin del riesgo y la relacin
entre riesgo y la respuesta al mismo.
x Se enfatiza la necesidad de adaptar el entorno de
control a la estructura organizativa.
21
Evaluacin de Riesgos
x Se ampla la categora de objetivos de reporting,

considerando todas las tipologas de reporting
internos y externos.
x Se aclara de manera explcita que la evaluacin de
riesgos incluye la identificacin de riesgos, su anlisis
y la respuesta.
x Se incluyen los conceptos de velocidad y persistencia
de los riesgos como criterios para evaluar la
criticidad de los mismos.
x Se considera la tolerancia al riesgo en la evaluacin
de los niveles aceptables de riesgo.
x Se incluyen los cambios en los factores internos y
externos de cada organizacin, como elementos a
gestionar por la Direccin para disear el Sistema de
Control. Considera de manera especfica el riesgo
asociado a las
fusiones, adquisiciones
y
externalizaciones.
x Se ampla la consideracin del riesgo de fraude.
Actividades de Control
x Se indica que las actividades de control son acciones

establecidas por polticas y procedimientos.
x Se considera la evolucin de la tecnologa desde
1992.
x Se enfatiza la diferenciacin entre controles
automticos y Controles Generales de Tecnologa.
22
Informacin y
Comunicacin
x Se enfatiza la relevancia de la calidad de la

informacin dentro del Sistema de Control Interno.
x Se profundiza en la necesidad de informacin y
comunicacin entre la empresa y terceras partes.
x Se enfatiza el impacto de los requisitos regulatorios
sobre la seguridad y proteccin de la informacin.
x Se refleja el impacto que tienen la tecnologa y otros
mecanismos de comunicacin en la rapidez y calidad
del flujo de informacin.
Actividades de
Monitorizacin
x Se clarifica la terminologa, definiendo dos categoras

clave
de
actividades
de
monitorizacin:
evaluaciones
continuas
\
evaluaciones
independientes
x Se aade la necesidad de entender cmo establecer y
evaluar las evaluaciones continuas y las
independientes.
x Se profundiza en la relevancia del uso de la
tecnologa y los proveedores de servicios externos.
Entre los cambios clave introducidos en los componentes, a travs de los nuevos principios y puntos
de enfoque, conviene profundizar en los siguientes:
Lecciones aprendidas en cuanto a integridad y valores ticos

Segn el Marco actualizado, una organizacin que establece y mantiene un adecuado entorno de
control es ms fuerte a la hora de afrontar riesgos y conseguir sus objetivos. Esto lo consigue gracias a:
Actitudes congruentes con su integridad y valores ticos.
Procesos y estructuras adecuados para la evaluacin de conductas.
Asignacin adecuada de responsabilidades (por ejemplo, respetando la segregacin de
funciones).
Un elevado grado de competencia y un fuerte sentido de la responsabilidad para la
consecucin de los objetivos.
Actualizacin COSO I
IMPACTO
En lnea con las lecciones aprendidas sobre la integridad y los valores ticos que refleja el Marco
actualizado, la CNMV recomienda contar con un Cdigo tico y un canal de denuncias a disear
e implantar por la Alta Direccin. El Cdigo tico supone una declaracin de intenciones clara
para toda la organizacin. Sin embargo, es importante considerar la posible dicotoma entre los
valores ticos realmente promovidos y aplicados y los valores ticos incluidos formalmente en el
Cdigo tico, dado que no siempre estn alineados, lo que puede dificultar el funcionamiento de
los Sistemas de Control Interno.
Para mejorar en este sentido, el Consejo de Administracin y la Direccin debern acometer, tal y
como refleja el Marco actualizado, las siguientes actuaciones:
El Consejo de Administracin y la Direccin debern demostrar, a travs de sus directrices,
acciones y comportamientos, la importancia de la integridad y los valores ticos para el
funcionamiento del Sistema de Control Interno.
Las expectativas del Consejo de Administracin y de la Alta Direccin, referentes a la
integridad y los valores ticos, debern estar definidas en los estndares de conducta de la
organizacin (por ejemplo, el Cdigo de Conducta) y debern ser entendidas por todos los
niveles de la organizacin, as como por los socios clave y proveedores de servicios externos.
Ser necesario contar con procesos para evaluar la actuacin de los empleados y de los
equipos dentro de la organizacin, en lo relativo a los estndares de conducta de la
compaa.
Las desviaciones con respecto a dichos estndares debern estar identificadas y solucionadas
en un espacio de tiempo y modo adecuados.
Aspectos de Gobierno Corporativo

El Marco actualizado incluye una descripcin detallada del Consejo de Administracin y sus comits
o comisiones delegadas (Comit de Auditora, Comit de Retribuciones, Comit de Nombramientos).
El Consejo de Administracin es el responsable de supervisar el Sistema de Control Interno. En este
sentido, asume un rol fundamental en la definicin de las expectativas en cuanto a la integridad y los
valores ticos, la transparencia y la responsabilidad en el marco del funcionamiento del Sistema de
Control Interno.
A menudo, el Consejo de Administracin acta a travs de comits o comisiones delegadas, si bien,
dependiendo de la jurisdiccin y la naturaleza de la organizacin, la estructura de gobierno puede
variar. En aquellos casos en los que no se haya creado un comit en concreto, las funciones atribuibles
al mismo debern ser realizadas directamente desde el Consejo de Administracin.
23
La figura 3.7. muestra un ejemplo de estructura de Consejo de Administracin y sus comits o

comisiones delegadas. En la figura 3.8. se detallan las funciones de cada uno de los comits del Consejo.
Figura 3.7.
Ejemplo de Consejo de Administracin y sus comits
Cuadro 3.8.
24
Actualizacin COSO I
Si bien actualmente, en Espaa existen nicamente dos empresas del IBEX que tienen diferenciadas
las Comisiones de Retribuciones y Nombramientos, las nuevas competencias asignadas en materia de
retribucin harn, que en un futuro prximo, aumente el nmero de empresas que tengan estas
Comisiones separadas.
IMPACTO
El marco describe los roles y responsabilidades del Consejo y sus comits o comisiones delegadas.
Asimismo, reconoce la diferencia de estructuras dependiendo de las distintas jurisdicciones, sectores
y tipos de entidades. El Marco actualizado ha querido reflejar la creciente relevancia del Consejo de
Administracin en el Sistema de Control Interno. En este sentido, conviene destacar que, segn
recientes encuestas a consejeros de compaas cotizadas espaolas , los Consejos de Administracin
cada vez dedican mayor parte de su tiempo a la Gestin de Riesgos y Control Interno.
En esta misma lnea, de acuerdo con una Encuesta anual de PwC a consejeros de las principales
empresas a nivel mundial, un 57% de los entrevistados manifest la necesidad de reforzar el rea
de gestin de riesgos.
El Principio 3 establece que la Direccin y el Consejo de Administracin tienen que considerar la
estructura organizativa de la empresa (incluyendo unidades operativas, entidades legales,
distribucin geogrfica y proveedores de servicios externalizados) para lograr la consecucin de los
objetivos de control interno y la gestin de riesgos.
Asimismo, debern establecer las lneas de reporting adecuadas para planificar, ejecutar, controlar,
y evaluar peridicamente las actividades de la entidad.
En este sentido, el Marco reconoce que la comunicacin entre el Consejo, sus Comisiones
delegadas y la Direccin deber ser fluida y continua.
En el Estudio sobre Comits de Auditora 2012, se pone de manifiesto que los Comits de
Auditora dan cada vez ms relevancia, no slo a la comunicacin con el Consejo, sino tambin su
relacin con la funcin de auditora interna y con el auditor externo.
Por otro lado, de acuerdo con el Informe sobre El futuro de la Comisin de Nombramientos y
Retribuciones, esta Comisin pasar a asumir un papel clave en la supervisin de los riesgos;
especialmente en aquellos relacionados con los riesgos financieros (entre los que se encuentran los
relativos a planes retributivos, de pensiones, ) y estratgicos (sucesin, nombramientos, ). Esta
situacin tendr una clara incidencia en la relacin que mantenga la Comisin de Nombramientos
y Retribuciones con los rganos responsables de la gestin de riesgos y control interno.
25
Criterios de evaluacin de riesgos

El nuevo Marco aclara que la gestin de riesgos incluye la identificacin, el anlisis y la respuesta a los
mismos, incluyendo nuevos criterios de anlisis, tales como velocidad y persistencia:
La velocidad del riesgo se refiere a la rapidez con la que impacta un riesgo en la organizacin
una vez se ha materializado; es decir, hace referencia al ritmo con el que se espera que la
entidad experimente el impacto.
La persistencia de un riesgo hace referencia a la duracin del impacto despus de que el riesgo
se haya materializado.
IMPACTO
De acuerdo con los puntos de enfoque recogidos en el principio 7, la Direccin debe entender la
tolerancia al riesgo de la organizacin y evaluar si existen mecanismos adecuados para la
identificacin y el anlisis de riesgos.
Por otro lado, la Direccin debe evaluar la consideracin de factores externos e internos en la
identificacin de los riesgos que afectan a los objetivos, analizar la relevancia potencial de los
riesgos identificados y determinar la respuesta a los mismos.
26
En Julio de 2010, el Grupo de Trabajo de Control Interno de la CNMV emiti un informe8 en el

que se recomendaba identificar y analizar los riesgos asociados al logro de los objetivos como base
para determinar qu controles deben ser implantados. A partir de la evaluacin y seleccin de los
riesgos relevantes que afectan a los objetivos de la compaa, la Direccin determinar cules son
los procesos relevantes que requieren la implantacin de actividades de control y seleccionar
mecanismos de control para mitigarlos. Para ello, debe considerar aspectos clave especficos de la
organizacin, como por ejemplo, la naturaleza y complejidad de las operaciones, y disear la
actividad de control ms adecuada para cada uno de los riesgos a gestionar mediante el Sistema de
Control Interno.
Riesgos derivados del crecimiento, las fusiones y adquisiciones

En el entorno actual, las organizaciones se expanden ms all del mercado domstico. En este sentido,
el crecimiento inorgnico se convierte en un mecanismo de apoyo para la generacin de valor. El
Marco actualizado considera especficamente los riesgos derivados del crecimiento internacional, de las
fusiones y de las adquisiciones. Tanto las adquisiciones como las desinversiones de negocios pueden
impactar en el alineamiento entre los Sistemas de Control Interno y los objetivos de las entidades, lo
que se deber tener en cuenta a la hora de evaluar su efectividad.
8
Actualizacin COSO I
IMPACTO
Los mercados cambian y las organizaciones tienen que adaptarse y evolucionar. Como parte de la
evaluacin de riesgos, la Direccin debe identificar los cambios que pueden impactar
significativamente en el Sistema de Control Interno de la entidad y tomar medidas. Este proceso
se ejecuta en paralelo, o es una parte del proceso de evaluacin de riesgos, lo cual requiere la
identificacin y comunicacin de los cambios que puedan afectar a los objetivos de la entidad, para
as evaluar los riesgos asociados.
El crecimiento inorgnico normalmente conlleva nuevos riesgos, por tanto la Direccin debe
tomar las medidas necesarias para adaptar su Sistema de Control Interno y para planificar e
integrar nuevas adquisiciones. De este modo, recae en ellos la responsabilidad de la reevaluacin
de riesgos y la actualizacin del permetro de control. De hecho, la CNMV ya considera esta
posibilidad entre los indicadores bsicos de informacin y sus recomendaciones9.
Por otro lado, es necesario destacar que la Encuesta de Auditora Interna 201210 refleja que ms del
50% de los Directores de Auditora Interna y Grupos de Inters relevantes consideran que el riesgo
relativo a las fusiones y adquisiciones no est siendo bien gestionado en su compaa.
En cuanto al crecimiento internacional, desarrollar negocios en nuevas geografas puede ayudar a
la compaa a crecer y/o reducir costes, pero tambin puede presentar nuevos retos y alterar los
tipos y extensin de los riesgos. Operar en mercados desconocidos conlleva tambin riesgos
nuevos. De hecho, el Sistema de Control Interno se suele ver afectado e influenciado por la cultura
y costumbres locales (principio 9).
Cuando las operaciones se expanden rpida y significativamente, las estructuras existentes, los
procesos de negocio, los sistemas de informacin o los recursos pueden verse afectados hasta
el punto en el que el Sistema de Control Interno deje de ser efectivo. Este aspecto cobra
especial relevancia en Espaa, donde la mayora de las grandes empresas piensa en el
crecimiento internacional, tal y como queda reflejado en la Encuesta a la Alta Direccin en
Espaa 201111.
Informe de Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control Interno de la CNMV, de Junio 2010.
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre la funcin de auditora interna?
11
4. Encuesta de Alta Direccin en Espaa 2011 elaborada por PwC: Reinventando el crecimiento.
9
10
27
Ampliacin del concepto de fraude

El Marco de 1992 ya recoga el concepto de fraude en el apartado dedicado a la evaluacin de riesgos,
haciendo referencia a la importancia de la existencia de una adecuada estructura organizativa y
actividades de supervisin que garantizasen la preparacin de estados financieros fiables y libres de
errores materiales o informacin fraudulenta. La versin actualizada incrementa de manera
considerable el anlisis del fraude y lo incluye adems como uno de los diecisiete principios de Control
Interno, amplindolo de manera explcita. Concretamente, el Marco actualizado establece la necesidad
de considerar el riesgo de fraude potencial que pueda afectar a la consecucin de los objetivos de la
organizacin en el principio 8: Gestin del riesgo de fraude. As, mientras que en el Marco de 1992
slo se contemplaba el concepto de fraude en el reporting, en el Marco actualizado se ampla este
concepto en el citado principio 8, en el que se hace referencia a la consideracin de varios tipos de
fraude, enfatizando as el anlisis y gestin del fraude dentro del Marco de Control Interno de las
organizaciones.
Se aportan una serie de puntos de enfoque para que la Direccin evale si este principio est presente
y funcionando:
28
La evaluacin del fraude considera el reporting fraudulento, posible prdida de activos, y

corrupcin;
La evaluacin de riesgo de fraude evala incentivos y presiones;
La evaluacin de riesgo de fraude tiene en consideracin el riesgo de fraude por adquisiciones
no autorizadas, uso o enajenacin de activos, alteracin de los registros de informacin, u otros
actos inapropiados;
La evaluacin del riesgo de fraude considera cmo la Direccin u otros empleados participan
en o justifican acciones inapropiadas.
El Marco actualizado define varios tipos de fraude:
Reporting fraudulento;
Custodia de activos;
Corrupcin.
Las organizaciones pueden mitigar la probabilidad de los riesgos relacionados con el fraude a travs de
actuaciones en otros componentes del Sistema Control Interno o haciendo cambios en las unidades
operativas de la entidad, procesos de negocio o actividades desarrolladas.
Actualizacin COSO I
La segregacin de funciones, por ejemplo, es fundamental a la hora de mitigar el riesgo de fraude, ya

que reduce la probabilidad de actuaciones fraudulentas por parte de una sola persona.
IMPACTO
Un punto que preocupa hoy en da a los distintos Grupos de Inters y en especial a los Comits
de Auditora, es el riesgo de fraude. As queda reflejado en todos los estudios relacionados con el
Control Interno o similares que se han realizado en los ltimos aos.12
El Marco actualizado refleja asimismo su relevancia, definiendo tipos de fraude y estableciendo
puntos de enfoque para la identificacin del riesgo y el establecimiento de mecanismos de control.
Los mismos principios y puntos de enfoque ayudarn a su vez a los Comits de Auditora y a las
funciones de auditora interna a evaluar si la Direccin ha considerado todos ellos a la hora de
disear los controles mitigadores del riesgo de fraude y, en consecuencia, la existencia de un
Sistema de Control Interno efectivo en lo que a fraude se refiere.
Dada la categorizacin del riesgo de fraude como un principio por s mismo, las empresas que
demuestren contar con Sistemas de Control Interno efectivos, aportarn una mayor fiabilidad
hacia los distintos Grupos de Inters, puesto que un Sistema de Control Interno efectivo
presupone haber considerado todos los principios en el Sistema de Control Interno diseado e
implementado.
Formalizacin de los controles en polticas y procedimientos

El Marco actualizado, a travs del principio 12 y sus puntos de enfoque, establece cmo la Direccin
puede evaluar si la organizacin est desarrollando actividades de control a travs de polticas. Dichas
polticas deben marcar las lneas generales de actuacin para toda la organizacin y deben estar
desarrolladas en procedimientos con mayor nivel de detalle.
Las polticas establecen las declaraciones de lo que la Direccin quiere hacer para alcanzar un nivel de
control adecuado. Deben estar documentadas, aparecer de manera explcita en las comunicaciones o
implcitas en las acciones y decisiones de la Direccin. Los procedimientos consisten en documentos
a travs de los cuales se implementan las polticas.
12
Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de Gobierno Corporativo en
colaboracin con PwC.
29
IMPACTO
Los controles deben estar reflejados en polticas y procedimientos, ya que el Marco actualizado
insiste en la necesidad de formalizacin. En este sentido, es necesario contraponer formalizacin a
burocratizacin, ya que muchas veces se considera que van de la mano. Nada ms lejos de la
realidad, una formalizacin adecuada, evita la burocratizacin y aporta eficacia y eficiencia en las
operaciones y la toma de decisiones, adems de aportar confort a los rganos de gobierno en la
cobertura de sus responsabilidades. La Alta Direccin debe considerar la formalizacin de sus
controles, evitando el control informal y la confianza como mtodo de control. Dicha
formalizacin ayuda a cumplir con los objetivos de negocio y del Sistema de Control Interno y
aporta facilidad y eficiencia a las tareas de supervisin.
La tecnologa
Por su relevancia y amplitud, el cambio a nivel de tecnologa se ha tratado en un punto especfico ms
adelante dentro del presente epgrafe.
Modelo de supervisin por parte del Consejo de Administracin y la Alta Direccin
30
El Marco actualizado formaliza el principio 2 del componente Entorno de Control, en el que se

establece que el Consejo de Administracin debe demostrar independencia de la Direccin de la
compaa y ejercitar la supervisin del Sistema de Control Interno. Como en el resto de principios,
existen puntos de enfoque para ayudar a determinar si el principio est funcionando
adecuadamente:
Responsabilidades de supervisin: El Consejo de Administracin debe identificar y formalizar
sus responsabilidades de supervisin. Para ello, debe considerar la normativa aplicable y las
expectativas de los Grupos de Inters clave.
Expertise relevante: El Consejo de Administracin debe definir y mantener actualizadas las
habilidades y el expertise necesarios para cumplir con sus responsabilidades de supervisin.
Para ello, peridicamente debe evaluar las habilidades de sus miembros.
Independencia: El Consejo debe contar con un nmero suficiente de miembros
independientes y ser independiente y objetivo a la hora de ejercer la supervisin.
Supervisin del Sistema de Control Interno: El Consejo de Administracin tiene la
responsabilidad ltima de supervisin sobre el Sistema de Control Interno.
A continuacin (Cuadro 3.9) se muestra un ejemplo de las actividades de supervisin del Consejo
de Administracin, elaborado a partir de las responsabilidades clave incluidas en el Marco
actualizado:
Actualizacin COSO I
Cuadro 3.9.
Actividades de Supervisin del Consejo
Componentes
13
Entorno de Control
x Actuar con independencia y objetividad en representacin

de los accionistas y otros inversores clave.
x Definir una estructura de supervisin adecuada a las
necesidades de la organizacin.
x Supervisar la definicin de los estndares de conducta de la
organizacin y evaluar su nivel de aplicacin.
x Evaluar la actuacin del CEO13 y la Alta Direccin en
materia de Control Interno en funcin de las expectativas y
objetivos pre-definidos.
x Evaluar la efectividad de los Controles Generales de la
Organizacin e identificar oportunidades de mejora.
x Realizar seguimiento de las mejoras identificadas y solicitar
informacin a la Alta Direccin sobre la implantacin de las
mismas.
Evaluacin de Riesgos
x Considerar factores externos e internos que pueden

suponer riesgos relevantes para la consecucin de los
objetivos.
x Supervisar y aprobar las evaluaciones de riesgos realizadas
por la Direccin.
x Evaluar la proactividad de la organizacin en relacin al
control frente a cambios relevantes (por ejemplo,
innovacin, cambios tecnolgicos, etc.)
x Solicitar informacin sobre el diseo, desarrollo,

implantacin y funcionamiento de las actividades de
control en las reas con mayor nivel de riesgo.
x Evaluar el desempeo de la Alta Direccin en relacin a las
actividades de control clave.
Informacin y
Comunicacin
x Comunicar adecuadamente la visin, misin y valores a la

RUJDQL]DFLyQ7RQHDWWKH7RS
x Solicitar la informacin necesaria para supervisar el nivel
de consecucin de los objetivos de Control Interno.
x Examinar la informacin recibida de la organizacin y
presentar diferentes puntos de vista.
x Revisar el reporting externo para que cumpla con los
objetivos de Control Interno (totalidad, exactitud, etc.)
x Promover la comunicacin hacia la Direccin y viceversa.
x Supervisar el reporting interno que sea relevante para la
toma de decisiones.
Chief Executive Officer o Consejero Dejegado.
31
Por otro lado, en el principio 16 (del componente Monitorizacin de Actividades), se introducen los
conceptos de evaluaciones continuas (ongoing evaluations) y evaluaciones independientes
(separate evaluations). Este principio, y sus 7 puntos de enfoque, establecen que la Direccin es la
responsable de decidir el equilibrio entre dichas evaluaciones y el alcance y frecuencia de las mismas
en funcin de los riesgos.
Las evaluaciones continuas se refieren generalmente a operaciones peridicas realizadas por los propios
responsables de los procesos de negocio. Permiten una supervisin en tiempo real y gran rapidez de
adaptacin. Las evaluaciones independientes se llevan a cabo peridicamente por personal
independiente dentro de la Direccin, auditores internos y/o terceros. El objetivo y la frecuencia de
las evaluaciones independientes dependen de la decisin de la Direccin.
Generalmente, la Direccin utiliza un mix de ambos tipos de evaluaciones para asegurarse de que los
cinco componentes estn funcionando adecuadamente.
IMPACTO
32
El Marco actualizado delimita ms claramente que el original las responsabilidades de supervisin

del Consejo de Administracin y define explcitamente las actividades que este ltimo debe ejecutar.
Este cambio tiene una doble vertiente para los Consejos de Administracin. Por un lado, ayuda a
la planificacin de sus actividades de supervisin del Sistema de Control Interno, normalmente
realizadas a travs de la Comisin de Auditora. En este sentido, ahora dichos Comits cuentan
con una herramienta ms clara para cumplir con su responsabilidad de supervisin de la eficacia
del Sistema de Control Interno, tal y como se establece de manera implcita en la legislacin
espaola.
Por otro lado, de manera implcita, se delimitan ms claramente las obligaciones en relacin a la
supervisin del Sistema de Control Interno, entre las que podemos destacar las siguientes:
La supervisin del Consejo debe estar apoyada por funciones de soporte y procesos en la
propia organizacin.
El Consejo de Administracin debe ser independiente de la Direccin y debe demostrar las
habilidades y expertise necesarios para llevar a cabo sus responsabilidades.
La composicin del Consejo debe adaptarse a las necesidades de cada organizacin y las
expectativas de los Grupos de Inters clave.
Etc.
Actualizacin COSO I
La mayor parte de estas obligaciones ya estn incluidas en la legislacin aplicable o ya son asumidas
de manera expresa por la mayor parte de los Consejos de Administracin y Comisiones de
Auditora, tal y como puede desprenderse de estudios recientes sobre la materia.14
Por otro lado, aunque el Marco actualizado establece de forma detallada las actividades de
supervisin del Consejo de Administracin a travs del Comit de Auditora, no resalta la
relevancia de la funcin de auditora interna como punto de apoyo clave de este ltimo. Tal y como
queda reflejado en el Estudio sobre los Comits de Auditora del 2012, es necesario destacar la
relevancia que dan los Comits de Auditora a la labor de la funcin de auditora interna, as como
al hecho de tener con ella una adecuada y fluida comunicacin. Adems, siguiendo la lnea de las
recomendaciones de los reguladores de la mayora de pases en Europa y Estados Unidos, es
previsible que las actividades de supervisin incluidas en el Marco actualizado sean delegadas en
su mayora en la funcin de auditora interna.
En cuanto a la supervisin por parte de la Direccin, con la introduccin de los conceptos de
evaluaciones continuas y evaluaciones independientes, el Marco actualizado facilita la
eficiencia de las evaluaciones soporte a la responsabilidad de supervisin del Consejo de
Administracin.
El Marco actualizado establece la necesidad de que la Direccin se responsabilice de definir la
opcin ms conveniente entre el mix de acciones de supervisin continuas e independientes.
Aunque no se incluye de manera explcita en el Marco actualizado, es necesario destacar el papel
de la funcin de auditora interna en dicha definicin, tal y como se refleja en el Marco
Internacional para la Prctica Profesional de la Auditora Interna. En la misma lnea, la Encuesta
de la funcin de Auditora Interna 201215 refleja que tanto los Directores de Auditora Interna
como sus Grupos de Inters clave, otorgan cada vez mayor relevancia a dicha funcin en la
evaluacin de riesgos y la delimitacin de las actividades de supervisin.
MBITO DE APLICACIN
Ampliacin del mbito de aplicacin del Sistema de Control Interno
La estructura de la organizacin, representada en la tercera dimensin del cubo, tanto en el Marco
original como en el actualizado, est directamente relacionada con los objetivos y con los componentes
del Sistema de Control Interno, y representa el mbito de aplicacin del mismo.
Por ejemplo, el Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y Tendencias del Centro de Gobierno
Corporativo en colaboracin con PwC.
15
14
33
El Marco actualizado ampla el mbito de aplicacin, para incluir todos los niveles de la organizacin
de manera explcita: entidad, divisiones, unidades operativas y funciones. Esta modificacin se
visualiza en el nuevo cubo de COSO actualizado, presentado en la figura 3.10:
Figura 3.10.
Cubo de COSO original
Ac
cttivida
ad
d1
Actividad 2
U id
Un
da
ad A
Informaci
n
n y Comunicca
aci
n
n
Un
U
nidad B
Monitorizacin
Evaluacin de Riesgo
gos
os
Entorno de Control
34
Adicionalmente, el Marco actualizado contempla la relevancia que los procesos externalizados han
cobrado en las organizaciones en los ltimos aos. As, incluye responsabilidades en lo referente al
Control Interno, no slo para las operaciones llevadas a cabo internamente, sino tambin para aquellas
que han sido externalizadas.
IMPACTO
El Marco actualizado, se desglosa de una manera ms detallada y ampla la estructura de la entidad
para lograr un mejor entendimiento de la relacin existente entre la matriz, sus divisiones, sus
unidades operativas y sus funciones transversales (tanto internas como externas). Con esta nueva
distribucin se pretende mostrar la estrecha relacin entre todas las partes que forman la entidad
y la necesidad de establecer un Sistema de Control Interno que aplique al negocio, considerndolo
de manera amplia (incluyendo actividades y funciones externalizadas).
La ampliacin del alcance tambin impacta en los rganos de supervisin (Comit de Auditora),
que deber incluir entre sus planes de revisin el Control Interno en las nuevas adquisiciones y en
las actividades externalizadas que sean relevantes para la creacin de valor y la consecucin de los
objetivos por parte del negocio.
En la misma lnea, la CNMV16 recomienda que el Sistema de Control Interno incluya las
operaciones externalizadas que son clave para el negocio o pueden representar riesgos relevantes.
16
Actualizacin COSO I
TECNOLOGA
La versin actualizada tiene en cuenta el considerable aumento del uso de la tecnologa en los ltimos
aos, as como la consideracin de que los cambios tecnolgicos pueden impactar en la manera en la que
se implementan los componentes del Control Interno dentro de las organizaciones. Por ello, el Marco
actualizado incluye principios que abordan de forma detallada los Controles Generales de Tecnologa.
Las actividades de control y la tecnologa se relacionan de dos formas:
La tecnologa apoya a los procesos de negocio: cuando la tecnologa est integrada en los
procesos de negocio, se necesitan actividades de control para mitigar el riesgo de que deje de
funcionar correctamente.
La tecnologa se utiliza para automatizar las actividades de control: muchas actividades de
control dentro de una organizacin estn parcial o completamente automatizadas.
Las actividades de control sobre la tecnologa, que son diseadas para apoyar su continuidad y otras
actividades de control automatizadas, se denominan Controles Generales de Tecnologa.
El principio 11 (del componente Actividades de Control) dice que la organizacin selecciona y
desarrolla las actividades de control generales sobre la tecnologa para apoyar la consecucin de los
objetivos. Existen determinados criterios para determinar si este principio est presente y funcionando:
La Direccin entiende y determina la dependencia y la vinculacin entre los procesos de
negocio, las actividades de control automatizadas y los Controles Generales de Tecnologa.
La Direccin selecciona y desarrolla actividades de control diseadas e implementadas para
ayudar a asegurar la completitud, precisin y disponibilidad de la tecnologa.
La Direccin selecciona y desarrolla actividades de control diseadas e implementadas para
restringir los derechos de acceso, con el fin de proteger los activos de la empresa de amenazas
externas.
La Direccin selecciona y desarrolla actividades de control sobre la adquisicin, desarrollo y
mantenimiento de la tecnologa y su infraestructura.
La tecnologa necesita una infraestructura en la que operar, la cual puede ser compleja y puede ser
compartida por diferentes unidades de negocio de la organizacin. Estas complejidades presentan
riesgos que necesitan entenderse y localizarse.
Los Controles Generales de Tecnologa incluyen actividades de control sobre la infraestructura de la
tecnologa, la gestin de la seguridad, y la adquisicin, el desarrollo y el mantenimiento de la misma.
Estos controles, una vez, incluidos en una metodologa de desarrollo, variarn dependiendo de los
riesgos especficos de la tecnologa disponible. Un entorno tecnolgico complejo tendr,
generalmente, mayores riesgos que uno ms sencillo.
35
Figura 3.11.
IMPACTO
En el contexto actual, la infraestructura tecnolgica de las organizaciones puede ser muy compleja
y, dependiendo de la compaa, las unidades de negocio pueden compartir la tecnologa o contar
con una infraestructura distinta. Asimismo, muchas compaas optan por externalizar servicios
relacionados con la tecnologa de la informacin. Esta complejidad requiere que la Direccin
entienda los riesgos existentes e implemente actividades de control adecuadas. Para ello, es
importante que entienda la dependencia entre los procesos de negocio, los llamados controles
automticos y los Controles Generales de Tecnologa de la informacin.
36
En este sentido, cabe destacar que la efectividad de los controles automticos depender de la
efectividad de los Controles Generales de Tecnologa de la informacin. A modo de ejemplo, las
revisiones peridicas de los derechos de acceso a las aplicaciones contribuyen a proteger a la entidad
de un uso no autorizado. Del mismo modo, los controles relacionados con la introduccin de
cambios en las aplicaciones pueden afectar a parametrizaciones en las que se basen los controles
automticos. Por tanto la Direccin deber entender el impacto que el diseo y funcionamiento de
los Controles Generales de Tecnologa tienen en el funcionamiento de los controles automticos.
De la misma manera, el Marco actualizado resalta la relevancia de los riesgos tecnolgicos en las
organizaciones, proporcionando, a travs de los principios y los puntos de enfoque, informacin
que sirva de gua a la hora de disear, garantizar y supervisar el funcionamiento de los mecanismos
de control de riesgos tecnolgicos. Cabe destacar la importancia que se le da al anlisis de la
integracin de la tecnologa en los diferentes procesos a la hora de evaluar los riesgos. Dicha
importancia est en lnea con los resultados obtenidos en la Encuesta de la Profesin de la
Auditora Interna 2012, que realiza PwC cada ao17. En dicha encuesta, tanto los responsables de
auditora interna como los miembros de los Comits de Auditora consultados, otorgan una gran
relevancia a los riesgos tecnolgicos y esperan una mayor dedicacin por parte de la funcin de
auditora interna en los prximos aos.
17
Actualizacin COSO I
NORMATIVA Y ESTNDARES EXTERNOS

Adaptacin a la mayor complejidad de las leyes, normas, regulaciones y estndares
El objetivo de los reguladores u otras organizaciones a la hora de establecer, cambiar y aprobar leyes y
estndares es defender y proteger a los diferentes Grupos de Inters y aumentar la confiabilidad del
reporting de las organizaciones.
Los cambios en materia de regulacin pueden estar potenciados por circunstancias muy distintas,
como pueden ser las experiencias en cuanto a fallos de cumplimiento por parte de las organizaciones,
las necesidades en materia de reporting de diferentes Grupos de Inters, etc. Los cambios regulatorios
pueden tener a su vez implicaciones que las organizaciones necesitarn analizar, para evaluar posibles
impactos en sus Sistemas de Control Interno.
IMPACTO
Los cambios legislativos que se han producido en los ltimos aos han derivado en un incremento
de las exigencias a los Comits de Auditora en materia de supervisin de los mecanismos de
control de riesgos y los Sistemas de Control Interno de la informacin financiera.
Gracias a la inclusin de principios y puntos de enfoque en el Marco actualizado, los Comits de
Auditora van a contar con pautas ms detalladas que podrn utilizar como hilo conductor a la
hora de evaluar la efectividad de los Sistemas de Control Interno, tanto desde el punto de vista del
diseo, como de su funcionamiento.
Cambios recientes en la regulacin espaola:
La Directiva 2006/43/CE del Parlamento Europeo y del Consejo establece que el Comit de
Auditora deber supervisar la eficacia del Control Interno de la empresa, as como los
sistemas de Gestin de Riesgos.
La disposicin adicional 18 de la Ley del Mercado de Valores incorpora la obligacin por
parte de los Comits de Auditora de supervisar la eficacia del Control Interno de la
sociedad, la auditora interna, en su caso, y los sistemas de Gestin de Riesgos, as como
discutir con los auditores de cuentas o sociedades de auditora las debilidades significativas
del Sistema de Control Interno detectadas en el desarrollo de la auditora.
La publicacin en el Boletn Oficial del Estado de la Ley 2/2011, de 4 de Marzo, de Economa
Sostenible introdujo el artculo 61bis en la Ley del Mercado de Valores, derogando los artculos
116 y 116bis de la misma ley. Este artculo obliga a las sociedades annimas cotizadas a hacer
pblico anualmente un informe de Gobierno Corporativo, que incluya, entre otros, una
descripcin de las principales caractersticas de los sistemas de Control Interno y Gestin de
Riesgos en relacin con el proceso de emisin de la informacin financiera.
37
El Cdigo Unificado de Buen Gobierno recomienda que las sociedades cotizadas cuenten
con un departamento de auditora interna, supervisado por el Comit de Auditora, con el
objetivo de velar por el buen funcionamiento de los sistemas de informacin y Control
Interno. El Comit tiene que supervisar el proceso de elaboracin y la integridad de la
informacin financiera; revisar los sistemas de Control Interno y Gestin de Riesgos, para
identificar y gestionar los principales riesgos; velar por la independencia y eficacia de la
funcin de auditora interna; y establecer y supervisar un sistema de comunicacin interna
para informar de deficiencias a la Direccin.
En este contexto, la CNMV constituy un Grupo de Trabajo de Control Interno sobre la
Informacin Financiera (GTCI), que public en 2010 un documento18 con recomendaciones, una
gua para la preparacin de la descripcin del Sistema de Control Interno, pautas de actuacin para
llevar a cabo la supervisin de los Sistemas de Control Interno de la informacin financiera
(SCIIF) y un modelo de procedimientos para la revisin por el auditor externo. Para la elaboracin
de este documento, el GTCI tom el informe COSO para establecer el Marco de referencia de
Control Interno sobre la informacin financiera.
38
OTROS CAMBIOS RELEVANTES

Comparacin de COSO con Enterprise Risk Management- Integrated Framework (COSO II)
En 2004, COSO public el Enterprise Risk Management - Integrated Framework (tambin conocido
como Marco ERM o COSO II), el cual establece un Marco para la Gestin Integral de Riesgos y sirve
como gua para ayudar a empresas y otras entidades a aplicar sus actividades de Gestin de Riesgos.
El Marco identifica y describe ocho componentes necesarios para una Gestin Integral de Riesgos
efectiva.
ERM define la Gestin Integral de Riesgos como un proceso aplicado a la manera de definir la
estrategia de la empresa y diseado para identificar los eventos ms relevantes que puedan afectar a la
gestin del riesgo.
El Control Interno est integrado dentro de la Gestin Integral de Riesgos, mientras el cual, a su
vez, es parte del proceso global de gobierno y planificacin estratgica, como muestra la siguiente
figura.
18
86
En este sentido puede verse el Informe del Gabinete Jurdico de la Agencia Espaola de Proteccin de Datos nm. 0342/2008
8.
Actualizacin COSO I
Figura 3.12.
Gobierno
Gestin Integral
de Riesgos
Control
Interno
Tanto el Marco actualizado como ERM especifican las tres categoras de objetivos (operaciones,
reporting y cumplimiento), aunque las tratan de diferente forma. Adicionalmente, ERM introduce
una cuarta categora: objetivos estratgicos. sta, opera a un nivel superior que el resto de categoras y
fluye de la misin o la visin de la empresa, mientras que los otros tres objetivos deben estar alineados
con ellas. ERM se utiliza a la hora de establecer estrategias, as como para la consecucin de las otras
tres categoras de objetivos.
La Gestin Integral de Riesgos (COSO II) va ms all, ya que considera el establecimiento de los
objetivos de negocio y el nivel de riesgo que est dispuesta a asumir la compaa, cmo se crean y
mitigan los riesgos a travs de las elecciones de estrategias y cmo los riesgos emergentes impactan en
la organizacin. Sin embargo, el Control Interno (COSO I) se centra en si la organizacin est
mitigando los riesgos para conseguir los objetivos.
Esta diferencia est en lnea con el cambio introducido en el Marco actualizado sobre la aclaracin de
la necesidad de establecer los objetivos de negocio como condicin previa a los objetivos de Control
Interno (ver figura 3.2.).
En el Marco COSO II de Gestin de Riesgos se introducen los conceptos de apetito y tolerancia al
riesgo a la hora de establecer los objetivos:
Apetito al riesgo: nivel de riesgo que una empresa est dispuesta a asumir en la consecucin de
su misin/visin. Sirve como herramienta para establecer estrategias y para elegir
determinados objetivos.
Tolerancia al riesgo: est incluida en el Marco como una pre-condicin del Control Interno,
pero no como una parte del mismo. Se define como un nivel aceptable de variacin relativa a
la consecucin de objetivos. A la hora de establecer niveles de tolerancia al riesgo, la Direccin
considera la importancia relativa de los objetivos relacionados y alinea la tolerancia al riesgo
con el apetito al riesgo.
Establecer el apetito y la tolerancia al riesgo son principios clave de la Gestin Integral de Riesgos. Sin
embargo, desde la perspectiva de Control Interno se ve el establecimiento de objetivos y la tolerancia
al riesgo como pre-condiciones de un Sistema de Control Interno efectivo.
39
El siguiente cuadro (cuadro 3.13) muestra las similitudes y diferencias entre los componentes:
Cuadro 3.13.
40
La siguiente figura (3.14.) muestra, por un lado, la ampliacin del componente de evaluacin de
riesgos que hace el Marco COSO II de Gestin de Riesgos, introduciendo otros tres componentes
(identificacin de eventos, evaluacin de riesgos y respuesta al riesgo); y por otro lado, la adaptacin
del mbito de aplicacin del cubo de Control Interno al introducido en ERM.
Figura 3.14.
Cubo COSO Marco Actualizado
Cubo ERM
Actualizacin COSO I
Limitaciones
El Marco actualizado enumera, al igual que el original, las limitaciones del Control Interno. El Control
Interno puede aportar un asesoramiento razonable a la Direccin y al Consejo de Administracin para
lograr los objetivos de la organizacin, pero la probabilidad de conseguirlo est afectada por limitaciones
inherentes en todos los Sistemas del Control Interno que incluyen aquellas relativas al juicio profesional
(posibilidad de que las decisiones tomadas sean incorrectas), disfunciones del sistema (por colapsos del
sistema de gestin o simplemente la ocurrencia de errores), o elusin de los controles por parte de la
alta Direccin y la confabulacin entre dos o ms personas dentro de la organizacin.
El Marco actualizado, al contrario que el Marco COSO original, no contempla como limitacin la
necesidad de considerar con carcter previo al establecimiento de controles la relacin coste/beneficio.
En el Marco actualizado, la consideracin de los beneficios y costes del Control Interno se incluye
dentro del apartado de consideraciones adicionales por lo que establece la relacin coste/beneficio
como un aspecto a tener en cuenta y no como algo excluyente.
Uso del Marco

El Marco actualizado establece, al igual que el original, el uso que los diferentes grupos de inters
pueden hacer del Sistema de Control Interno establecido en el informe COSO, sin embargo, aade
algunas responsabilidades. Por ejemplo, establece que es necesario considerar las modificaciones del
Marco COSO original a la hora de decidir si se realizan cambios en la gestin del Control Interno ya
implantada: planes de revisin, herramientas de evaluacin, etc.
mbito de aplicacin por tipos de organizaciones

El Marco actualizado ha sido elaborado con el objetivo de ser aplicable a cualquier tipo de
organizacin, independientemente de su estructura, tamao, zona geogrfica o sector.
C. Actualizacin/adaptacin de documentos
COSO presenta el nuevo Marco en tres volmenes:
Executive Summary (resumen ejecutivo).
Framework and Appendices (Marco y apndices).
Illustrative Tools (herramientas ilustrativas)
41
Adicionalmente, COSO ha publicado

Internal Control over External Financial Reporting: A Compendium of Approaches and Examples
(Compendium).
Este ltimo documento proporciona distintos enfoques y ejemplos para ilustrar cmo se pueden
aplicar los componentes y los principios.
As como el Marco se ha visto modificado debido a cambios en el entorno desde su publicacin inicial
en 1992, el resto de documentos tambin han sufrido variaciones y actualizaciones. A continuacin se
detallan los principales cambios que han sufrido tanto el documento Illustrative Tools, como el
Compendium.
ILLUSTRATIVE TOOLS
42
Illustrative Tools es la actualizacin de Evaluation Tools, documento que se public como apoyo al
Marco de 1992. Este documento pretende servir como gua para la evaluacin de la efectividad del
Sistema de Control Interno tanto a las entidades que ya utilizaban el Marco COSO original, como a
aquellas que decidan implantar el Marco actualizado. El contenido del documento puede ayudar a la
Direccin a evaluar si:
Cada uno de los cinco componentes y los principios ms relevantes estn presentes y
funcionado.
Los cinco componentes estn funcionando a la vez de una manera integrada.
El documento se basa en tres partes: introduccin, plantillas y escenarios:
a) La introduccin explica los conceptos de escenarios y plantillas, as como sus aplicaciones
para el Control Interno.
b) Las plantillas se pueden utilizar para evaluar la efectividad del Sistema de Control Interno y
para documentar esa evaluacin.
c) Los escenarios ilustran modos de empleo de las plantillas para apoyar una evaluacin de la
efectividad del Sistema de Control Interno.
Estas herramientas no estn diseadas con la intencin de cumplir con los requisitos
regulatorios, jurisdiccionales o estndares, sino para evaluar la gravedad de las deficiencias asociadas
con un objetivo particular.
Actualizacin COSO I
Plantillas
Las plantillas estn diseadas con el objetivo de presentar un resumen de los resultados de la
evaluacin. No son una parte integral del Marco, y pueden no abordar todos los temas que tienen que
considerarse en la evaluacin de un Sistema de Control Interno para la consecucin de un objetivo
especfico. Su objetivo se limita a ilustrar un posible proceso de evaluacin basado en los requisitos
expuestos en el Marco.
La Direccin puede utilizar estas plantillas con diferentes finalidades:
Apoyar la determinacin de si los componentes y los principios estn presentes y funcionando
correctamente.
Apoyar la evaluacin de si los cinco componentes del Sistema de Control Interno estn
operando al mismo tiempo de una manera integrada.
Apoyar la evaluacin de la eficacia del Sistema de Control Interno en relacin con una o ms
categoras de objetivos.
Documentar la evaluacin general de la Direccin en relacin con la efectividad de un Sistema
de Control Interno considerando los componentes y los principios.
Documentar las deficiencias encontradas durante el proceso de evaluacin.
Las plantillas aportan una estructura lgica para que la Direccin analice y documente la evaluacin
que hace la organizacin de la efectividad del Sistema de Control Interno, incluyendo la presencia y
el funcionamiento de los componentes y principios como aparecen en el Marco utilizando los puntos
de enfoque como apoyo. Adicionalmente, estas plantillas se organizan para apoyar el enfoque topdown, basado en el criterio de evaluacin de riesgos.
Existen cuatro tipos de plantillas:
Evaluacin general: resume la decisin de la Direccin sobre si los cinco componentes estn
presentes, funcionando y operando de una manera integrada, incluyendo la gravedad de las
deficiencias del Control Interno o una combinacin de deficiencias cuando se consideren
colectivamente a lo largo de los componentes.
Componentes: resume la decisin de la Direccin sobre si cada componente, incluyendo sus
principios, estn presentes y funcionando.
Principios: resume la decisin de la Direccin sobre si cada principio est presente y
funcionando. Se aportan los puntos de enfoque para apoyar a la Direccin en su decisin.
Resumen de las deficiencias del Control Interno: aporta un registro de todas las deficiencias
del Control Interno que se han encontrado, y que se pueden aprovechar en la evaluacin de
los componentes y los principios.
La siguiente figura muestra a continuacin muestra la relacin entre cada plantilla y el flujo esperado
de informacin clave.
43
Figura 3.15.
Diagrama del flujo de informacin*
Evaluacin General
Resumen de la
evaluacin de los
Componentes
Actualizar la
gravedad de las
deficiencias de
Control Interno
Evaluacin de los
Componentes
x5
Registro de las
deficiencias del
Control Interno
Resumen de la
evaluacin de cada
Principio
Evaluacin de los
Principios
x17
44
Resumen de
Deficiencias del Control
Interno
* Diagrama obtenido del Marco COSO actualizado Internal Control-Integrated Framework
Escenarios
Los escenarios presentan ejemplos de cmo se pueden utilizar las plantillas para apoyar la evaluacin
de la efectividad del Sistema de Control Interno, basndose en los requisitos establecidos en el Marco.
Cada escenario est diseado para ilustrar un aspecto en particular, o un conjunto de aspectos
relacionados en cuanto al proceso de evaluacin. Cada uno consiste en dos partes:
Antecedentes para aportar un contexto al escenario.
Las plantillas cumplimentadas.
Los escenarios subrayan consideraciones importantes a tener en cuenta cuando se realice la
evaluacin. No presentan una visin integral de cmo la organizacin debera actuar en la evaluacin
general del Sistema de Control Interno porque no muestran todos los posibles aspectos del proceso
de evaluacin.
Actualizacin COSO I
COMPENDIUM
El Internal Control over External Financial Reporting: A Compendium of Approaches and Examples es
la actualizacin del Internal Control over Financial Reporting publicado en 2006 como gua de apoyo
en la utilizacin del Marco COSO I. Este documento aporta enfoques y ejemplos para ilustrar cmo
las entidades pueden aplicar, en un Sistema de Control Interno, los principios que se establecen sobre
el reporting financiero externo en el Marco.
El Compendium, al igual que el Marco, requera una actualizacin por diversos motivos, tales como:
las expectativas de la supervisin del gobierno de la organizacin, la globalizacin de los mercados y
las operaciones, la mayor complejidad de las leyes, regulaciones, reglas y estndares, el uso de nuevas
tecnologas, y las crecientes expectativas relativas a la prevencin y la deteccin del fraude.
Este documento se estructura partiendo de los cinco componentes del Control Interno aportando
consideraciones especficas sobre el reporting financiero externo. En cada uno de los captulos, ligados
a cada uno de los componentes, se presentan los principios con una serie de enfoques y ejemplos para
la aplicacin de los mismos.
45
ANEXOS
A. Autores del informe
46
Ramn Abella Rubio

Socio PwC
Governance Risk and Compliance
Licenciado en Ciencias Econmicas y Empresariales. Universidad Complutense de Madrid.
Executive MBA. Instituto Empresa.
Mster en tributacin y Fiscalidad. CETE-Universidad Complutense de Madrid.
Miembro del Instituto de Auditores Internos.
Certificacin en Aseguramiento de la Gestin de Riesgos (CRMA: Certification in Risk Management
Assurance)
Miembro Ramn es experto en el anlisis de riesgos y Control Interno, siendo especialista en las
metodologas de Entreprise Risk Management y Control Interno promulgadas en los informes
COSO I y COSO II, formando parte del equipo internacional encargado de la adaptacin de las
mismas.
Senior Manager PwC
Licenciado en Direccin y Administracin de Empresas y Derecho. Universidad Pontificia de
Comillas.
Executive MBA. ESADE.
Mster en Direccin de Empresas Familiares. Instituto Empresa.
Joaqun es experto en Gestin de Riesgos, Control Interno y Auditora Interna. Ha participado en la
implantacin, evaluacin y mejora de sistemas de Gestin de Riesgos y Control Interno, siendo el
responsable en Espaa de coordinar la red global de PwC de Auditora Interna y Gestin de Riesgos.
Ana Cendn Cubero
Gerente PwC
Licenciada en Direccin y Administracin de Empresas. Universidad de Valladolid.
Actualizacin COSO I
Mster en Sostenibilidad y RSC. Universidad Jaume I, UNED.

CIA (Certificado de Excelencia), CISA.
Ana cuenta experiencia en los campos de Gestin de Proyectos, Auditora de Procesos, Gestin de
Riesgos, Control Interno y Auditora Interna.
Ha formado parte del equipo de PwC Alemania, participando en auditoras y mejoras de procesos,
control interno y auditoras informticas.
Previamente a PwC, ha trabajado para Siemens AG (Alemania) en gestin y control de proyectos
internacionales.
B. Bibliografa y Fuentes
COSO I Report: Internal Control An Integrated Framework - Ao 1992.
Enterprise Risk Management (ERM) COSO Framework - Ao 2004.
Internal Control - Integrated Framework. Framework and Appendices. Septiembre 2012.
Internal Control - Integrated Framework. Executive Summary. Septiembre 2012.
Internal Control - Integrated Framework. Illustrative Tools for Assesing Effectiveness of a System
of Internal Control. Septiembre 2012.
Internal Control - Integrated Framework. Internal Control over External Financial Reporting: A
Compendium of Approaches and Examples (ICEFR). Septiembre 2012.
Internal Control over Financial Reporting - Guidance over Smaller Public Companies: Control
Interno sobre la presentacin de informes financieros - Gua para las compaas pblicas ms
pequeas.
Informe Corporate Reporting: A critical system at Risk, elaborado en 2011 por el Chartered
Institute of Management Accountants en colaboracin con PwC
4. Encuesta de Alta Direccin en Espaa 2011 elaborada por PwC: Reinventando el crecimiento.
Informe sobre el Control Interno de la Informacin Financiera del grupo de Trabajo sobre Control
Interno de la CNMV, de Junio 2010
Encuesta de la funcin de Auditora Interna 2012 de PwC Se estn cubriendo las expectativas sobre
la funcin de auditora interna?
Estudio sobre los Comits de Auditora del 2012: Contexto Regulatorio, Buenas Prcticas y
Tendencias del Centro de Gobierno Corporativo en colaboracin con PwC.
47
Reconocimientos
FINANCIAL TIMES, 25 de enero de 2010
MBA Ranking, 3 posicin en Europa y 6 posicin mundial
FINANCIAL TIMES, 25 de octubre de 2010
Executive MBA Ranking, 7 posicin mundial
THE ECONOMIST, septiembre de 2010
MBA Ranking, 22 posicin mundial
AMRICA ECONOMA, junio 2010
MBA Ranking, 3 posicin mundial
http://centrogobiernocorporativo.ie.edu
Mara de Molina, 12 - 5 planta

28006 Madrid
Tel.: (34) 91 568 96 00
centrogobiernocorporativo@ie.edu
ARTES GRFICAS
desde 1918

Iii Coso

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iii Coso

Cargado por

Copyright:

Formatos disponibles

Investigaciones

Ramn Abella Rubio

Antecedentes .................................................................................................................................................................................................................. pg. 3

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

1. POR QU ACTUALIZAR COSO I?

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

Aumentar la claridad del proceso de implantacin definido en el

Desarrollar los cinco componentes del Marco COSO a travs de 17

Ampliacin del objetivo

Ampliar el alcance del Marco de Control Interno original, para no

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

Desarrollo de cada componente de Control Interno en principios y puntos de enfoque

A continuacin se presenta un cuadro reflejando la relacin entre las cuatro sub-categoras:

Asimismo, se espera que el Marco actualizado apoye a la Direccin, Consejos de Administracin,

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

2. PROCESO DE ACTUALIZACIN COSO I

Descripcin detallada de las fases en la actualizacin del Informe:

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

3. COSO I VS. MARCO ACTUALIZADO COSO

- Definicin del concepto de

- Cinco componentes de Control

- Codificacin de principios con

- Criterios a utilizar en el proceso

- Extensin de los objetivos de

- Uso de juicio profesional para la

- Inclusin de una gua orientativa

A. Qu se mantiene del Informe COSO I?

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

B. Qu vara tras la actualizacin?

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

Ampliacin del objetivo de reporting financiero

Cubo COSO original

Primer objetivo: eficacia y eficiencia de las operaciones.

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

COMPONENTES, NUEVOS PRINCIPIOS Y PUNTOS DE ENFOQUE

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

x Se recogen en 5 principios la relevancia de la

x Se ampla la categora de objetivos de reporting,

x Se indica que las actividades de control son acciones

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

x Se enfatiza la relevancia de la calidad de la

x Se clarifica la terminologa, definiendo dos categoras

Lecciones aprendidas en cuanto a integridad y valores ticos

Aspectos de Gobierno Corporativo

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

La figura 3.7. muestra un ejemplo de estructura de Consejo de Administracin y sus comits o

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

Criterios de evaluacin de riesgos

En Julio de 2010, el Grupo de Trabajo de Control Interno de la CNMV emiti un informe8 en el

Riesgos derivados del crecimiento, las fusiones y adquisiciones

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

Ampliacin del concepto de fraude

La evaluacin del fraude considera el reporting fraudulento, posible prdida de activos, y

La segregacin de funciones, por ejemplo, es fundamental a la hora de mitigar el riesgo de fraude, ya

Formalizacin de los controles en polticas y procedimientos

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012

El Marco actualizado formaliza el principio 2 del componente Entorno de Control, en el que se

x Actuar con independencia y objetividad en representacin

x Considerar factores externos e internos que pueden

x Solicitar informacin sobre el diseo, desarrollo,

x Comunicar adecuadamente la visin, misin y valores a la

Chief Executive Officer o Consejero Dejegado.

Investigaciones y publicaciones del Centro de Gobierno Corporativo ao 2012