Iai Control Interno

Traducido del inglés al español - www.onlinedoctranslator.
com
CONTROL INTERNOY LA TRANSFORMACIÓN DE ENTIDADES

Acerca de ACCA
ACCA (Association of Chartered Certified Accountants) es el organismo mundial de contadores profesionales.
Somos una comunidad próspera de 233 000 miembros y 536 000 futuros miembros con sede en 178 países y regiones, que
trabajan en una amplia gama de sectores e industrias. Defendemos los más altos valores profesionales y éticos.
Ofrecemos a todos en todas partes la oportunidad de experimentar una carrera gratificante en contabilidad, finanzas y administración.
Nuestras calificaciones y oportunidades de aprendizaje desarrollan líderes comerciales estratégicos, profesionales con visión de futuro,
con la experiencia financiera, comercial y digital esencial para la creación de organizaciones sostenibles y sociedades prósperas.
Desde 1904, ser una fuerza para el bien público ha sido parte integrante de nuestro propósito. En diciembre de 2020, asumimos compromisos con
los Objetivos de Desarrollo Sostenible de la ONU, que estamos midiendo y sobre los que informaremos en nuestro informe integrado anual.
Creemos que la contabilidad es una profesión fundamental de la sociedad y es vital para ayudar a las economías, las organizaciones y las personas
a crecer y prosperar. Lo hace mediante la creación de una sólida gestión financiera y comercial confiable, la lucha contra la corrupción, la garantía
de que las organizaciones se administren de manera ética, el impulso de la sostenibilidad y la provisión de oportunidades profesionales
gratificantes.
Y a través de investigaciones de vanguardia, lideramos la profesión respondiendo las preguntas de hoy y preparándonos para el futuro.
Somos una organización sin fines de lucro.
Descubre más sobre nosotros enwww.accaglobal.com
Acerca de la Fundación de Auditoría Interna

y el Instituto de Auditores Internos
La Fundación de Auditoría Interna es un recurso global esencial para el avance de la profesión de auditoría interna.
La investigación financiada por la fundación brinda a los profesionales de auditoría interna y a sus partes interesadas información sobre temas
emergentes y promueve y promueve el valor de la profesión de auditoría interna a nivel mundial. Además, a través de su Fondo Académico, la
Fundación apoya el futuro de la profesión al otorgar subvenciones a estudiantes y educadores que participan en el Programa de Asociación para la
Educación en Auditoría Interna del Instituto de Auditores Internos.
Para más información visitewww.theiia.org/Fundación

El Instituto de Auditores Internos (IIA) es el defensor, educador y proveedor de estándares, orientación y
certificaciones más reconocido de la profesión de auditoría interna. Establecido en 1941, el IIA sirve hoy a más de
210.000 miembros de más de 170 países y territorios.
Para más información visitewww.theiia.org
Acerca del Instituto IMA® de Contadores

Administrativos
IMA® es una de las asociaciones más grandes y respetadas enfocada exclusivamente en el avance de la
profesión de contabilidad gerencial.
A nivel mundial, IMA apoya la profesión a través de la investigación, los programas CMA® (Contador de gestión certificado) y
CSCA® (Certificado en estrategia y análisis competitivo), educación continua, creación de redes y defensa de las prácticas
comerciales éticas más altas. Dos veces nombrada Organización Profesional del Año por The Accountant/International
Accounting Bulletin, IMA tiene una red global de aproximadamente 140,000 miembros en 150 países y 350 capítulos
profesionales y estudiantiles. Con sede en Montvale, NJ, EE. UU., IMA brinda servicios localizados a través de sus cuatro
regiones globales: América, Asia/Pacífico, Europa y Medio Oriente/India.
Para obtener más información acerca de IMA, visitewww.imanet.org
Copyright © julio de 2022 por la Asociación de Contadores Certificados Colegiados (ACCA), la Fundación de Auditoría Interna (IAF) y el Instituto de Contadores de Gestión
(IMA).
Reservados todos los derechos. Usado con permiso de ACCA, IAF e IMA. Comuníquese con insights@accaglobal.com para obtener permiso para reproducir, almacenar o transmitir, o para hacer otros usos
similares de este documento.
EL CONTROL INTERNO Y LA
TRANSFORMACIÓN DE LAS ENTIDADES
El control interno es uno de los conceptos fundamentales utilizados por las entidades para
lograr objetivos importantes, mejorar el desempeño y construir reputación, especialmente
en tiempos disruptivos e inciertos. El control interno forma una parte central de las
actividades de los profesionales de contabilidad, finanzas y auditoría interna, ayudándolos
a garantizar que las entidades operen de manera efectiva. Sin embargo, la naturaleza del
modelo de negocio está cambiando para muchos. La transformación, incluida la adopción
de habilitadores digitales, está cambiando la forma en que se llevan a cabo los procesos. La
respuesta rápida a los factores económicos y de clientes cambiantes es una realidad. En
este informe, exploramos estas y otras tendencias emergentes, su impacto en el control
interno y la necesidad de que los controles internos sean ágiles y estén preparados para el
futuro para respaldar la transformación y el crecimiento del negocio.
La investigación se basa en una serie de mesas redondas y entrevistas con más de 80

profesionales de finanzas y auditoría interna de una variedad de entidades en todo el
mundo. Los comentarios de las mesas redondas se anonimizan; sin embargo, la ubicación
geográfica a menudo se cita para ayudar a los lectores a identificar comentarios donde las
diferencias en las regulaciones o normas culturales pueden variar debido a la ubicación.
Las mesas redondas fueron respaldadas por una encuesta de miembros de ACCA, IIA e
IMA, que recibió más de 1950 respuestas (en el Apéndice se puede encontrar una
descripción general de la demografía de la encuesta).
Prefacio
El control interno efectivo es uno de los facilitadores esenciales para que las entidades crezcan
con confianza e integridad en un mundo de múltiples partes interesadas lleno de volatilidad,
incertidumbre, disrupción y complejidad. El control interno va más allá de los requisitos legales
de cumplimiento; ayuda a las entidades a generar confianza y una reputación positiva para
lograr resultados comerciales estratégicos.
Los profesionales de la contabilidad, las finanzas y la auditoría interna, cualquiera que sea su función, son actores
fundamentales, junto con otros, en los marcos de control de sus entidades. En el entorno de rápida evolución actual, las
entidades se enfrentan a muchos desafíos. Necesitan transformarse continua y rápidamente para garantizar que aborden un
entorno operativo que es cada vez más complejo. Las entidades utilizan cada vez más la tecnología y los datos. Los
conocimientos basados en datos son esenciales para permitir que la gerencia reaccione rápidamente y tome decisiones en
un horizonte cada vez más amplio. Las partes interesadas buscan divulgaciones que cubran no solo los objetivos financieros,
sino también aquellas que aborden áreas no financieras, como acciones en relación con el cambio climático y el capital
humano. Estos cambios ponen en juego un alcance más amplio de las actividades comerciales que requieren un control
interno eficaz. Las partes interesadas buscan confianza más allá de los informes financieros, por ejemplo, a través de
divulgaciones ambientales, sociales y relacionadas con la gobernanza. Ahora se necesita la amplitud y profundidad de los
conjuntos de habilidades necesarios para adoptar el control interno en este conjunto más amplio de objetivos.
Un control interno eficaz requiere una combinación adecuada de personas, procesos, tecnología y datos respaldados por un
compromiso inquebrantable con la confianza y la ética. Para los profesionales de contabilidad, finanzas y auditoría interna es
importante tener una apreciación detallada de las oportunidades que la tecnología puede presentar; cómo estos se traducen
en procesos promulgados y las formas optimizadas de trabajo. A través de las cualificaciones profesionales y el aprendizaje
continuo, estos profesionales deben asegurarse de que pueden mantener la relevancia, lo que les permite guiar a los
responsables de la toma de decisiones para abordar los requisitos de control y gobernanza cada vez más amplios. De esta
manera, los profesionales de contabilidad, finanzas y auditoría interna están preparados y capacitados para guiar a sus
entidades y a los grupos de interés hacia una nueva era para el control interno.
Helen marca OBE Anthony J. Pugliese, jeffrey thomson,

Director Ejecutivo, ACCA CIA, CPA, CGMA, CITP CMA, CSCA, CAE
Presidente del IAI y Director Ejecutivo y
Director Ejecutivo, Junta de Presidente, Instituto de
Síndicos de la Fundación de Contadores Gerenciales
Auditoría Interna
4
Contenido
Resumen ejecutivo 6
Resumen de acciones clave 9
1. Finalidad del control interno 13

1.1 Orígenes del control interno 13
1.2 Percepciones de su propósito 15
1.3 El modelo de las tres líneas dieciséis
2. Desafíos y oportunidades actuales 19

2.1 Impacto de la transformación 19
2.2 Adopción de tecnología 24
2.3 Flujos de datos, big data y monitorización continua 25
2.4 Formas de trabajo en evolución 26
2.5 Información no financiera 27
3. Evolucionar nuestro pensamiento 29

3.1 Trazando un camino a seguir 29
3.2 Evolución de la tecnología y los datos 29
3.3 La entidad ágil 31
3.4 Consideraciones sobre información no financiera 33
3.5 Detalles de las implicaciones para el control interno 34
Alrededor o a través 34
Cambiando el ambiente de trabajo 35
Desarrollos para usuarios finales y el uso de soluciones Lo-code / No-code 35
Controles generales de TI 35
cadena de bloques 36
Aprendizaje automático e inteligencia artificial 36
3.6 Conjuntos de habilidades 36
3.7 Consideraciones sobre datos en tiempo real 38
3.8 Gobierno de datos: ¿una cuestión de control interno? 39
3.9 Una cuestión de estrategia y cultura 39
3.10 Implicaciones para los marcos de control interno 41
Conclusión 43
Glosario 44
Apéndice–Datos demográficos de la encuesta 45
Agradecimientos 46
Referencias 47
5
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|RESUMEN EJECUTIVO
Ejecutivoresumen
Los controles internos son fundamentales para permitir que las entidades crezcan con confianza e
integridad. Desde los desafíos corporativos de la década de 1970, los reguladores se han centrado en
garantizar que se implementen los controles adecuados en las entidades donde existe un interés público
significativo. Esta combinación de requerimientos regulatorios e inversionistas genera la necesidad de
invertir en procesos y controles.
Los modelos operativos de muchas entidades han experimentado cambios múltiples partes interesadas. No se debe olvidar que la
a medida que el enfoque ha pasado de la competencia basada en modelos transformación tiene cuatro aspectos: personas, procesos,
basados en la planificación de recursos empresariales (ERP) hechos a la tecnología y datos. Este es el caso de la transformación del
medida y personalizados a aquellos basados en el conocimiento y el control interno, y es importante no perder de vista todos estos
análisis del comportamiento del cliente. El mantra de 'cinco años en cinco componentes en esta discusión.
meses' ha reflejado la aceleración de la transformación de entidades
La transformación es en sí misma transformadora. Ya no está
habilitada por la tecnología durante la pandemia, y se espera que esa
impulsado solo por proyectos a gran escala, sino que el uso de
tendencia continúe acelerándose a medida que avanzan hacia un nuevo
soluciones basadas en la nube y otros enfoques significa que cada vez
conjunto de desafíos económicos.
más es un proceso iterativo y ágil. Los microservicios para abordar
oportunidades y desafíos inmediatos están a la orden del día. Como
¿Cómo se ha visto afectado el control interno por estos resultado, los marcos de control deben flexibilizarse y cambiar. Sin
cambios? ¿Deberían las entidades buscar reevaluar sus embargo, existe una renuencia aparente en relación con el nuevo
marcos y aprovechar las oportunidades que ofrecen estas entorno comercial, por ejemplo, avanzar hacia un control interno y
transformaciones tecnológicas? Este es el enfoque de la una gestión de riesgos ágiles, un monitoreo continuo y en tiempo real,
presente investigación. y la digitalización y los controles automatizados (incluido el uso de
XBRL).
Aproximadamente 1950 miembros de ACCA, el Instituto de Auditores
Internos (IIA) y el Instituto de Contadores Gerenciales (IMA) El Capítulo 3 explora estos desafíos y ofrece información y
respondieron a una encuesta y más de 80 participaron en una serie observaciones sobre los próximos pasos potenciales para las
de mesas redondas y entrevistas que se llevaron a cabo en todo el entidades. Existe la necesidad de garantizar que los marcos de control
mundo. interno y gestión de riesgos sean ágiles y adecuados para su propósito
en un entorno empresarial cuyo alcance se está ampliando cada vez
El propósito del control interno fue reforzado por estos contribuyentes más (por ejemplo, la necesidad de gestionar y dar cuenta de los
(como se explora en el Capítulo 1). Hubo una fuerte alineación con el problemas de sostenibilidad) con tecnologías en rápida evolución como
Modelo de tres líneas del IIA que demostró los roles de gobierno la computación en la nube. , inteligencia artificial, blockchain y minería
interrelacionados de la junta, la gerencia y los auditores internos para de procesos. La naturaleza del cambio rápido requiere un liderazgo
asegurar y lograr controles internos efectivos sobre los informes adaptable y ágil y un enfoque en el proyecto (consulte las secciones 3.2
financieros y, más recientemente, de sostenibilidad. Sin embargo, a y 3.3). El control interno debe ser parte integral de estos avances. La
medida que las entidades emprenden sus viajes de transformación, se aplicación de la tecnología también está evolucionando a medida que
destacó una escasez de habilidades clave entre quienes promulgan los las entidades adoptan la 'cuarta revolución industrial' y las tecnologías
controles internos. conectadas. Esta transición tiene implicaciones para las habilidades y
los controles (ver sección 3.5).
La transformación claramente está teniendo un impacto en los
controles internos. El capítulo 2 explora varios de estos temas. Ha Es un cambio no solo en la naturaleza del control, sino también un cambio
cambiado los modelos operativos de la mayoría de las entidades, de una visión más estática a una que se enfoca más en los flujos de datos
pero la naturaleza del impacto en el ambiente de control interno ha casi en tiempo real, continuos y automatizados. También hay un
sido variada, con claras diferencias regionales en el rango de reconocimiento de objetivos compartidos, como los relacionados con la
impactos positivos y negativos en las entidades. Lo que queda claro gobernanza sobre la integridad de los datos y la alineación con una cultura
de las respuestas de la encuesta es que los marcos y procesos de de riesgo dinámica que reacciona a los modelos operativos que evolucionan
control interno deben incorporarse desde el principio como parte de rápidamente (sección 3.7). Es probable que las entidades que tengan éxito
las transformaciones comerciales o iniciativas estratégicas para lograr sean aquellas que adopten el uso de datos, la innovación y la agilidad.
un mayor crecimiento y valor para
6
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|RESUMEN EJECUTIVO
La combinación de habilidades requerida para abordar el control

interno está cambiando y requiere una gama más amplia de Observaciones clave
experiencia que tradicionalmente (como se discutió en la sección
3.6) en todas las funciones centradas en los controles internos (ver
norte La evolución de la tecnología y el control significa que las brechas en
sección 1.3). El control interno solo puede ser efectivo si quienes lo
los conjuntos de habilidades de los involucrados en el control interno
ejercen tienen la combinación adecuada de habilidades, tanto a son problemas importantes, especialmente en relación con la amplitud
nivel técnico como interpersonal. La dotación de recursos y la de las habilidades en todas las líneas.
composición de los equipos de segunda y tercera línea serán un
norte La tecnología seguirá avanzando y existe el
problema a medida que se expanda el alcance del control interno.
riesgo de que el control interno se vuelva ineficaz
El propósito del control interno se analiza en la sección 1.2.
si no adopta los cambios y los automatiza cuando
corresponda.
A medida que aumentan las demandas de divulgación de norte Si la información no financiera se va a incluir dentro
información sobre aspectos ambientales, sociales y de gobernanza del alcance del control interno, entonces es necesario
(ESG) y otras agendas, también aumenta el nivel de seguridad comprender que:
requerido en estas divulgaciones y entran en el ámbito del control norte los datos son menos sólidos y es necesario desarrollar
interno (sección 3.4). No obstante, en la actualidad, los datos son nuevos métodos de control
menos sólidos que los de su contraparte financiera: provienen de norte Las fuentes de estos datos son más variadas. La
fuentes más variadas y, a menudo, están menos estructurados. norte incorporación de controles es esencial. Es necesario
Para abordar esta preocupación, es necesario invertir tanto en los
norte abordar los niveles de experiencia.
datos como en las habilidades y, por lo tanto, como en muchos
aspectos del control interno, es necesario automatizar los norte Para adoptar todos estos impulsores, debe haber una
inversión en la tecnología y las habilidades de datos de los
controles y reducir la duplicación; para abarcar los elementos de la
encargados del control interno; debe haber una guía más
tecnología y mirar hacia adelante.
relevante que refleje los modelos operativos actuales, así
Cualquier parte de esta agenda requiere la provisión de orientación por como oportunidades de aprendizaje adecuadas para apoyar
parte de los organismos pertinentes y una inversión en iniciativas de a quienes trabajan en todos los niveles.
educación continua por parte de entidades e individuos.
7
El control interno y la transformación de entidades
Esta infografía proporciona un resumen de los resultados de la encuesta conjunta de control interno y entidades
transformadoras realizada en marzo de 2022.
Finalidad del control interno

¿Cuál vemos como el propósito del control interno en una entidad? Acciones clave
Detección de fraude,66% El control interno en las entidades transformadoras da lugar a las siguientes
100% actuaciones clave:
Mejorar la calidad de los datos, 80% Prevención del fraude,
54% 84% 1.Apreciar el avance de la tecnología y los datos junto con el
60%
impacto en el control interno.
40%
Proteccion DE 20% Minimización 2.Busque oportunidades para adoptar la tecnología a través de la
información,sesenta y cinco% de riesgos,88% automatización y el monitoreo continuo.
3.Apreciar la necesidad de incluir elementos no financieros en el control interno,
Adhesión a la legalidad Proteccion DE aceptando la necesidad de desarrollar nuevas habilidades y los desafíos de
requisitos,69% activos,77% los diferentes formatos de datos.
4.Desarrollar las competencias necesarias, tanto técnicas como interpersonales,
Cumplimiento de las normas,74% Promoción de la eficiencia,55% para poder implantar el control interno en la entidad transformadora.
5.Implementar actividades de desarrollo de habilidades enfocadas en el control a
través de la segunda y tercera línea.
Desafíos en el control interno
¿Cuáles vemos como los desafíos en materia de control interno en nuestras entidades?
Falta de personal debidamente capacitado,50% Se requiere un esfuerzo significativo

100%
¿Qué áreas consideramos que requieren un esfuerzo significativo después de la transformación?
falta de gobierno 80% no tener el
supervisión de la junta,26% 60% datos correctos,20% 70%
40% 60%
20%
50% 52%
falta de costo no tener acceso 40% 43%
efectividad de a los datos correctos,
36%
30% 35% 33% 34% 33%
cumplimiento,31% 22% 32%
26% 27%
20% 22%
Avances tecnológicos 19%
falta de ejecutivo comprometer lo existente
10%
énfasis,32% controles internos,41% 0%
o
s
b
d
o
-O eros
ic
to
xle os
ud
sg
o
we
ida
ón
tin
ern
y)
Rie
ier
en
n
fra
y)
otr
ctr
ció
xle
i
rke
bil
an nanc
io
mi
int
de
ele
nc
ma
an os (
Sit
nta
li
go
ría
io
ina
Ma
mp
-O
r
erc
i
s
nfo
es
sf
o
arb cier
rie
Co
Impacto de la transformación en la eficacia
dit
es
Cu
om
of
me
ai
el
Au
nd
e S an
c
el
rb
sn
or
cció
sd
qu es fin
(Sa
¿Qué vemos como el impacto de la transformación en la

Inf
me
gía
du
Re
olo
or
efectividad del control interno?

cn
r
Inf
o
Te
Inf
Pre-transformación Altamente ineficaz,6%2%2%

Actualmente 60%
Post-transformación
no sé, 40%
Ineficaz,
Cómo las tecnologías mejoran el control interno
4%2%9% 21%10%5% ¿En qué medida las siguientes tecnologías mejoran o mejoran
20%
significativamente los controles internos?
100%
No aplica, Satisfactorio,
3%2%7% 43%40%23% 80%
60%
60%
sesenta y cinco%
40% 49% 47%

35% 40% 36%
Muy efectivo,5%9%21% Eficaz,18%35%33% 20% 33% 33%
18%
0%
e
s
nc l
AI
ub
s
a
os
PI
co
d
lisi
tos
s
ato
ia
eli fici
n
rfi
ne
es
áti
eA
da
A/
ció
ná
la
oc
ed
de
Int arti
tom
Impacto de la transformación en el riesgo

cio
za
en
ge
to
pr
RP
ea
od
ien
sd
ati
au
do
de
lica
am
od
tom
si
Us
es
sa
aje
ría
áli
¿Qué vemos como el impacto de la transformación en los riesgos del

oc
ba
ap
es
Pr
Au
diz
ne
an
oc
Mi
ren
control interno?
Pr
Ap
50%
40%
30% Trabajo híbrido
29% ¿Cómo impactó el trabajo híbrido en la efectividad de los controles internos?
20% 26%
21%
10%
Aumentado significativamente 7%
7% 8%
0%
Significativamente Disminuido Se mantuvo Aumentó Significativamente
disminuido lo mismo aumentó Aumentó 24%
Se quedó igual 32%
Control interno y ASG
80%
Disminuido 20%
Aquellos que están de acuerdo o muy de acuerdo en
que necesitan aplicar su marco de control interno a los Sdisminuido significativamente 8%
informes no financieros y ESG: 0% 10% 20% 30% 40% 50%
8
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|RESUMEN DE ACCIONES CLAVE
Acciones clave
resumen
Este informe hace varias recomendaciones de
acciones a tomar para mejorar el control
interno. Se explican en el contexto de la
discusión detallada en el Capítulo 3 y se
recopilan en la siguiente tabla, que también los
compara con los factores que están impulsando
el cambio en el control interno para muchas
entidades (Figura ES1).
FIGURA ES1:Impulsores de cambio para el control interno
Estratégico
INTE RNAL
ESTAFA T ROL
tran sfor-
mamá
tion
Gente Proceso Tecnología Datos
9
Las acciones clave son las siguientes.
ACCIÓN CLAVE CONDUCTOR(ES) SECCIÓN
Considere las transiciones de tecnología y datos que las entidades han integrado en el
3.2
modelo operativo y las están reflejando en los controles internos.
Asegúrese de comprender la tecnología y los controladores de datos en el modelo operativo de la

3.2
entidad. Asegúrese de estar familiarizado con el uso de tecnologías emergentes.
Asigne el uso de tecnologías emergentes a los controles internos e identifique oportunidades para
3.2
aumentar la eficacia del control.
Apreciar que es cada vez más probable que los desarrollos del modelo operativo se lleven a cabo de
manera ágil y garantizar que los encargados del control interno en todos los niveles del modelo de tres 3.3
líneas estén preparados para participar adecuadamente.
Reconfigure el modelo de riesgo para reflejar las prácticas tecnológicas modificadas que surgen de la
adopción de aplicaciones basadas en la nube. Comprender la naturaleza diferente de la tecnología y de la 3.3
relación con el proveedor.
Apreciar las consideraciones de control interno que surgen del perfil de riesgo modificado en cualquier
escenario basado en la nube. Aprecie que los controles generales tradicionales de tecnología de la información 3.3
(ITGC) han cambiado.
Implemente una solución de GRC que aborde todos los elementos de riesgo y control interno en toda la
3.3
entidad.
Integre controles internos automatizados y basados en parámetros en aplicaciones basadas en la nube,

3.3
especialmente en el punto de inicio.
Trabajar para identificar las fuentes de datos relevantes para permitir que la entidad cumpla con los requisitos de las
3.4
revelaciones no financieras.
Desarrolle una estrategia para integrar los datos no financieros necesarios requeridos en el marco de
3.4
control interno y esté preparado para documentar según corresponda.
Póngase en contacto con los encargados del gobierno de datos para garantizar la alineación entre estos conjuntos de datos. 3.4
Reevaluar el enfoque de los controles automatizados dentro de la entidad. 3.5
Identifique las áreas donde se llevan a cabo controles manuales que pueden duplicar los controles automatizados y
3.5
elimínelas según corresponda.
10
ACCIÓN CLAVE CONDUCTOR(ES) SECCIÓN
Comprender el alcance de la informática del usuario final (incluidas las que están fuera de la definición
tradicional) y asegurarse de que todas las aplicaciones que se desarrollen y que formen parte de los 3.5
controles internos tengan aplicado el nivel adecuado de controles de desarrollo y prueba.
Aprecie que la transformación ágil requerirá cada vez más el uso de aplicaciones para desarrollar mejoras
en los procesos operativos que no están sujetos a los ciclos de vida de desarrollo de aplicaciones 3.5
tradicionales y garantizar que se aborden los riesgos consiguientes.
Evaluar el entorno de control general de TI en el contexto del modelo operativo actual,

identificando dónde se gestionan los controles a través de aplicaciones basadas en la nube en 3.5
lugar de locales y los cambios resultantes en los perfiles de riesgo.
Aprecie el papel que pueden desempeñar el aprendizaje automático (ML) y la inteligencia artificial (IA) en
3.5
el entorno de control.
Identificar los conjuntos de habilidades y los recursos necesarios para mantener la eficacia del control interno
en toda la entidad transformada, incluidas las habilidades necesarias para abordar los objetivos no financieros. 3.6
Desarrollar planes adecuados de gestión del talento.
Considere su propio nivel de tecnología y habilidades relacionadas con los datos en el contexto del control
3.6
interno e identifique oportunidades de desarrollo relevantes.
Aprecie que las habilidades deben actualizarse de forma continua, tanto en tecnología como en perspicacia para los
3.6
negocios y habilidades interpersonales. Asegúrese de que se implementen las iniciativas pertinentes.
Desarrolle y promulgue una estrategia para el monitoreo continuo que esté alineado con el volumen de
3.7
datos esperado.
Asegúrese de que haya un equilibrio adecuado entre los controles manuales y automatizados y trate de
3.7
evitar la redundancia y la duplicación de controles.
Asegurar una alineación entre el gobierno de datos y los objetivos de control interno de la entidad y
fortalecer los procedimientos que rigen la integridad y precisión de los datos financieros y no 3.8
financieros.
Reforzar la importancia de la gestión de riesgos y el control interno de forma continua en toda la

3.9
entidad.
Reforzar la necesidad de ser óptimo en el desarrollo e implementación de un marco de control interno,

3.9
especialmente porque está cada vez más habilitado por la tecnología.
Cuestione la suposición de que la 'computadora tiene razón' en todas las circunstancias al considerar los
3.9
controles internos.
11
LA TRANSFORMACIÓN TIENE CUATRO ASPECTOS:

PERSONAS, PROCESO, TECNOLOGÍA Y DATOS. ESTO
ES CIERTO DE LA TRANSFORMACIÓN DEL CONTROL
INTERNO, Y ES IMPORTANTE NO PERDER DE VISTA
TODOS ESTOS
COMPONENTES EN ESTA DISCUSIÓN.
12
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|1. FINALIDAD DEL CONTROL INTERNO
1. Propósito de
control interno
'MANTENER LOS CONTROLES INTERNOS EFECTIVOS DESDE UNA PERSPECTIVA
OPERATIVA Y DE DISEÑO EN ESTE MUNDO QUE CAMBIA RÁPIDAMENTE, CON
[ENFOQUES] ÁGILES SIENDO CENTRALES PARA LA TRANSFORMACIÓN QUE LAS
ENTIDADES DEBEN IMPLEMENTAR, PRESENTA UN GRAN DESAFÍO EN LOS
ENTORNOS DE CONTROL INTERNO PARA SER RELEVANTES Y SER
MONITORIZADORES LOS RIESGOS CLAVE DE FORMA CONTINUA'.
PARTICIPANTE DE LA MESA REDONDA DE TÜRKIYE
1.1 Orígenes del control interno marco, que se actualizó en 2013. Un resumen del marco COSO
El término "control interno" fue definido por primera vez por el se muestra en el modelo a continuación (Figura 1.1).
Instituto Estadounidense de Contadores (ahora el Instituto
Estadounidense de Contadores Públicos Certificados) en 1949. El
FIGURA 1.1:Marco COSO
Instituto perfeccionó aún más esta definición en 1958 y 1972
(Lauren 2017). La definición ofrecida fue:
“El control interno comprende el plan de organización y todos los

métodos y medidas coordinados adoptados dentro de una
empresa para salvaguardar sus activos, verificar la exactitud y
confiabilidad de sus datos contables, promover la eficiencia
operativa y alentar el cumplimiento de las políticas gerenciales
prescritas”(citado en Heier et al. 2005).
Una serie de desafíos corporativos en la década de 1970 llevó a la

Comisión de Bolsa y Valores de los EE. UU. (SEC) y al Congreso de los
EE. UU. a promulgar la Ley de Prácticas Corruptas en el Extranjero en
1977. Como respuesta a esto, varias entidades en los EE. UU., incluidos
el IIA e IMA, trabajaron juntos bajo la presidencia de James C.
Treadway, Jr., entonces vicepresidente ejecutivo y consejero general de
Paine Webber y ex comisionado de la SEC de EE. UU., para desarrollar
Fuente: COSO (2013)
un marco para el control interno. El Comité de Organizaciones
Patrocinadoras de la Comisión Treadway (comúnmente conocido como La revisión de 2013 del marco proporciona la siguiente
COSO) desarrolló su definición actualizada.
El control interno es un proceso, llevado a cabo por la junta directiva, la gerencia y otro personal de una entidad, diseñado para brindar una seguridad
razonable con respecto al logro de los objetivos relacionados con las operaciones, la presentación de informes y el cumplimiento.
Esta definición refleja ciertos conceptos fundamentales. El control interno es:

norte Orientado a la consecución de objetivosen una o más categorías: operaciones, informes y cumplimiento Un
norte procesoque consiste en tareas y actividades en curso: un medio para un fin, no un fin en sí mismo
norte Efectuado por personas–no solo sobre políticas, manuales de procedimientos, sistemas y formularios, sino sobre las personas y las
acciones que toman en todos los niveles de una organización para efectuar el control interno
norte Capaz de proporcionar una seguridad razonable–pero no seguridad absoluta, a la alta dirección y al consejo de administración de una
entidad
norte Adaptable a la estructura de la entidad–aplicación flexible para toda la entidad o una subsidiaria, división, unidad operativa o
proceso comercial en particular.
Fuente: COSO (2013)
13
Como se señaló, el Marco Integrado de Control Interno COSO 2013 'Las políticas, procesos, tareas, comportamientos y otros aspectos
tiene cinco componentes (Entorno de control; Evaluación de de una organización que en conjunto:
riesgos; Actividades de control; Información y comunicación; y
norte 'Facilitar una operación eficaz al permitirle responder de manera
Monitoreo), siendo el último componente particularmente
adecuada a los riesgos comerciales, operativos, financieros, de
importante para respaldar la agilidad, la puntualidad y la
cumplimiento y otros riesgos significativos para lograr sus
automatización en un entorno que cambia y cambia rápidamente.
objetivos. Esto incluye salvaguardar los activos y garantizar que
entorno empresarial disruptivo.
se identifiquen y gestionen los pasivos.
El marco COSO también tiene 17 principios (Figura 1.2). norte 'Garantizar la calidad de los informes internos y externos,
Generalmente, para que los controles internos sean efectivos, estos lo que a su vez requiere el mantenimiento de registros y
principios deben estar presentes, funcionando e integrados. procesos adecuados que generen un flujo de información
oportuna, relevante y confiable de fuentes internas y
Al actualizar el marco histórico de control interno de
externas.
1992, el marco COSO 2013 se mejoró al expandir la
categoría de objetivos de informes financieros para norte 'Garantizar el cumplimiento de las leyes y reglamentos aplicables y
incluir otras formas importantes de informes, como también de las políticas internas' (ICAEW 1999).
informes no financieros e internos (por ejemplo,
informes y análisis de sustentabilidad). Es dentro de este contexto que este informe analiza el control
interno y cómo se ve afectado por varios cambios que enfrentan las
Otras jurisdicciones han desarrollado definiciones similares del entidades. La intención de estos marcos y orientación sigue siendo
concepto. Por ejemplo, en el Reino Unido, laControl Interno: válida, pero el siguiente paso, más desafiante, es la implementación
Orientación para Directores sobre el Código Combinado( práctica. El informe no busca comentar sobre ningún modelo en
conocido como Informe Turnbull, FRC 2005), publicado por primera contra de otro, sino que es independiente de los modelos mismos y
vez en 1999, definió el control interno y su alcance de la siguiente se enfoca en las experiencias de implementación de los
manera: profesionales encuestados y entrevistados.
FIGURA 1.2:El Control Interno COSO – Principios del Marco Integrado
1. Demuestra compromiso con la integridad y los valores éticos

2. Ejerce la responsabilidad de fiscalización
CONTROL
3. Establece estructura, autoridad y responsabilidad
AMBIENTE
4. Demuestra compromiso con la competencia
5. Hace cumplir la rendición de cuentas
6. Especifica objetivos adecuados

7. Identifica y analiza el riesgo
EVALUACIÓN DE RIESGOS
8. Evalúa el riesgo de fraude
9. Identifica y analiza cambios significativos
10. Selecciona y desarrolla actividades de control

ACTIVIDADES DE CONTROL 11. Selecciona y desarrolla controles generales sobre la tecnología
12. Se implementa a través de políticas y procedimientos
13. Utiliza información relevante

INFORMACIÓN &
14. Se comunica internamente
COMUNICACIÓN
15. Se comunica externamente
16. Realiza evaluaciones continuas y/o separadas

ACTIVIDADES DE MONITOREO
17. Evalúa y comunica deficiencias
Fuente: COSO (2013)
14
1.2 Percepciones de su propósito la información es confiable y precisa. Necesitamos asegurarnos de que
La investigación comenzó considerando lo que los estamos cumpliendo con los estándares contables, regulaciones,
encuestados percibían como el propósito del control interno políticas, etc. La tercera cosa es su confiabilidad en torno a los informes
en sus entidades (Figura 1.3). financieros. A partir de esos tres atributos se extienden los datos y la
tecnología, que están impulsando cambios regulatorios”.
Los encuestados vieron la prevención del fraude (84%) y la
minimización del riesgo (88%) como los principales factores que Se pidió a los encuestados que consideraran los desafíos
describen el propósito del control interno. La calidad de los datos fue que enfrenta su entidad con el control interno3
el factor con la clasificación más baja entre los que los encuestados (Figura 1.4). A nivel global, la falta de personal adecuadamente calificado
podían seleccionar (54 %), aunque la conexión entre el control interno se clasificó como el desafío más importante, con el 50% de los
y el gobierno de datos fue un tema que se planteó con frecuencia en encuestados seleccionando esto (los conjuntos de habilidades se analizan
las mesas redondas y es un tema al que se volverá más adelante en más detalladamente en la sección 3.6). Hubo contrastes en las respuestas
este artículo. este informe (ver apartado 3.8). Un análisis regional de por región, con el 42% de los encuestados en Europa Occidental
los resultados de la encuesta confirmó un patrón similar.2 seleccionando este factor en contraste con el 56% en América del Norte y
el 58% en Asia-Pacífico, el 50% en África y el 54% en el Caribe. Los
conjuntos de habilidades, especialmente en el contexto de la tecnología y
Un participante de la mesa redonda de Australia describió el control interno la agenda ambiental, social y de gobernanza (ESG), también fueron
de la siguiente manera. 'Realmente cubre tres cosas en lo que a mí respecta. planteados por varios participantes de la mesa redonda.
Se trata de asegurarse de que, en primer lugar,
FIGURA 1.3:En su opinión, ¿cuál de estos factores describe el propósito del control interno? Seleccione todos los que
correspondan (n = 1956)1
Detección de fraude,66%
100
Mejorar la calidad de los datos,54% 80 Prevención del fraude,84%
60
40
Protección de la información,sesenta y cinco%

20 Minimización de riesgos,88%
Cumplimiento de los requisitos legales,69% Protección de activos,77%
Cumplimiento de las normas,74% Promoción de la eficiencia,55%
FIGURA 1.4:¿Cuál de los siguientes desafíos en un marco de control interno enfrenta actualmente su entidad? Seleccione
todas las que correspondan. (n = 1956)
Falta de personal debidamente capacitado,50%
50
Ninguna de las anteriores,12% 40 No tener los datos correctos,20%

30
20
Otro,4% 10 No tener acceso a los datos correctos,22%
Los avances tecnológicos comprometen

Falta de supervisión de la junta de gobierno,26%
los controles internos existentes,41%
Falta de rentabilidad del cumplimiento,31% Falta de énfasis ejecutivo,32%
1 Todas las estadísticas utilizadas en este informe provienen de la encuesta ACCA/IIA/IMA Transformation of Internal Control, marzo de 2022, a menos que se indique lo
2 contrario. Varios análisis de resultados de encuestas seleccionados por ubicación o sector acompañan este informe en una serie de infografías.
3 Las definiciones de los términos clave utilizados en este informe se encuentran en el Glosario.
15
Entre nuestros encuestados, el 41% consideró que los avances en 1.3 El modelo de las tres líneas
tecnología comprometen los controles internos. Esto fue muy En 2008 – 2010, la Federación Europea de Asociaciones de Gestión
similar en todas las regiones. Teniendo en cuenta el impacto de la de Riesgos y la Confederación Europea de Institutos de
tecnología y los datos en todas las entidades, este nivel no fue Contabilidad Interna publicaron un documento de posición de tres
sorprendente, aunque solo una pequeña proporción (20 %) afirmó líneas de defensa para mejorar la comprensión de la gobernanza,
que no tenía los datos correctos y solo el 22 % consideró que no la gestión de riesgos y el control aclarando roles y deberes. Esto
tenía acceso a estos datos. fue desarrollado como guía para la 8ª Directiva de la UE, art. 41 2b
4 . En 2020, el IIA perfeccionó 'Las tres líneas', que se puede
Los informes sobre la falta de supervisión de la junta directiva, citados
describir brevemente de la siguiente manera.
por el 26 % en general, mostraron alguna variación cuando se
consideran a nivel regional. En Europa occidental (20 %) y América del
Norte (17 %) hubo una mayor sensación de falta de supervisión que en
Oriente Medio (que registró un 37 %), el sur de Asia (30 %) y Asia- El Modelo de las Tres Líneas ayuda a las organizaciones a
Pacífico (33 %). . La variación puede deberse, en parte, a variaciones en identificar las estructuras y los procesos que mejor contribuyen al
la cultura de control interno y gestión de riesgos entre ubicaciones (la logro de los objetivos y facilitan una gobernanza y una gestión de
riesgos sólidas. El modelo se aplica a todas las organizaciones y
importancia de la cultura y su relación con el control interno se
está optimizado por:
considera, nuevamente, más adelante en este informe, en la sección
3.9). norte Adoptar un enfoque basado en principios y adaptar
el modelo a los objetivos y circunstancias de la
Al comentar sobre la falta de personal adecuadamente capacitado, un organización.
director ejecutivo de auditoría con sede en Europa explicó que "el mayor
norte Centrándose en la contribución de la gestión de riesgos a la
desafío al que nos enfrentamos actualmente es que no hay [suficientes]
consecución de objetivos y la creación de valor, así como a
personas suficientemente capacitadas para mantenerse al día con los
cuestiones de “defensa” y protección del valor.
cambios en la tecnología".
norte Entender claramente los roles y responsabilidades
Un participante de la mesa redonda australiano explicó su percepción representados en el modelo y las relaciones entre
de los desafíos como, 'a lo que muchas empresas se enfrentan ahora ellos.
es un desafío de auditoría en el que corremos el riesgo de automatizar norte Implementar medidas para garantizar que las actividades y los
procesos ineficientes, porque esa es la forma en que siempre lo hemos objetivos estén alineados con los intereses prioritarios de las partes
hecho. No estamos siguiendo el ritmo [con] el cambio'. Una debilidad interesadas.
potencial con las transformaciones es simplemente automatizar un Fuente: IIA (2020)

proceso existente sin optimizar el proceso primero. La aplicación de la
tecnología por sí sola nunca puede, por sí misma, mejorar un proceso.
Se puede hacer una inferencia similar con respecto a la automatización Las Tres Líneas están representadas en la siguiente figura
de los controles. (Figura 1.5).
FIGURA 1.5:El modelo de tres líneas del IIA
Fuente: IIA 2020
4 La evolución del Modelo de las Tres Líneas se considera en Sheen (2020). ACCA proporcionó un comentario en Ashby et al (2019).
dieciséis
Se pidió a los encuestados que clasificaran la eficacia de cada uno Para muchos participantes de la mesa redonda y entrevistados, la
de los actores clave con respecto a sus roles (Figura 1.6). Los rentabilidad del control interno fue una consideración
resultados muestran un patrón ampliamente consistente, con un importante. Que el control interno sea percibido por su liderazgo
fuerte apoyo para cada uno de los elementos del modelo. A nivel como un costo en lugar de un beneficio, especialmente en
regional, hubo una amplia consistencia con los resultados entornos regulados más levemente, creó muchos desafíos. Un
globales. director financiero (CFO) con sede en los EE. UU. comentó que
educar a las personas sobre el propósito y los beneficios era
El modelo de las tres líneas no sugiere dar prioridad a una función esencial y agregó que '¿esto debe suceder desde la tercera línea
comercial sobre otra, pero, para dar una mejor idea de las áreas de defensa? O de la segunda línea. Usted conoce la primera línea
en las que los encuestados comúnmente pusieron más énfasis, en el negocio y necesita hacerles saber la importancia de hacer
también se les pidió que clasificaran las funciones comerciales en esto y cómo hacerlo.'
orden de importancia para su entidad. en una escala de 1 a 5,
donde 1 representaba lo más importante y 5 lo menos (Cuadro
1.1). Un auditor líder en la industria de servicios financieros comentó:
'El control tiende a ser la parte aburrida porque requiere mucho
Los resultados muestran que el cumplimiento de las leyes y los reglamentos tiempo, es oneroso y [la gente] quiere hacer otras cosas que son
establecidos por ley es un requisito, sin embargo, hay un enfoque adicional en el menos invasivas para que puedan ser efectivas en su día. La
aumento de la integridad financiera. Los procedimientos de seguimiento tecnología es una forma de permitirles superar eso'.
obtuvieron la puntuación más baja, pero aún así se consideraron relevantes.
FIGURA 1.6:Teniendo en cuenta el modelo de tres líneas del Instituto de Auditoría Interna (2020), clasifique la
efectividad respectiva de cada línea con respecto a su función (n = 1,956)
Órgano rector administración Auditoría interna
40%
35%
35%
33% 33%
30% 31%
30%
25% 27%
20%
19%
15%
15%
dieciséis%
10%
10%
9%
8%
5%
2%
3% 3%
0%
1 – Altamente ineficaz 2 – Ineficaz 3 – Satisfactorio 4 – Efectivo 5 – Altamente efectivo
TABLA 1.1:Por favor clasifique los siguientes elementos de las Tres Líneas en orden de mayor a menor importancia para su
entidad, donde 1= el más importante; 5 = menos importante (n = 1956)
PUNTUACIÓN PROMEDIO DE RESPUESTA
Establecimiento de procedimientos de seguimiento 3.43
Garantizar el cumplimiento de las leyes y los reglamentos estatutarios 2.49
Aumentar la confiabilidad e integridad financiera 2.85
Ayudar a proteger los activos y reducir la posibilidad de fraude 3.06
Mejorar la eficiencia en las operaciones 3.11
17
UN POTENCIAL
DEBILIDAD CON
TRANSFORMACIONES
ES SIMPLEMENTE A
AUTOMATIZAR UN
PROCESO EXISTENTE
SIN OPTIMIZAR
EL PROCESO PRIMERO.
18
Traducido del inglés al español - www.onlinedoctranslator.com
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|2. RETOS Y OPORTUNIDADES ACTUALES
2. actualdesafíos
yoportunidades
'DEBEMOS SER CAPACES DE ENTENDER CUÁN INTENSIVOS DEBEN SER
NUESTROS CONTROLES. DEBEMOS CONSTRUIR EN MONITOREO Y ANÁLISIS
CONTINUOS. DEBEMOS AUTOMATIZAR LO MÁS POSIBLE'.
DIRECTOR EJECUTIVO DE AUDITORÍA PARTICIPANTE EN LA MESA REDONDA DEL CARIBE
2.1 Impacto de la transformación abordar rápidamente los desafíos actuales. El ciclo continuo de
Las entidades han experimentado una cantidad significativa de

transformación abarca la aplicación de tecnología y enfoques
basados en datos, aceptando que ninguno puede ser el
interrupciones en los últimos dos años. La pandemia ha creado
principal impulsor de la transformación en sí.
muchos desafíos y, en muchos casos, ha obligado a realizar cambios
necesarios en los modelos de negocio. Hay muchas formas de ver la El control interno, al igual que las propias entidades y sus objetivos de
transformación en entidades y ACCA (ACCA / transformación, está sujeto a una compleja red de impulsores de
CA ANZ / Generation CFO 2021), IIA (IAF / Auditboard 2020) e IMA cambio (Figura 2.1). Si bien cada uno de estos puede tener un impacto
(Jiles 2021) han explorado este tema en sus trabajos de sustantivo, en conjunto representan un período de turbulencia para la
investigación. Estos informes enfatizan la naturaleza continua de mayoría de las entidades. Este es un momento en que los riesgos son
la transformación de las entidades y la necesidad de garantizar altos y la necesidad de que los controles sean efectivos es primordial.
que puedan beneficiarse de enfoques ágiles para
FIGURA 2.1:Impulsores de cambio que pueden alterar el control interno
geopolítica Climatizado
Suministro Económico
cadena presiones
Regulación Datos
Consumidor Tecnología
patrones
19
Este informe se ocupa del impacto de estas actividades de Se preguntó a los encuestados cómo consideraban que el riesgo
transformación en los controles internos de las entidades. Como de control interno puede haber cambiado debido a estas
punto de referencia, era importante comprender la amplitud de las actividades de transformación (Figura 2.3).
actividades de transformación en las entidades de los encuestados
(Figura 2.2). Los resultados muestran que el 36 % a nivel mundial afirmó que
la transformación había disminuido o disminuido
En la mayoría de los casos, los encuestados tenían algún tipo de significativamente el riesgo de control interno en sus entidades,
actividad de transformación en marcha o planificada. Para casi una aunque el 34 % afirmó que había aumentado o aumentado
cuarta parte de los encuestados, su viaje de transformación hacia la
significativamente el riesgo. Este equilibrio puede deberse en
contabilidad había comenzado cuatro o más años antes, mientras que
parte a otros factores, como el nivel de comprensión de las
solo el 16 % no tenía ninguna actividad planificada o no sabía de
tecnologías implementadas y el impacto de los cambios en las
ninguna. Estos resultados subrayan el cambio que las entidades están
formas de trabajar y la eficacia de las actividades de gestión del
realizando para seguir siendo relevantes.
cambio. Las transformaciones son desafiantes. Tener una
Cualquier transformación se compone de varios elementos: alineación clara con los objetivos estratégicos de la entidad y
personas, procesos, datos y tecnología. Las definiciones de control comunicar el cambio de manera efectiva son esenciales para
interno reflejan una amplitud similar y, por lo tanto, es inevitable que cualquier actividad de este tipo tenga éxito. Tener en
que el entorno de control interno de una entidad sea modificado cuenta el impacto de estas actividades en el entorno de control
por estas actividades de transformación. puede ser un desafío.
FIGURA 2.2:Indique si se ha producido o está prevista una actividad de transformación en las siguientes áreas de
su entidad (n = 1.956)
hace más de 4 años hace 1 a 3 años En progreso / en curso Planeado dentro de los próximos 3 años Ninguna actividad planeada No aplica no sé
Contabilidad 23% 11% 41% 6% 9% 2% 8%
Cumplimiento 17% 11% 47% 6% 8% 2% 9%
comercio electrónico 8% 10% 27% 8% 14% 21% 12%
Informes financieros (distintos de Sarbanes-Oxley) dieciséis% 9% 36% 5% 13% 9% 12%
Informes financieros (Sarbanes-Oxley) 11% 5% 17% 4% 15% 37% 11%
Tecnologías de la información dieciséis% 11% 52% 8% 5% 2% 6%
Auditoría interna 18% 11% 35% 7% 15% 6% 8%
Marketing 12% 10% 33% 6% 12% 12 % 15%
Informes no financieros 12% 9% 35 % 9% dieciséis% 7% 12%
Reducción del riesgo de fraude 15% 12% 43% 6% 13% 3% 8%
Riesgo 14% 11% 47% 7% 10% 2% 9%
Sitio web 18% 14% 35% 6% 11% 5% 11%
0% 20% 40% 60% 80% 100%
FIGURA 2.3:En general, ¿el riesgo de control interno finalmente aumentó, disminuyó o se mantuvo casi igual debido a las
actividades de transformación? (n = 1833)
Aumentado significativamente 8%
Aumentó 26%
Se quedó igual 21%
Disminuido 29%
Disminuido significativamente 7%
no sé 6%
No aplica 3%
0% 5% 10% 15% 20% 25% 30%
20
Un análisis de las diferencias entre el impacto final sobre el riesgo de Se pidió a los encuestados que consideraran la eficacia general del
control interno de la transformación en diferentes regiones muestra control interno durante un proceso de transformación (Figura 2.5).
algunas variaciones (Figura 2.4). A partir de los resultados, se puede ver que los encuestados
informaron que hubo un cambio en la efectividad general
La naturaleza de las variaciones puede deberse, en parte, a las diferentes percibida del control interno debido a las actividades de
actitudes culturales hacia el control interno en cuanto a si se considera transformación que sus entidades habían emprendido. Si bien
principalmente una actividad impulsada por el cumplimiento o una esto puede anticiparse y, de hecho, un resultado que indique lo
actividad impulsada por la eficacia. La naturaleza de las transformaciones contrario sería un resultado notable, los participantes de la mesa
en sí mismas y la naturaleza diversa de los entornos comerciales también redonda y los entrevistados reflexionaron sobre varios desafíos,
serán factores contribuyentes. como se describe en la sección 3.5.
FIGURA 2.4:En general, ¿el riesgo de control interno finalmente aumentó, disminuyó o se mantuvo casi igual debido a las
actividades de transformación? Análisis por región (n = 1.833)
Riesgo neto disminuido Aumento del riesgo neto
60%
Asia del Sur

50%
África
Oriente Medio
40% Central y Oriental Europa caribe
Asia-Pacífico
Asia-Pacífico
Europa Oriental
Asia del Sur
Oriente Medio África
30% América del norte
Central y Oriental Europa
América del norte
caribe
Europa Oriental
20%
10%
0%
0 1 2 3 4 5 6 7 8 9
FIGURA 2.5:¿Cómo calificaría la efectividad general del marco de control interno en su entidad a lo largo del proceso
de transformación? (n = 1833)
Pre-transformación Actualmente Post-transformación
50%
43%
40%
40%
35%
33%
30%
23%
20% 21% 21%
18%
10%
10% 9% 9%
6% 3% 7%
2% 2% 5% 5% 2% 2%
4%
0%
Altamente ineficaz Ineficaz Satisfactorio Eficaz Muy efectivo No aplica no sé
21
Un análisis más detallado de los resultados se centra en el cambio de Otra pregunta (Figura 2.6) pedía a los encuestados que
aquellos que dieron una respuesta en un escenario previo a la consideraran el alcance del esfuerzo requerido para mejorar los
transformación a la que dieron en uno posterior a la transformación controles internos debido a las actividades de transformación.
(Tabla 2.1). Como puede verse en la figura, en todas las áreas se requirió cierto
grado de esfuerzo. Por ejemplo, para la contabilidad, el 33 % de los
Los resultados de la encuesta sugerirían que la percepción general es
encuestados informó que se requería un esfuerzo significativo y
que las actividades de transformación tienen un beneficio positivo en el
otro 49 % consideró que se necesitaba algún esfuerzo. Marketing
entorno de control interno a medida que disminuye el número de
(19%) fue el área evaluada como la que requiere el menor esfuerzo
quienes las evalúan como altamente ineficaces debido a la actividad;
significativo.
mientras que aumenta el número de los que lo ven efectivo.
TABLA 2.1:Comparación de evaluaciones de eficacia antes y después de la transformación

(Para interpretar esta tabla, como un ejemplo, el 7% de los que calificaron su marco de control interno como altamente efectivo
pre-transformación no conocen su evaluación post-transformación; mientras que el 68 % de los que calificaron la
marco de control previo a la transformación 'altamente efectivo' le otorgó la misma calificación posterior a la transformación).
PRE-TRANSFORMACIÓN REASIGNADA A RATING POST-TRANSFORMACIÓN
Altamente ineficaz Ineficaz Satisfactorio Eficaz Muy efectivo

POST-TRANSFORMACIÓN
Altamente ineficaz 20% 2% 1% 1% 0%

Ineficaz 15% 14% 1% 1% 2%
Satisfactorio 24% 26% 32% 10% 8%
Eficaz 21% 36% 32% 51% 13%
Muy efectivo 8% 10% 23% 29% 68%
No aplica 7% 9% 4% 2% 2%
no sé 5% 3% 7% 6% 7%
FIGURA 2.6:¿Cuánto esfuerzo (tiempo y complejidad) fue necesario para actualizar los controles internos en respuesta a las
actividades de transformación en cada una de las siguientes áreas?
Esfuerzo significativo algo de esfuerzo Sin esfuerzo / sin necesidad de cambios No aplica no sé
Tecnologías de la información 52% 35% 5% 2% 6%
Riesgo 43% 46% 6% 1 % 4%
Cumplimiento 36% 50% 9% 1 % 4%
Reducción del riesgo de fraude 35% 49% 11% 1 % 4%
comercio electrónico 34% 43% 10% 4% 9%
Contabilidad 33% 49% 13% 1% 4%
Informes financieros (Sarbanes-Oxley) 33% 46% 12% 5% 4%
Auditoría interna 32% 52% 11% 2%3%
Informes financieros (distintos de Sarbanes-Oxley) 27% 45% 11% 12% 5%
Informes no financieros 26% 53% 12% 3% 6%
Sitio web 22% 46% 18% 5% 9%
Marketing 19% 50% 17% 6% 8%
0% 20% 40% 60% 80% 100%
Las respuestas para cada una de las subpreguntas fueron las siguientes (n=)
Contabilidad Cumplimiento comercio electrónico Informes financieros Informes financieros No- Reduciendo Información Interno Marketing Riesgo Sitio web
(Sarbanes-Oxley) (otro que financiero riesgo de fraude tecnología auditoría
Sarbanes–Oxley) reportando
1,469 1,469 874 638 1,206 1,089 1,352 1,551 1,237 1,071 1,410 1,310
22
También se preguntó a los encuestados cuál era el alcance de los ¿Estamos pensando lo suficiente en mejorar los controles internos
desafíos en la actualización de sus controles internos (Figura 2.7). cada vez que hacemos una inversión en tecnología?'
Los encuestados informaron que cada una de las áreas sugeridas
fue un desafío. El 45 % de los encuestados informó que la falta de Un participante de la mesa redonda australiano comentó: 'Como
conocimientos técnicos era un desafío o un desafío extremo, auditores internos, debemos ser siempre conscientes, ya que los
mientras que el 41 % consideró que la falta de enfoque en el [tecnólogos] generalmente no piensan desde el punto de vista de los
control interno también era un problema. En el sur de Asia, el 57 % controles'.
de los encuestados y el 54 % en Oriente Medio consideraron que

Operar en un mundo en constante cambio tiene otros impactos
la falta de conocimientos técnicos era un desafío, en comparación
que bien pueden afectar el entorno de control interno. El
con el 35 % en el Caribe, el 38 % en Europa occidental y el 40 % en
modelo tradicional de planificación y previsión ha sido
América del Norte.
cuestionado en muchas entidades. La capacidad de modelar
Un líder de auditoría interna con sede en EE. UU. comentó: "Realmente varios escenarios mediante el uso de datos de muchas fuentes
necesitamos mover la [conversación sobre] el control al principio: ha sido útil para los involucrados durante la pandemia.5
[para] pensar en eso y asegurarnos de que se implemente cada vez
que haya un nuevo proceso o servicio".
Clásicamente, los ciclos de informes mensuales han sido un área
Un director ejecutivo de auditoría de Sudáfrica comentó: con controles internos muy enfocados. Si bien se ha debatido
'tendemos a ver las inversiones en procesos comerciales y las sobre la racionalización de algunos de estos procesos (ver
inversiones en control interno como dos cosas separadas Krumwiede 2016), muchas de las actividades tradicionales
desde el punto de vista de la tecnología. No lo veo tan permanecen, aunque en una escala de tiempo más corta. Los
separado como quizás solíamos verlo tradicionalmente. Es más encuestados (Figura 2.8) indicaron que, debido a la pandemia, los
[una cuestión de] ¿cómo estás mejorando tu entorno de ciclos de informes mensuales han seguido cobrando más
procesos de negocio con tecnología y cómo funciona? relevancia.
FIGURA 2.7:¿En qué medida cada uno de los siguientes causó desafíos al actualizar sus controles internos como
resultado de la transformación? (n = 1836)
30% falta de interior
conocimiento de auditoría
28%
25% 26% falta de técnica
25% 25%
24%
23% conocimiento
20% 22% 22% 22%
21%
19% falta de inclusión
18% en el proyecto
15% dieciséis%
15%
dieciséis% dieciséis%
falta de interacción
13% 13%13%
10% 12%12% con el equipo del proyecto
11% 11%
10% 10%
Falta de enfoque en
5% el control interno.
0%
1 – Extremadamente desafiante 2 3 4 5 – Nada desafiante
FIGURA 2.8:Dado que muchas entidades buscan una toma de decisiones en tiempo real, ¿cómo consideraría la relevancia
de los ciclos de informes mensuales en comparación con 2019? (n = 1956)
40%
35%
30%
26%
20%
18%
10%
9%
3% 3% 6%
0%
Significativamente Disminuido Ningún cambio Aumentó Significativamente No aplica no sé
disminuido aumentó
5 En ACCA/PwC (2021) se incluye una consideración del impacto de la pandemia en la planificación y la previsión.
23
Un análisis regional de las respuestas a esta pregunta reflejarse como una escasez de talento, ya que los individuos buscan
muestra variación al comparar la relevancia neta reevaluar sus expectativas de la vida. Con las presiones inflacionarias
aumentada y disminuida (Figura 2.9). también en aumento, aumentan los impulsores de la automatización
y la capacidad de las iniciativas de transformación para permitir esto
2.2 Adopción de tecnología es cada vez más importante.
Las actividades de transformación de una entidad tienen un impacto en las
En este contexto, se pidió a los encuestados que
finanzas de muchas maneras. La realidad de la transformación es que no es
evaluaran el impacto de una serie de tecnologías6sobre
una actividad a nivel departamental, es una actividad de toda la entidad que
los controles internos de sus entidades (Gráfico 2.10).
tiene impactos variables en diferentes áreas. Los desafíos posteriores a la
pandemia para las entidades en ciertas economías pueden
FIGURA 2.9:Dado que muchas entidades buscan una toma de decisiones en tiempo real, ¿cómo consideraría la relevancia
de los ciclos de informes mensuales en comparación con 2019? Análisis por región (n=1.956)
Disminución neta Aumento neto
80%
70% Oriente Medio
Asia del Sur

África caribe
60%
50% Asia-Pacífico
Central y Oriental Europa Europa Oriental

América del norte
40%
30%
20%
Central y Oriental Europa África
Asia-Pacífico Europa Oriental
América del norte
10% Oriente Medio
Asia del Sur caribe
0%
0 1 2 3 4 5 6 7 8 9
FIGURA 2.10:¿Cómo evaluaría el impacto de las siguientes tecnologías en los controles internos de su entidad? (n =
1956)
No aplica no sé 1 – Significativamente Deteriorado 2 – Deteriorado 3 – Sin impacto 4 – Mejorado 5 – Mejora significativa
Aplicaciones basadas en la nube 14% 9% 2% 4% 11% 40% 20%
análisis de datos 12% 8% 2%3% 10% 45% 20%
Automatización de procesos analíticos 22% 13% 1%3% 12% 36% 13%
Procesamiento de datos 24% 14% 1%4% 12% 33% 12%
RPA / AI 36% 12% 2%3% 13% 24% 11%
Uso de API 25% 18% 2% 3% 12% 30% 10%
Inteligencia artificial 35% 13% 2%3% 14% 24% 9%
Aprendizaje automático 34% 15% 1%3% 14% 25% 8%
Minería de procesos 28% 17% 1%3% 15% 28% 8%
RFID (identificación por radiofrecuencia) 43% 22% 1%2% 14% 13% 5%
0% 20% 40% 60% 80% 100%
6 En el Glosario se proporcionan explicaciones de varios de estos términos, junto con otros términos clave utilizados en este informe.
24
Los resultados son variables. En ciertos casos, herramientas 2.3 Flujos de datos, big data y
como la automatización robótica de procesos y la monitorización continua
automatización inteligente (RPA/IA) o no son aplicables o su
Según un pronóstico de Statista en 2021, el mundo creará 97
impacto es desconocido para el 48% de los encuestados,
zettabytes8de datos en 2022 y esto aumentará a 181 zettabytes en
mientras que el 34% de los encuestados consideró que las
2025 (Statista 2021). Esta explosión de datos es un aspecto del
mismas tecnologías habían mejorado sus controles internos.
viaje de transformación para muchas entidades, ya que buscan
Aparece un patrón similar para muchas de las tecnologías a
utilizar los datos de manera que les permitan comprender mejor a
las que se hace referencia en esta pregunta. Solo el análisis
sus clientes, entre otras actividades, y optimizar sus procesos. Este
de datos y las aplicaciones basadas en la nube obtienen una
aumento de datos está impulsado por la llamada 'cuarta
puntuación significativamente más alta, con un 65 %
revolución industrial'9y el mundo conectado. Cada una de estas
registrando una mejora o una mejora significativa debido al
actividades puede, en parte, ser apoyada por las tecnologías
análisis de datos y un 60 % para las aplicaciones basadas en
citadas en la Figura 2.10.
la nube. Las grandes brechas en las respuestas para
tecnologías específicas revelan las diversas etapas de Se pidió a los encuestados que consideraran si este aumento
exposición e implementación de cada una de ellas en las masivo en los datos disponibles había cambiado la efectividad
iniciativas de transformación digital. Tomado junto con el de los controles internos de su entidad (Figura 2.11).
comentario proporcionado por los participantes de la mesa
redonda,7Las implicaciones de esto se consideran más Entre nuestros encuestados, el 52 % informó que la mayor
adelante en el Capítulo 3. disponibilidad de datos había ayudado a mejorar la eficacia
del control interno. Este nivel de mejora fue mayor en Asia-
Pacífico (57 %), Asia Meridional (60 %) y Oriente Medio (63 %),
mientras que las cifras fueron menores en Europa Occidental
(44 %) y América del Norte (37 %).
FIGURA 2.11:Muchas entidades capturan más datos en comparación con hace cinco años. Gran parte de estos datos son relevantes
tanto para la información financiera como para la no financiera. ¿Este aumento en el volumen de datos ha afectado la efectividad de
los controles internos? (n = 1956)
40%
39%
30%
20% 22%
13%
10% 11%
9%
1% 5%
0%
Significativamente Deteriorado Sin impacto Mejorado significativamente No aplica no sé
deteriorado mejorado
ENTRE NUESTROS ENCUESTADOS,52%INFORMÓ QUE

LA MAYOR DISPONIBILIDAD DE DATOS HABÍA
AYUDADO A MEJORAR LA EFICACIA DEL CONTROL
INTERNO.
7 Las implicaciones de la tecnología para los conjuntos de habilidades de los profesionales de contabilidad y finanzas se analizan en ACCA (2020).
8 Un zettabyte es un múltiplo del byte unitario que mide el almacenamiento digital y equivale a 1.000.000.000.000.000.000.000 [1021] bytes.
9 El término "cuarta revolución industrial" fue presentado por primera vez a una amplia audiencia por Klaus Schwab en un artículo enRelaciones Exterioresen 2015 (Schwab 2015).
25
Uno de los desafíos con tales volúmenes de datos es que las miembros del personal de oficina. Al comienzo de la
técnicas de muestreo tradicionales se ven desafiadas para pandemia, surgieron preguntas sobre el impacto del trabajo
garantizar que se extraigan conclusiones apropiadas de las doméstico o híbrido en el entorno de control interno. Seria
pruebas; varios participantes de la mesa redonda se refirieron a robusto? Si bien ha habido desafíos (y algunos de estos y sus
esto. La oportunidad de usar el poder de cómputo para revisar implicaciones de control se explorarán en el Capítulo 3), los
constantemente la totalidad de una población, lo que se encuestados consideraron que, en general, la efectividad de
denomina 'monitoreo continuo', puede ofrecer ventajas en el los controles había aumentado o permanecido igual con solo
monitoreo de control interno. De los encuestados, el 28% ya el 31% informando que había disminuido. o disminuyó
usaba esta técnica y otro 36% la estaba considerando (Figura significativamente (Figura 2.13). No obstante, mientras que en
2.12). Las implicaciones del monitoreo continuo se consideran en Asia-Pacífico (30 %), el sur de Asia (33 %) y Europa occidental
el Capítulo 3. (25 %) se tenía la impresión de que se habían mejorado los
controles, solo el 15 % de los encuestados en América del
2.4 Formas de trabajo en evolución Norte consideraba que así era. .
Los cambios transformacionales no están relacionados solo con la
Un participante de la mesa redonda de Türkiye comentó: 'trabajar
tecnología y los datos. Más bien, a menudo son cambios
desde casa en lugar de la oficina no supondría un gran cambio
fundamentales en las formas de trabajar. Una lección de la
desde [una] perspectiva de control. Supongo que la evaluación
pandemia es que aquellas entidades que han manejado los desafíos
podría ser diferente porque todo depende de qué tan bien esté
de manera más efectiva son aquellas que han adoptado culturas
estructurado el entorno de control. Si tiene controles
colaborativas e innovadoras.
automatizados mucho más que controles manuales y sus sistemas
Otro aspecto ha sido el cambio al trabajo híbrido que se ha están integrados, entonces trabajar desde cualquier lugar no tiene
visto en muchas entidades, especialmente para más nada que ver con el entorno de control'.
FIGURA 2.12:Con la creciente disponibilidad de Big Data, ¿su entidad está considerando el uso de técnicas de auditoría
continua y/o monitoreo continuo como parte de sus controles internos? (n = 1956)
40%
36%
30%
28%
20%
20%
10%
10%
6%
0%
Sí, ya estamos usando Sí, estamos considerando No No aplica no sé
FIGURA 2.13:¿Cómo evaluaría el impacto del trabajo remoto/híbrido en la efectividad de los controles internos? (n
= 1956)
40%
30% 32%
24%
20%
20%
10%
8%
7%
5% 4%
0%
Significativamente Disminuido Se quedó igual Aumentó Significativamente No aplica no sé
disminuido aumentó
26
Trabajar desde casa ha aumentado el perfil de riesgo de muchas En general, el 80% de los encuestados estuvo de acuerdo o muy de
entidades en torno a la pérdida de propiedad intelectual. Los estudios acuerdo con esta afirmación. Este resultado mostró solo una
muestran un aumento en el rango de ataques de phishing, por ejemplo, variación regional marginal.
desde el comienzo de la pandemia. VentureBeat hace referencia a un
En febrero de 2022, la Junta de COSO aprobó un estudio de
estudio de SonicWall que sugiere un aumento del 231 % en los ataques
investigación para demostrar cómo se puede lograr un control
de phishing desde el comienzo de la pandemia hasta finales de 2021
(Alspach 2022). La protección cibernética se ha estado moviendo hacia un interno efectivo sobre los informes de sostenibilidad mediante la
modelo Zero Trust (como se analiza en ACCA / Chartered Accountants aplicación del Marco Integrado de Control Interno de 2013.10Es muy
Australia and New Zealand / Macquarie University 2019) que define el importante que los inversores y otras partes interesadas confíen en
perímetro de la amenaza cibernética de una manera diferente. El uso de las divulgaciones de ESG/sostenibilidad, como las relativas al riesgo
técnicas como el Zero Trust Model ayuda a redefinir el perfil de riesgo. climático, las emisiones de carbono, la ciberseguridad, la innovación
y el capital humano. Estos datos, informes y análisis son diferentes
de los datos financieros en que tienden a ser más desestructurados,
cualitativos y estimados a partir de diferentes fuentes.
2.5 Información no financiera
La consideración final en la encuesta fue si los encuestados
El gobierno de datos, la calidad, el modelado y el análisis son de
creían que los controles internos deberían extenderse a la
vital importancia.
información no financiera y los informes relacionados con los
objetivos ESG (Figura 2.14).
FIGURA 2.14:¿En qué medida está de acuerdo o en desacuerdo con que existe la necesidad de aplicar el marco de
control interno a los informes no financieros y ESG? (n = 1956)
50%
44%
40%
36%
30%
20%
10% 11%
3% 3% 3%
0%
Muy en desacuerdo Discrepar ni de acuerdo Aceptar Totalmente de acuerdo no sé
ni en desacuerdo
GENERAL,80%DE LOS ENCUESTADOS ACORDARON O MUY DE

ACUERDO EN QUE EXISTE LA NECESIDAD DE APLICAR EL
MARCO DE CONTROL INTERNO A LOS INFORMES NO
FINANCIEROS Y ESG.
10 COSO (2022)
27
A MENOS QUE MODIFIQUEMOS NUESTRO

ENFOQUE SOBRE LA IDENTIFICACIÓN DE
RIESGOS Y LA METODOLOGÍA DESDE UN
PUNTO DE VISTA DE CONTROL INTERNO, NO
CREO QUE LOS ENFOQUES TRADICIONALES
VAN A SER RELEVANTES POR MÁS TIEMPO.
28
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|3. EVOLUCIÓN DE NUESTRO PENSAMIENTO
3.en evoluciónnuestropensando
'EL CAMBIO VIENE A MAYOR VELOCIDAD Y CON UN IMPACTO MÁS

SIGNIFICATIVO QUE NUNCA ANTES. LA TECNOLOGÍA QUE ESTAMOS
UTILIZANDO Y LOS RIESGOS Y REQUISITOS QUE ENFRENTAN, EN
PARTICULAR DE LOS REGULADORES, ESTÁN EN EXPANSIÓN.'
CONSULTOR DE AUDITORÍA INTERNA EN LA MESA REDONDA DEL REINO UNIDO Y LA REPÚBLICA DE IRLANDA
3.1 Trazando un camino a seguir la automatización de los controles, incluido el uso de aprendizaje
Habiendo considerado la posición actual a través de los automático y otras técnicas, requiere que esto esté en su lugar. Esto, a
resultados de la encuesta y evaluando las percepciones de los su vez, debe integrarse con la plataforma de cumplimiento y riesgo de
entrevistados y participantes de la mesa redonda, es importante gobierno (GRC) que forma parte de la arquitectura tecnológica general
trazar un camino a seguir para el control interno, dadas las (consulte la sección 3.5).
influencias sobre él. En este capítulo se exploran varios de los

controladores. Avanzar requiere que se tomen medidas: los 3.2 Evolución de la tecnología y los datos
puntos de acción sugeridos se resaltan con un '!'icono. No se puede escapar de que la tecnología y los datos están cambiando
el panorama empresarial. Antes de la pandemia, las entidades se
La discusión se desarrolla en torno a varios factores enfocaban cada vez más en comprender cómo crear valor y
(Figura 3.1). conocimiento a partir de los datos a su disposición, y en lograr estos
objetivos. La opinión de que la pandemia aceleró la tasa de adopción
Comprender el perfil de riesgo es fundamental. Los controles
de tecnología fue ampliamente aceptada por los participantes de la
monitorean los riesgos y este vínculo en la entidad transformada
mesa redonda y los entrevistados. La expresión 'cinco años en cinco
sigue siendo esencial (como se discutió en la sección 3.9). los
meses' se ha utilizado con frecuencia como mantra para esta
aceleración tecnológica. Un socio de una firma de contabilidad en la
India comentó que, 'nos guste o no, la tecnología ha dominado las
FIGURA 3.1:Trazando un camino a seguir operaciones comerciales en los últimos... 10 a 20 años. Diría que más
en los últimos dos años. El impacto de la tecnología posterior a COVID
Tecnología & Entidad ágil no financiero ha sido bastante marcado e incluso cuando las personas se mostraron
evolución de datos reportando reacias a aceptar el cambio, se vieron obligadas a hacerlo. Agregó que,
en su opinión, "a menos que modifiquemos nuestro enfoque sobre la
identificación de riesgos y la metodología desde el punto de vista del
control interno, no creo que los enfoques tradicionales sigan siendo
relevantes". En opinión de un director ejecutivo de auditoría de EE. UU.,
'lo que está sucediendo en el mundo de la auditoría es [que] los
procesos comerciales se están moviendo, pero la función de auditoría
no se está moviendo tan rápido'.
IMPLICACIONES PARA EL CONTROL INTERNO
Como se ha demostrado a partir de los resultados de la encuesta en la

Figura 2.13, la percepción inicial de que los cambios en las formas de
Conjuntos de habilidades Tiempo real Datos trabajar podrían resultar en un debilitamiento del entorno de control
gobernancia
interno puede no haberse materializado. Un director financiero
comentó que para la primera línea: "se está volviendo bastante difícil
para uno comprender el proceso de extremo a extremo, y si no logra
comprender el proceso, la segunda línea o la tercera línea
normalmente tendrán un desafío cuando" Estoy tratando de entender
ese proceso y luego tratar de ver si los controles están funcionando
correctamente o poder realizar una auditoría de él. En su opinión, la
naturaleza de los procesos se está volviendo más fragmentada e
estrategia y cultura informal. Desde la perspectiva de la primera línea, es más difícil
obtener la vista de extremo a extremo.
29
Entre muchos de los participantes de la mesa redonda hubo Si bien ha habido una aceleración del ritmo del cambio en la tecnología
una opinión de que la informalidad de las formas de trabajo y los datos, es poco probable que este sea el final de la historia. El
que requirió la pandemia, por ejemplo, mediante el uso de impacto de la 'cuarta revolución industrial' en las entidades está
métodos informales para aprobar transacciones, como la aumentando, especialmente cuando buscan abordar el clima
aprobación por correo electrónico o mensajes de WhatsApp, económico que está surgiendo en 2022. Un mayor uso de la
puede haber resultado en una pérdida de seguimiento de automatización en el ciclo de producción afectará no solo a las
auditoría. Un entrevistado que trabaja en una industria entidades basadas en la fabricación, sino a todas. sectores en todas las
regulada aceptó que si bien muchos de estos cambios sociales áreas de operaciones.11
llegaron para quedarse porque los cambios de estilo de vida
entre la fuerza laboral se aceptaron, ahora era el momento de Los componentes de esta revolución, denominada 'Industria 4.0', se
que las entidades reevaluaran algunos de los nuevos procesos muestran en la Figura 3.2.
'temporales' que se pusieron en marcha. en su lugar

Cuando se considera en combinación con las percepciones de los
rápidamente al comienzo de la pandemia que ahora se han
encuestados sobre los impactos tecnológicos en el control interno
vuelto permanentes y pueden necesitar una revisión adicional.
(Figura 2.10), sugeriría que una proporción razonable no es consciente
Este entrevistado continuó diciendo que había que lograr un
de los impactos de estas tecnologías en sus entidades o de las
equilibrio entre la necesidad del control y el entorno de
implicaciones del control interno. Quedarse quieto no es una opción, ni
trabajo en evolución. Había un riesgo, en su opinión,
lo es 'auditar alrededor de la caja' (es decir, adoptar enfoques nuevos/
no convencionales). Aquellos involucrados en el control interno deben
Un director ejecutivo de auditoría con sede en el Reino Unido tenía una

ser más conscientes de esta tecnología y los controladores de datos.
perspectiva diferente y comentó que: 'No creo que se trate de un mayor

control. Creo que se trata de un control más ágil y [evaluar] dónde
Un participante de la mesa redonda australiano comentó: 'la velocidad
probablemente estábamos sobrecontrolados. Nuestro apetito por el
a la que [el cambio tecnológico está] llegando es cada vez más rápida
riesgo estaba ligeramente fuera de control'.
de lo que hemos visto antes. La dependencia de la tecnología pesada
también se está volviendo más y más pesada a medida que avanzamos.
El desafío [es] para nuestro entorno de control interno... abordar eso
CONSIDERAR LAS TRANSICIONES DE
en cualquier situación que veamos'. Relacionando esto con el número
TECNOLOGÍA Y DATOS QUE LAS ENTIDADES
de encuestados que no entendieron el impacto de las tecnologías
HAN INTEGRADO AL MODELO OPERATIVO Y
emergentes en relación con el control interno, a medida que aumenta
LAS ESTÁN REFLEJANDO EN LOS CONTROLES
INTERNOS. el uso de una variedad de tecnologías, la brecha potencial se amplía.
FIGURA 3.2:Componentes de 'Industria 4.0'

Simulación
Sistemas autónomos Integración vertical y horizontal
Industria
Computación en la nube Internet de las Cosas
4.0
Fabricación aditiva La seguridad cibernética
Aumentado grandes datos
la realidad
11 A modo de ejemplo, se considera el impacto en las Cadenas de Suministro de la Industria 4.0 en ACCA/IMA/Chartered Institute of Procurement and Supply (CIPS) (2022).
30
esta agilidad aumentará. El concepto de 'Digital

ASEGÚRESE DE QUE COMPRENDE LA TECNOLOGÍA Core' (Figura 3.3) facilita esta rápida sensación de cambio
Y LOS DRIVERS DE DATOS EN EL MODELO (ver ACCA/CA ANZ/Generation CFO 2021).
OPERATIVO DE LA ENTIDAD. ASEGÚRESE DE QUE
ESTÁ FAMILIARIZADO CON EL USO DE Es importante que los encargados del control interno en todos los
TECNOLOGÍAS EMERGENTES. niveles de operación dentro del Modelo de las Tres Líneas se
aseguren de que estas consideraciones se incluyan en los
equipos de proyecto que son responsables de impulsar estos
MAPEAR EL USO DE TECNOLOGÍAS EMERGENTES PARA
cambios ágiles. A menudo, estos equipos se reúnen para
LOS CONTROLES INTERNOS E IDENTIFICAR
OPORTUNIDADES PARA AUMENTAR LA EFICACIA DEL actividades a corto plazo y se retiran con la misma rapidez. No es
CONTROL. posible realizar cambios para acomodar las consideraciones de
control interno como una ocurrencia tardía, como lo destacaron
varios participantes de la mesa redonda y lo confirmaron sus
Un participante sudafricano de la mesa redonda llevó la discusión experiencias. La mentalidad de los encargados del control interno
más allá. 'La quinta revolución industrial [será] donde los humanos debe pasar de una 'cascada' a una 'ágil'12
y las máquinas coexistiendo juntos nos dan la oportunidad de enfoque y ser proactivo en establecer el caso para la
cambiar la mentalidad, cambiar la cultura. Podemos usar la participación en lugar de esperar a ser invitado.
tecnología para asegurarnos de tener eficiencia operativa'.
3.3 La entidad ágil APRECIAMOS QUE LOS DESARROLLOS DEL MODELO

OPERATIVO SON CADA VEZ MÁS PROBABLES QUE SE
Es probable que los impulsores económicos de 2022 y más allá signifiquen
REALICEN DE MANERA ÁGIL Y ASEGURAR QUE LOS
que las entidades deberán ser ágiles para adaptar sus modelos operativos.
ENCARGADOS DEL CONTROL INTERNO EN TODOS
Agilidad significa que existe la necesidad de actualizar y cambiar
LOS NIVELES DENTRO DEL MODELO DE LAS TRES
constantemente el modelo operativo para poder aprovechar las
LÍNEAS ESTÉN PREPARADOS PARA PARTICIPAR
oportunidades y gestionar las limitaciones del entorno económico. Esto APROPIADAMENTE.
significa que los controles internos deben ser adaptables y dinámicos. Los
resultados de la encuesta sugieren que las consideraciones de control
interno siguen siendo una posible ocurrencia tardía en el proceso de A medida que aumenta la amplitud del control interno para incluir
transformación (Figura 2.7). A medida que las entidades migran cada vez más aspectos financieros y no financieros de la entidad, existe la
más a la tecnología basada en la nube y las arquitecturas de datos necesidad de una visión integrada de los datos de riesgo. Aunque,
construidas en torno a las aplicaciones "mejores de su clase", la necesidad como señalan McPherson et al., 'llevar a que los datos de riesgo se
de explotar fragmenten, desalineen y dispersen en
FIGURA 3.3:El 'núcleo digital'
Compromiso de la fuerza laboral

Colaboración
e innovación
Experiencia del cliente
Núcleo digital
internet de las cosas y
dispositivos conectados
Redes sociales
Análisis e información GRC finanzas y operaciones
12 Los términos 'cascada' y 'ágil' se definen en el Glosario.
31
silos organizacionales, lo que impide que los líderes obtengan una En julio de 2021, COSO publicó una guía,Gestión de riesgos
vista panorámica necesaria del panorama de riesgo que necesitan empresariales para la informática en la nube(Grob y Cheng
para actuar con audacia y determinación '(McPherson et al 2022). 2021), que brinda una perspectiva sobre esta área. Esto amplía
Esta progresión del control interno requiere la adopción de los 17 principios (consulte la sección 1.1, Figura 1.2) a un
soluciones GRC efectivas y eficientes. escenario basado en la nube, proporciona una hoja de ruta para
implementar la computación en la nube y describe las funciones
y responsabilidades apropiadas.
IMPLEMENTAR UNA SOLUCIÓN DE GRC QUE
ABORDE TODOS LOS ELEMENTOS DE RIESGO Y Muchos participantes de la mesa redonda destacaron la importancia de los
CONTROL INTERNO EN TODA LA ENTIDAD. informes SOC 2 para los proveedores de servicios en la nube.13
Es esencial comprender qué riesgos debe gestionar esa entidad al
interactuar con un proveedor de servicios. Una de las lecciones
Varios participantes de la mesa redonda destacaron los aprendidas por las entidades en la década de 1990 durante la ronda
desafíos de la migración de datos a medida que las entidades inicial de subcontratación de TI fue que no se puede derogar la
hacen la transición al núcleo digital. Si bien la migración de responsabilidad por el riesgo y, de hecho, se necesita tanto esfuerzo
datos nunca puede ignorarse, lo que debe apreciarse son los para administrar la relación con el proveedor de servicios como para
cambios inherentes en el uso de TI que introduce este modelo ejecutar la operación de TI internamente. . Todo lo que cambia es el
operativo. Las soluciones basadas en la nube requieren un perfil de riesgo. El mismo mensaje sigue siendo válido hoy con la
enfoque diferente para la mejora de las aplicaciones. Los iteración de aplicaciones basadas en la nube.
proveedores publican los cambios de acuerdo con sus propios
Un director ejecutivo de auditoría en los EE. UU. comentó:
plazos y los modelos operativos deben adaptarse. No se aplica
'[tradicionalmente, las entidades] tienen su propio conjunto de
la visión tradicional de los controles generales de TI. En los
controles en torno a los controles de gestión de acceso, sus propios
modelos operativos tecnológicos tradicionales, las entidades
controles de gobierno y gestión de cambios. Y está viendo que
competían modificando la aplicación para adaptarla a su
[entidades], incluidos los departamentos de TI, se vuelven más
propio modelo operativo. En el mundo basado en la nube, los
dependientes del marco de control [del proveedor de la nube]. [Como
modelos operativos deben adaptarse al modelo establecido
auditor,] estamos cuestionando si está bien. Sabemos que esta es una
por el proveedor y el panorama competitivo ha cambiado, ya
gran empresa y servicio, pero ¿cuánto vamos a confiar en su marco,
que las entidades compiten para obtener información de los
sus controles y sus estructuras y decir que estamos de acuerdo con
datos disponibles.
eso?'
Un CFO en el Medio Oriente comentó que: "el mayor desafío
se debe a que la tecnología evoluciona tan rápido: una vez que
crea un control, de repente ese control ya no es relevante y,
en algunos casos, los controles en realidad no son APRECIAR LAS CONSIDERACIONES DE CONTROL
INTERNO DERIVADAS DEL PERFIL DE RIESGO CAMBIADO
comercialmente viables". señalando que en su organización
EN CUALQUIER ESCENARIO BASADO EN LA NUBE.
no existe ningún requisito legislativo o reglamentario para la
APRECIAMOS QUE LOS CONTROLES GENERALES
implementación de dicho entorno.
TRADICIONALES DE LA TECNOLOGÍA DE LA
INFORMACIÓN (ITCGS) HAN CAMBIADO.
RECONFIGURAR EL MODELO DE RIESGO PARA

REFLEJAR LAS PRÁCTICAS TECNOLÓGICAS CAMBIADAS Las aplicaciones basadas en la nube ofrecen accesibilidad al usuario final, ya
QUE SURGEN DE LA ADOPCIÓN DE APLICACIONES sea un cliente o un miembro del personal; vendedor o proveedor. A menudo,
BASADAS EN LA NUBE. COMPRENDER LA
la captura de datos se realiza a través de un dispositivo móvil y ocurre cerca
NATURALEZA DIFERENTE DE LA TECNOLOGÍA Y DE LA
del momento de la transacción. El control interno que está enmarcado por
RELACIÓN CON EL VENDEDOR.
revisiones detectivescas periódicas está demasiado alejado del inicio de la
transacción. La transacción es pasada. El uso de controles automatizados
basados en los parámetros matemáticos del sistema o modelo proporciona
Si bien este enfoque puede ser relativamente fácil de adoptar para las
una retroalimentación más relevante.
entidades más grandes, para aquellas en el nivel medio, donde el control
interno es igualmente importante, la adopción de nuevas tecnologías puede
verse limitada por la disponibilidad de fondos y la falta de capacidad técnica
para implementar las medidas necesarias. cambios, tanto en la tecnología
INTEGRA CONTROLES INTERNOS AUTOMATIZADOS Y
BASADOS EN PARÁMETROS EN APLICACIONES
como en el control interno. Esto, en sí mismo, es una barrera que estas
BASADAS EN LA NUBE, ESPECIALMENTE EN EL
entidades deben superar, de lo contrario, se puede perder la ventaja
PUNTO DE INICIACIÓN.
competitiva.
13 SOC 2 es el estándar de cumplimiento voluntario de AICPA para organizaciones de servicios.
32
Traducido del inglés al español - www.onlinedoctranslator.com
En febrero de 2022, COSO publicó una guía sobre la En primer lugar, como comentaron los participantes de la mesa redonda y
aplicación de metodologías ágiles al control interno (Walker los entrevistados, muchas entidades no recopilan actualmente la gama
2022). La guía describe cómo se puede adoptar un enfoque completa de datos que pueden requerir tales divulgaciones. Muchos de los
de gestión de riesgos empresariales (ERM) en un entorno componentes de datos se encuentran fuera de las propias entidades, en sus
empresarial ágil. La guía hace 20 recomendaciones para cadenas de suministro. La obtención y gestión de dichos datos es claramente
fortalecer ERM en un entorno ágil. un problema que deberá abordarse.
En segundo lugar, las aplicaciones aún no están implementadas para

administrar estos datos. Si bien los proveedores de software pueden
3.4 Consideraciones sobre información no financiera
desarrollar nuevas aplicaciones, gran parte de los informes actuales se
El perfil de reporte de las entidades está cambiando. Las partes
desarrollan utilizando aplicaciones basadas en el usuario final, como
interesadas requieren una visión más amplia del desempeño que
hojas de cálculo, que ya se entienden como debilidades en los entornos
incluya consideraciones ESG; de hecho, el rango de estas partes
de control interno.
interesadas está aumentando.
En tercer lugar, a diferencia de los datos de informes financieros, gran

En marzo de 2022, la SEC de EE. UU. publicó su borradorLa mejora y
parte de los datos no financieros requeridos no están estructurados y
estandarización de las divulgaciones relacionadas con el clima para
son de naturaleza cualitativa. Esto presenta desafíos en el desarrollo
inversores(SEC 2022), que en el párrafo E comenta 'Como parte de los
de un nivel de garantía de control interno sobre los datos. Como se
estados financieros de la entidad registrada, las métricas de los estados
analiza en la sección 3.8, hubo un fuerte sentimiento entre los
financieros estarían sujetas a auditoría por parte de una firma de
participantes de la mesa redonda de que es necesario comprender la
contabilidad pública registrada independiente y estarían dentro del alcance
alineación cada vez mayor entre los objetivos de gobierno de datos y
del control interno de la entidad registrada sobre la información financiera
control interno. Esta área es un impulsor principal.
("ICFR ”)'.14
Un director ejecutivo de auditoría de Europa Central y del Este

El Grupo Asesor Europeo de Información Financiera (EFRAG)
señaló que: 'los datos [no financieros] obviamente se encuentran en
también publicó en marzo de 2022 un borrador de guía sobre
su mayoría fuera de los sistemas ERP [planificación de recursos
informes de sostenibilidad que incluye aspectos de control
empresariales]. En realidad, se recopila de manera ad hoc, solo
interno (EFRAG 2022). El apartado 43 sugiere que "la empresa
cuando se necesita para informar. Puede imaginarse si [tiene] que
proporcionará información sobre sus procesos de control
compilarse manualmente lo difícil que es auditarlo. Es una especie
interno, incluso en relación con el proceso de elaboración de
de trabajo creativo y, a veces, creo que es solo una aproximación
informes de sostenibilidad". El párrafo 44 proporciona un
aproximada'.
comentario al afirmar que 'el principio a seguir bajo este
requisito de divulgación es informar sobre los aspectos
relacionados con los factores de gobierno que afectan los
TRABAJAR PARA IDENTIFICAR LAS FUENTES DE
procesos de control interno de la empresa, incluso en relación
DATOS RELEVANTES QUE PERMITAN A LA
con los informes de sostenibilidad, y proporcionar una
ENTIDAD CUMPLIR CON LOS REQUISITOS DE
comprensión de la supervisión y seguimiento de dichos procesos
INFORMACIÓN NO FINANCIERA.
por parte del órgano de gobierno de la empresa».
Además, en marzo de 2022, el Consejo de Normas Internacionales de

DESARROLLAR UNA ESTRATEGIA PARA INCLUIR
Sostenibilidad (ISSB) publicó sus borradores de exposición sobre los LOS DATOS NO FINANCIEROS NECESARIOS EN
requisitos generales de divulgación relacionados con la sostenibilidad EL MARCO DE CONTROL INTERNO Y ESTAR
(ISSB 2022a) y los requisitos de divulgación específicos relacionados con PREPARADOS PARA DOCUMENTARLOS SEGÚN
el clima (ISSB 2022b). Entre ellos, estos describen los estándares internos CORRESPONDA.
de información propuestos en esta área.
Independientemente del resultado de estas consultas, el alcance ENLACE CON LOS ENCARGADOS DE LA GOBERNANZA
de los informes y los controles internos requeridos de las DE DATOS PARA ASEGURAR LA ALINEACIÓN ENTRE
entidades más grandes se expandirán para incluir componentes ESTOS CONJUNTOS DE DATOS.
no financieros. Esto era claramente lo que esperaban los

encuestados (Figura 2.14).
Un entrevistado con una larga experiencia en control
Muchos de los participantes de la mesa redonda también interno y que consulta con muchas grandes
abordaron esta área. Para varios, si bien ya esperaban corporaciones reflexionó sobre si los responsables del
incluir datos no financieros en su entorno de control interno, Modelo de tres líneas del IIA estaban listos para adoptar
también se reconoció que esto presenta desafíos que las flujos de datos de informes no financieros dentro de sus
entidades pronto deberán enfrentar. objetivos. Su evaluación fue, 'No. No de ahora al menos'.15
14 SEC (2022) apartado E p; 43; haciendo referencia a la sección II F 2 y 3 dentro del mismo documento.
15 En febrero de 2022, el directorio de COSO aprobó un estudio sobre Sostenibilidad / ESG (COSO 2022) con miras a publicar sus resultados más adelante en el año.
33
3.5 Detalle de las implicaciones para el la codificación es correcta]. Y podrías tener cinco muestras.
control interno Tenemos que avanzar hacia controles automatizados'.
Cada una de las tendencias descritas en las secciones anteriores

Un director financiero del Reino Unido destacó una dicotomía. "De
tiene una implicación para el entorno de control interno en una
alguna manera nos hemos vuelto más confiados o tuvimos que
entidad. Estas implicaciones continuarán ampliándose, y la
confiar más en nuestra gente, y eso también es una dicotomía con el
realidad del entorno cambiante es una que las entidades deben
control interno, porque de alguna manera, el control interno dice: "No
asegurarse de abordar. Esta sección considera algunas de las
confío lo suficiente en ti, por lo tanto, quiero proteger". usted y yo
implicaciones con más detalle y considera varias implicaciones
necesitamos involucrar a más personas en este proceso”, y creo que
tecnológicas y de datos para las finanzas (Figura 3.4).
eso podría necesitar un poco de reflexión'.
Un colaborador de la República de Irlanda comentó, 'la gente no

Alrededor o a través entiende cómo documentar esos controles automatizados o
Una pregunta clásica de la auditación es si auditar alrededor oa través [saben] que... los controles automatizados pueden ahorrar mucho
de la computadora.dieciséis¿Tratas el algoritmo de la computadora como tiempo y pueden... entrar en muchos más riesgos del sistema en
una caja negra? La dependencia sustancial de las entidades en TI lugar de ir de vuelta al tic-tac y los golpes y los controles
significa que los intentos de auditar 'alrededor' de la computadora no manuales'.
reflejan cómo opera la entidad. Existe una desalineación potencial de
los perfiles de riesgo. Parte de la discusión en las mesas redondas Un director ejecutivo de auditoría europeo advirtió que, a
reflejó que, para muchos equipos de auditoría interna, todavía había medida que las entidades avanzan hacia procesos globales y
una tendencia a auditar 'alrededor' de la computadora, debido controles estándar, puede haber desafíos para comprender
simplemente a la falta de habilidades (ver sección 3.6) o por cómo se aplican en ubicaciones específicas. Este participante
conveniencia. Hubo un sentimiento en muchas de las discusiones de agregó: "Encontrar... el denominador común que podría usarse
que las entidades dependían de los controles manuales y tenían para un control automatizado en términos de talla única es
muchos procesos manuales duplicados que formaban parte del marco difícil".
de control interno, ya que esto era más fácil que comprender e
implementar controles automatizados.
Como comentó un entrevistado, es más fácil documentar y REEVALUAR EL ENFOQUE DE LOS CONTROLES
probar un control manual que uno automatizado. AUTOMATIZADOS DENTRO DE LA ENTIDAD.
Sin embargo, varios participantes de la mesa redonda aceptaron

IDENTIFICAR ÁREAS DONDE SE REALIZAN
que si las entidades van a gestionar con éxito los volúmenes
CONTROLES MANUALES QUE PUEDEN DUPLICAR
cada vez mayores de datos que sus entidades originan o
CONTROLES AUTOMATIZADOS Y ELIMINAR
necesitan gestionar17entonces los controles automatizados son
SEGÚN SEA APROPIADO.
esenciales. Un entrevistado de la India comentó: 'Se comprueba
una muestra en un control automatizado y ya está. Porque si
funciona en un punto en el tiempo, se supone que debe El uso de controles automatizados puede involucrar un elemento de
funcionar siempre [suponiendo que monitoreo continuo (como se discutió en la sección 3.7).
FIGURA 3.4:Tecnologías que afectan las finanzas y el control interno
CONTROL INTERNO
basado en la nube
Automatización
Datos y Bajo/Sin código Máquina cadena de bloques
soluciones perspectivas desarrollos aprendizaje
Cambiar los controles generales de TI
Aplicaciones tradicionales
16 La referencia al término 'computadora' es para inferir la totalidad de las aplicaciones y el hardware.

17 Un ejemplo de dónde una entidad puede necesitar cada vez más procesar y validar información sobre otras entidades se relaciona con su capacidad para abordar propuestas europeas.
Divulgaciones de la cadena de suministro de la Unión, como se analiza en ACCA / IMA / CIPS (2022).
34
Cambiando el ambiente de trabajo

Las entidades todavía están lidiando con los cambios en el COMPRENDER EL ALCANCE DE LA COMPUTACIÓN DEL
lugar de trabajo que han resultado de la pandemia. Incluso USUARIO FINAL (INCLUYENDO AQUELLAS FUERA DE
antes del COVID-19, el modelo de negocio tradicional basado LA DEFINICIÓN TRADICIONAL) Y ASEGURARSE DE
QUE TODAS LAS APLICACIONES QUE SE
en la presencia física estaba siendo sustituido por uno basado
DESARROLLAN Y QUE FORMAN PARTE DE LOS
en la aportación a la entidad, y esta tendencia se ha acelerado.
CONTROLES INTERNOS, TENGAN EL NIVEL
En muchas entidades, el tiempo y la ubicación ya no son
ADECUADO DE CONTROLES DE DESARROLLO Y
problemas, el valor y la eficiencia son los factores clave. La PRUEBA APLICADOS.
colaboración está a la orden del día si las entidades quieren
sobrevivir en tiempos turbulentos. Varios de los participantes
de la mesa redonda cuestionaron si los controles internos Esta es sólo una etapa en el viaje. La entidad ágil utilizará cada vez más
basados en procedimientos manuales o la presencia física soluciones que se pueden desarrollar e implementar rápidamente, a
pueden considerarse efectivos para el futuro. Algunos menudo utilizando herramientas de desarrollo sin código o código
participantes de la mesa redonda que representaban a la bajo para mejorar el modelo operativo. Estas soluciones son utilizadas
comunidad de auditoría interna comentaron que, en sus por el usuario final en lugar del departamento de TI y pueden
revisiones de procesos y controles, desarrollarse e implementarse rápidamente. Existe el riesgo de una
falta de reconocimiento formal de las consideraciones de control
interno en tales escenarios, sin embargo, forman parte fundamental
Un CFO que contribuyó a este informe consideró estas implicaciones
de los modelos operativos de las entidades, utilizando al máximo el
junto con las del entorno económico desafiante de 2022, y señaló que a
entorno basado en la nube.
medida que los costos [y las ganancias] de las entidades se vuelven
más reducidos y las formas de trabajar más informales: 'se da cuenta
de que tiene desafíos de incluso cosas básicas como la segregación de
APRECIAMOS QUE LA TRANSFORMACIÓN ÁGIL
funciones. Cuando alguien se va de permiso, se convierte en un desafío
UTILIZARÁ CADA VEZ MÁS APLICACIONES PARA
muy difícil. Entonces descubre que los controles pueden ser violados'. DESARROLLAR MEJORAS EN LOS PROCESOS
OPERATIVOS QUE NO ESTÁN SUJETOS A LOS CICLOS
DE VIDA TRADICIONALES DE DESARROLLO DE
Otro director financiero comentó las preocupaciones sobre la dispersión de datos por
APLICACIONES Y GARANTIZAR QUE SE ABORDEN LOS
correo electrónico. A medida que los correos electrónicos de phishing se vuelven más RIESGOS QUE SURGEN.
sofisticados, aumentan los riesgos.
La integridad y la confidencialidad de los datos ya no son Incluso en la aplicación de tecnologías, la tendencia es verlas
funciones de controles físicos, por ejemplo, estar en una oficina y a través de una lente de proceso y no mirar las oportunidades
estar conectado a una red, sino que son controles lógicos de de control que pueden presentar. Como comentó un
autenticación, redes privadas virtuales y cifrado. Algunas de entrevistado de la India, para cada proceso al que aplicamos
nuestras bases de confidencialidad han cambiado. RPA, es posible considerar un método paralelo basado en el
control. Consideraron que no se estaba poniendo suficiente
A medida que cambian las formas de trabajar, necesitamos reevaluar
énfasis en el uso de RPA para fines de control interno.
los fundamentos del control interno desde la percepción de que el
personal está físicamente presente hasta una aceptación más
basada en valores de cómo se desempeñan los roles. Muchos
Controles generales de TI
controles tradicionales (y quizás más manuales) ya no son efectivos.
La visión tradicional de los controles generales de TI (ITCG) es
La automatización es una necesidad.
que se aplican a todos los sistemas informáticos y al entorno
en el que operan. Hay varias fuentes de orientación en esta
Desarrollos de usuario final y el uso de soluciones
área.
Lo-code / No-code
La herramienta informática tradicional del usuario final era la hoja de norte IIA ha publicado una serie de guías de auditoría de tecnología
cálculo. Los estudios, como uno realizado por ACCA (2020), indican que, global que respaldan la comprensión de varias áreas que son
como profesionales de la contabilidad y las finanzas, seguimos confiando en relevantes para la auditoría de este entorno.
las hojas de cálculo y tardamos en adoptar otras formas de herramientas
norte La Asociación de Auditoría y Control de Sistemas de
analíticas o de eficiencia de procesos, como herramientas analíticas y RPA
Información (ISACA) ha publicado su marco de objetivos de
(ACCA et al. 2018) o (Jiles 2020). Cada uno de estos es esencialmente una
control para tecnología de la información (COBIT), que
solución desarrollada por el usuario final. Como comentó un director
alinea los objetivos tecnológicos con el marco COSO.
ejecutivo de auditoría, estas soluciones desarrolladas por el usuario final
deben estar sujetas al mismo nivel de controles de desarrollo que las
aplicaciones informáticas de usuario final más tradicionales. Sin embargo, norte AXELOS, que es propiedad conjunta de Capita y la Oficina del Gabinete del
para que las entidades sean ágiles, necesitan cada vez más adoptar y no gobierno del Reino Unido, tiene un conjunto de estándares relacionados
evitar estas soluciones. con TI conocido como Biblioteca de Infraestructura de TI (ITIL).
35
Cada una de estas formas de orientación se revisa y actualiza desarrollar proyecciones más enfocadas. Se requiere una habilidad
periódicamente. Aun así, la visión tradicional de los ITGC, profunda, como la de un auditor de algoritmos, para evaluar su efectividad.
expresada por los participantes de la mesa redonda, es que son Sin embargo, muchos ciclos de planificación y previsión que se encuentran
aplicables al entorno informático heredado. Con el avance de las en el centro de los controles de revisión de gestión están utilizando
tecnologías 'como servicio', la forma en que las entidades elementos de ML para mejorar la precisión de sus previsiones.
consumen y usan los servicios de TI está cambiando. Esto apoya el
desarrollo de la entidad ágil y transformadora. Al desarrollar Para los responsables de los controles internos, en cualquier
controles internos, es importante comprender cómo está parte de la entidad, una de las TIGC fundamentales, la gestión
cambiando el entorno de TI. Como comentó un participante de la del cambio, debe aplicarse en un sentido diferente al algoritmo.
mesa redonda de América del Norte, en su empresa, 'es casi risible En el ambiente tradicional, los cambios fueron documentados y
que... apliquemos la misma metodología de controles generales evaluados. ML no crea tal pista de auditoría. Aprende a medida
de TI que hacíamos hace 20 o 30 años'. que avanza. El potencial de sesgo en los algoritmos se
comprende bien; sin embargo, no es posible aplicar
Como señala el comentarista Matt Kelly: 'Los ITGC funcionan fuera de procedimientos de gestión de cambios convencionales. Existe la
la vista de la mayoría de los empleados, pero son increíblemente tentación de tratar el algoritmo como una 'caja negra', pero
importantes para la seguridad, el cumplimiento y el éxito operativo. incluso eso requiere análisis especializados de los resultados
Sin embargo, el hecho primordial es que la empresa comercial esperados frente a los reales. Pero ML está aquí, y es importante
moderna solo dependerá más de la tecnología a medida que mejorar en consecuencia.
avanzamos hacia el futuro. Cuanto más comprenda los ITGC que
respaldan su negocio, mejor podrá competir su negocio en nuestro
mundo altamente regulado y altamente riesgoso' (Kelly 2022). APRECIAR EL PAPEL QUE PUEDEN JUGAR EL
APRENDIZAJE AUTOMÁTICO Y LA INTELIGENCIA
ARTIFICIAL EN EL ENTORNO DE CONTROL.
EVALUAR EL ENTORNO DE CONTROL GENERAL DE TI

EN EL CONTEXTO DEL MODELO OPERATIVO ACTUAL, Todas estas tendencias detalladas tienen implicaciones para los conjuntos de habilidades
IDENTIFICANDO DÓNDE LOS CONTROLES SE de aquellos en cada una de las tres líneas.
GESTIONAN A TRAVÉS DE APLICACIONES BASADAS

EN LA NUBE EN LUGAR DE EN LAS INSTALACIONES Y En septiembre de 2021, COSO publicó una guía sobre ML y
LOS CAMBIOS RESULTANTES EN LOS PERFILES DE relaciona el marco COSO con su uso (Calagna et al. 2021).
RIESGO. La guía asigna los 17 principios a su aplicabilidad a la IA y
sus usos potenciales en las entidades.
cadena de bloques 3.6 Conjuntos de habilidades
Las tecnologías de cadena de bloques a menudo se citan como entornos La cuestión de qué habilidades deben desarrollarse para seguir siendo
donde los objetivos de control son parte integral de su tejido. Hasta la fecha, relevantes como contadores y finanzas, auditoría interna u otros
el uso de esta tecnología se ha limitado a determinadas circunstancias, como profesionales es algo que se plantea con frecuencia. Charlie Wright,
aquellas en las que la procedencia de los bienes o los datos financieros son presidente del IIA de la Junta Global 2021-2022, en una discusión
de importancia crítica. A medida que la procedencia se convierte en un sobre las habilidades futuras del auditor interno, hizo el siguiente
riesgo cada vez mayor a nivel de entidad, por ejemplo, para ayudar a comentario.
abordar los objetivos ESG, es probable que aumente el uso de esta y otras
tecnologías similares. Es importante para las entidades apreciar cómo esta
tecnología puede ayudar a abordar objetivos de control definidos con "A pesar de este potencial, solo el 38 % de los directores ejecutivos
precisión. de auditoría o jefes de auditoría interna que participaron en un
estudio global de octubre de 2020 [realizado por IIA y Deloitte] que
En julio de 2020, COSO publicó una guía sobre la aplicación del control exploraba la competencia de auditoría interna dijeron que sentían
interno en un escenario de cadena de bloques (Burns et al. 2020), en la que sus funciones tenían la capacidad de auditar más de tres de seis
que los autores evalúan el impacto potencial de la cadena de bloques áreas críticas relacionadas con la tecnología y la innovación. Estas
en el control interno. áreas incluían:
norte Tecnologías disruptivas

Aprendizaje automático e inteligencia artificial La inspección
Entornos informáticos virtuales y en la nube
de datos requiere cada vez más la detección de patrones
norte
aprendidos de la experiencia. Este no es el único caso del uso de norte ERM ampliado
aprendizaje automático (ML) e inteligencia artificial (IA) en norte la seguridad cibernética
entidades. Como técnicas de control, estas presentan desafíos norte evaluación dinámica de riesgos
dado que, a medida que los algoritmos aprenden durante el uso, norte continuidad del negocio y gestión de crisis.'
se vuelve un desafío comprender si se detectan verdaderos o Fuente: Wright 2021
falsos positivos en los conjuntos de datos, o
36
Existe una clara necesidad de desarrollar una amplia gama de La importancia de Big Data y el proceso de transformación
habilidades, tanto técnicas como de naturaleza más interpersonal. requiere que cada línea del modelo de tres líneas deba garantizar
que el personal tenga las habilidades adecuadas para gestionar
Estudios separados de ACCA (2020 y 2021) e IMA (Krumwiede 2017) los riesgos. En un momento en que, para muchas entidades, los
coinciden con este análisis para todos los profesionales de recursos están limitados por varias razones, esto presenta un
contabilidad y finanzas. La mejora de las habilidades solo se puede desafío importante, pero que no se puede ignorar.
lograr a través del aprendizaje continuo, pero no se trata solo de
aprender habilidades técnicas: el profesional de contabilidad, Un director ejecutivo de auditoría que trabaja en una empresa multinacional
finanzas y auditoría interna también debe ser un asesor de global en India comentó que existe un nivel de expectativa en relación con
confianza.18 las habilidades necesarias para respaldar el análisis y las consultas de datos,
y opinó que las habilidades con hojas de cálculo ya no son suficientes. 'Ahora
A medida que el control interno continúa transformándose, los conjuntos de hay una cierta cantidad de codificación básica [que] esperaríamos. Al menos,
habilidades de quienes están a cargo deben expandirse. Una apreciación de cada miembro del equipo debe ser capaz de aplicar [un] cierto nivel básico
la tecnología y los datos ya no son 'buenos de tener', sino que son de codificación por sí mismo, luego acudir a un especialista, porque todavía
necesidades. El desafío de esta declaración se puede ver reflejado en los no se le llama especialista. Esta es la nueva realidad de hoy y mañana que
resultados de la encuesta a los que se hace referencia en la Figura 1.4 y en la necesita tener estos elementos básicos. Estos conjuntos de habilidades [son]
Figura 2.7, que indican el nivel de escasez de habilidades y su impacto en el ya no especialistas'. Este participante señaló que las habilidades de
trabajo relacionado con el proyecto. codificación son ahora tan necesarias como lo fueron las habilidades de
Excel en el pasado.
IDENTIFICAR LOS CONJUNTOS DE HABILIDADES Y LOS

Un CFO reflexionó sobre el impacto de la automatización en los flujos de
RECURSOS NECESARIOS PARA MANTENER LA EFICACIA DEL
procesos y los conjuntos de habilidades que se necesitarán para un entorno
CONTROL INTERNO EN TODA LA ENTIDAD TRANSFORMADA,
INCLUYENDO LAS HABILIDADES NECESARIAS PARA de control interno eficaz en el futuro. 'Tiene un desajuste de habilidades
ABORDAR LOS OBJETIVOS NO FINANCIEROS. DESARROLLAR donde ha mejorado las eficiencias generalmente en trabajos de grado
PLANES APROPIADOS DE GESTIÓN DEL TALENTO. inferior, liberando capacidad, pero las habilidades que necesita están en
trabajos de grado superior. Has creado espacio, pero hay un desajuste de
habilidades, lo que creo que es un desafío para nosotros en la forma en que
abordamos el control'.
CONSIDERE SU PROPIO NIVEL DE HABILIDADES
TECNOLÓGICAS Y RELACIONADAS CON LOS DATOS EN EL Un entrevistado sugirió el siguiente modelo para describir el
CONTEXTO DEL CONTROL INTERNO E IDENTIFIQUE LAS conjunto de habilidades necesarias en una entidad desde la
OPORTUNIDADES DE DESARROLLO PERTINENTES. perspectiva del control interno (Figura 3.5).
Como implica la Figura 3.5, las habilidades técnicas ya no son

APRECIAMOS QUE LAS HABILIDADES DEBEN REFRESCARSE
suficientes por sí solas. En un entorno en transformación, tener un
CONTINUAMENTE, TANTO EN TECNOLOGÍA COMO EN LA
conocimiento operativo sólido de la entidad y su industria es clave, al
VISIÓN PARA LOS NEGOCIOS Y LAS HABILIDADES
igual que las habilidades interpersonales para poder comunicar este
INTERPERSONALES. ASEGÚRESE DE QUE ESTÉN
conocimiento de manera efectiva y, por lo tanto, establecer relaciones
IMPLEMENTADAS LAS INICIATIVAS CORRESPONDIENTES.
de confianza con las partes interesadas en todos los niveles.
FIGURA 3.5:Un modelo potencial de conjunto de habilidades en el contexto del control interno
Cultura de riesgo Tecnología Datos Transformación ESG Agilidad
Conocimiento de la entidad y la industria.
Habilidades interpersonales
18 Un concepto desarrollado por Maister et al. en su libro de 2002,El asesor de confianza, desde que se actualizó (Maister et al. 2021).
37
3.7 Consideraciones sobre datos en tiempo real norte usar informes para monitorear el desempeño del proceso,
La capacidad de revisar grandes volúmenes de transacciones en tiempo real identificar tendencias y aislar valores atípicos para la investigación
puede ser una necesidad para muchas entidades, pero es un desafío a norte usar el flujo de trabajo de manera inteligente para documentar las
medida que aumentan los volúmenes de datos y se amplía el perfil de riesgo actividades de control
potencial. El control interno ha sido tradicionalmente una actividad reactiva.
norte utilizando desarrollos a medida y herramientas de usuario final, como
Revisa las transacciones en cada línea del modelo de tres líneas, ya sea a
RPA, para desarrollar controles de monitoreo.
medida que ocurren o en un punto en el tiempo después de que ocurrieron.
Con el aumento de la velocidad y la veracidad de las transacciones, para
Varios participantes de la mesa redonda destacaron la falta de
muchos participantes de mesas redondas y entrevistados esto se había
evidencia sólida como una barrera para la automatización.
vuelto cada vez más desafiante. Para algunos, especialmente en la tercera
línea, proporcionar La integración de la supervisión continua y los controles
las observaciones sobre transacciones que habían pasado mucho tiempo automatizados dentro de la estructura general de control interno
parecían plantear dudas sobre su relevancia para la entidad. es esencial si las entidades van a gestionar los mayores volúmenes
de datos de manera eficaz en un entorno operativo transformado.
El potencial de usar técnicas de inspección de datos como el código
La Figura 3.6 proporciona una vista que vincula los componentes
embebido para identificar patrones potenciales en las transacciones
de controles automatizados (a nivel de validación de datos),
en tiempo real ofrece una oportunidad no solo para hacer que el
análisis e información en tiempo real (supervisión del rendimiento
desempeño de un control sea más proactivo sino también para
a nivel empresarial) y supervisión continua (ofrecer atestación). La
aumentar el valor agregado a las entidades.
combinación de estas tres técnicas será fundamental para un
esquema de control integrado en las entidades del futuro.
Para las entidades que existen en un entorno operativo de rápido
movimiento, el cambio es una constante. Los procesos comerciales se
refinan y adaptan constantemente. Para muchas entidades, el ciclo
tradicional de cambios operativos y de procesos periódicos ha sido
reemplazado por un cambio continuo. El desafío para los responsables FIGURA 3.6:Rol del monitoreo continuo y análisis en
tiempo real
del control interno es que cualquier revisión retrospectiva puede ser
irrelevante, ya que el proceso puede haber cambiado desde que se
Controles integrados
recopilaron los datos.
Es importante lograr un equilibrio entre el monitoreo continuo de

datos y la identificación de transacciones que puedan requerir una
mayor investigación, con la evaluación de riesgos estratégicos y el
trabajo de auditoría posterior. Separar estos dos canales de la Tiempo real
Continuo
segunda y tercera línea puede resultar imprescindible. Algunos de los análisis y
vigilancia
visión
participantes de la mesa redonda comentaron que el monitoreo
continuo es una actividad de segunda línea. Sin embargo, solo es
efectivo si se toman medidas una vez que se ha levantado una
bandera roja. La tercera línea debe considerar qué tan efectivos son
los procedimientos de seguimiento.
Un entrevistado con sede en la India reflexionó sobre el desafío de Controles automatizados

los tamaños de muestra o selección pequeños en relación con los
grandes volúmenes de datos en poder de las entidades. 'La cobertura
y las variaciones que existen [hacen que sea un desafío] para usted
concluir que los controles internos son apropiados y están diseñados
adecuadamente. ¿Cómo llega a esa conclusión con un tamaño de
Flujos de datos en tiempo real
muestra tan pequeño, que es lo que se recomienda en muchas de las
notas de orientación? Creo que ahí es donde entra en juego la
importancia de la analítica. Eso le brinda una cobertura más amplia, y
[en] una manera mucho más científica [en oposición a una selección]
y enfocada'. DESARROLLAR Y PROMULGAR UNA ESTRATEGIA PARA EL
MONITOREO CONTINUO QUE ESTÉ ALINEADA CON EL
La automatización eficiente de los controles depende de VOLUMEN DE DATOS ESPERADO.
varios factores:
norte una comprensión de las capacidades de la aplicación para ASEGURARSE DE QUE HAYA UN APROPIADO
validar transacciones como parte del flujo de trabajo EQUILIBRIO ENTRE CONTROLES MANUALES Y
AUTOMATIZADOS Y BUSCAR EVITAR REDUNDANCIA Y
norte incorporar en ese flujo de trabajo los niveles apropiados de DUPLICACIÓN EN LOS CONTROLES.
supervisión
38
3.8 Gobierno de datos: ¿una cuestión de Para muchos participantes de la mesa redonda, una alineación más
control interno? estrecha entre los encargados de cumplir los objetivos de control
interno y los que garantizan el gobierno de datos en una entidad era
Si el control interno va a ampliar su alcance para abarcar datos que se
esencial para el futuro.
utilizan tanto para el rendimiento financiero como para el no financiero
y para los objetivos de presentación de informes, entonces la Mientras que los responsables del gobierno de datos son
integridad de esos datos se vuelve cada vez más importante. No responsables ante la gerencia por la integridad de los flujos de
obstante, desde una perspectiva diferente, este es también el objetivo datos, los encargados del control interno (y la auditoría interna)
de los encargados del gobierno de datos. Un director ejecutivo de son responsables ante grupos como el comité de auditoría. Ambos
auditoría de los EE. UU. que participó en la mesa redonda de América tienen intereses comunes en la integridad y precisión de los datos
del Norte comentó: 'la gobernanza de datos es un problema real y y, a medida que aumentan los requisitos de control interno en los
hasta que tenga una gobernanza de datos adecuada, todos los marcos, datos financieros y no financieros, las áreas de interés común se
todos los controles o los principios de los que habla cualquier marco de superpondrán cada vez más.
control interno... no ser relevante'.
Un participante de la mesa redonda del Reino Unido comentó que:

ASEGURAR LA ALINEACIÓN ENTRE LOS OBJETIVOS DE
'la columna vertebral de la tecnología que tiene datos consistentes GOBIERNO DE DATOS Y CONTROL INTERNO EN LA
o estructuras de datos consistentes capaces de proporcionar la ENTIDAD Y FORTALECER LOS PROCEDIMIENTOS QUE
medición de los resultados [estratégicos] [es necesaria]. Entonces, GARANTIZAN LA INTEGRIDAD Y EXACTITUD DE LOS
lo que las juntas y los comités de auditoría quieren saber es, ¿dónde DATOS TANTO FINANCIEROS COMO NO
FINANCIEROS.
estamos en ese viaje para lograr esos resultados? ¿Qué se
interpone en el camino de eso? ¿Cuáles son los riesgos y qué tipo
de entorno de control [necesitamos] si queremos gestionarlos y
mitigarlos de la manera más económica, eficiente y eficaz?'. 3.9 Una cuestión de estrategia y cultura
La consideración final para muchos de los participantes de la
mesa redonda fue la alineación del control interno con la
La Tabla 3.1 proporciona una comparación de los objetivos de estrategia de la entidad y con su cultura. Esto se puede capturar
control interno y gobierno de datos en las entidades. Demuestra en el marco COSO Enterprise Risk Management (ERM) de 2017
áreas significativas de interés común. (Figura 3.7).
TABLA 3.1:Principios de control interno frente a gobierno de datos
PRINCIPIOS DE CONTROL INTERNO PRINCIPIOS DE GOBERNANZA DE DATOS
norte Establecer responsabilidades norte Garantizar la rendición de cuentas
norte Mantener registros norte Aplicar normas y reglamentos estándar Garantizar

norte Asegure los activos vinculando a los empleados clave norte la administración de datos
norte Separe las funciones norte Establecer estándares de calidad de datos
norte Rotación obligatoria de empleados Dividir la norte Garantizar la transparencia
norte responsabilidad de las partes relacionadas Usar
norte controles tecnológicos Realizar revisiones
norte periódicas independientes
FIGURA 3.7:Marco de gestión de riesgos empresariales de COSO
Fuente: COSO (2017)
39
Varios expresaron la opinión de que las actividades de control interno la alfabetización y su familiaridad con la tecnología eran una
se estaban realizando por el bien del cumplimiento y no porque parte esencial de sus vidas, y se consideró que su creencia de que
hubiera un riesgo específico que se estuviera controlando. "la computadora siempre tiene la razón" corría el riesgo de
Argumentaron que era necesario lograr un equilibrio. Un director debilitar el control interno. Para que el control interno sea
ejecutivo de auditoría con sede en el Reino Unido proporcionó una efectivo, debe entenderse que requiere una combinación de
perspectiva ligeramente diferente, comentando que: '[como] personas, procesos, tecnología y datos. Si incluso uno de estos
funciones de control olvidamos [el] elemento de control del apetito componentes no es eficaz, entonces se reduce la eficacia del
por el riesgo, y es "cinturón y tirantes" todo el tiempo, y creo que la marco de control interno.
pandemia nos ha ayudado a tener un poco más de perspectiva sobre
eso'. Un participante de la mesa redonda australiano comentó: "Creo que en
la era digital con el gobierno de datos y los controles internos, la
Había una sensación de que la brecha entre el control de los cultura será más importante a medida que los controles se integren
riesgos reales y las actividades de cumplimiento estaba realmente en los sistemas y la tecnología automatizados".
aumentando en línea con el aumento de los flujos de datos y la
implementación de la tecnología. Si los controles manuales se Varios participantes de la mesa redonda y entrevistados
repiten mediante controles automatizados, esta duplicación contrastaron las actitudes culturales hacia el control interno con su
reduce la eficacia del entorno de control en general. El control impacto en las entidades. En parte, esto se puede ver en las
debe ser rentable. variaciones en las respuestas a la encuesta, especialmente cuando

se correlaciona con la falta de supervisión de la junta (Figura 1.4),
Existe un marco de control interno para 'brindar una donde las opiniones difieren entre Europa occidental y América del
seguridad razonable con respecto al logro de los Norte, por un lado, y los de Oriente Medio, Sur y Oriente Medio.
objetivos relacionados con las operaciones, la Asia y Asia-Pacífico. Esto también puede atribuirse a diferentes
presentación de informes y el cumplimiento' (COSO percepciones de la regulación y variaciones en las estructuras de
2013). Implícito en esto está el vínculo con la gestión del propiedad.
riesgo. Eso solo puede lograrse mediante una fuerte
cultura de gestión de riesgos y un refuerzo del
propósito del control interno. Esta cultura debe ser REFORZAR LA IMPORTANCIA DE LA GESTIÓN DE
establecida por los principales líderes de la entidad. RIESGOS Y EL CONTROL INTERNO DE FORMA
Algunos participantes de la mesa redonda CONTINUA EN TODA LA ENTIDAD.
argumentaron que este vínculo se estaba debilitando.
Muchos destacaron la importancia de una gestión eficaz
REFORZAR LA NECESIDAD DE SER ÓPTIMOS EN
del riesgo empresarial y su fuerte vínculo con los
EL DESARROLLO E IMPLEMENTACIÓN DE UN
objetivos de control interno. Un director ejecutivo de MARCO DE CONTROL INTERNO,
auditoría del Reino Unido comentó: ESPECIALMENTE CUANDO ESTÁ CADA VEZ MÁS
HABILITADO POR LA TECNOLOGÍA.
CUESTIONE LA SUPOSICIÓN DE QUE LA 'COMPUTADORA

Los participantes informaron una creciente sospecha del ES CORRECTA' EN TODAS LAS CIRCUNSTANCIAS AL
propósito del control interno entre aquellas generaciones que CONSIDERAR LOS CONTROLES INTERNOS.
ahora ingresan al lugar de trabajo. Su nivel tecnológico
40
3.10 Implicaciones para los marcos de ¿El marco de control interno de COSO debe ampliarse y rehacerse por
control interno completo? no lo hace Creo que la mayor deficiencia que veo [en
relación] con los marcos es [que] la aplicación práctica a
En esta discusión de las consideraciones futuras para el control
[posiblemente] áreas más complejas [se] está quedando realmente
interno, es importante reflexionar sobre los marcos que
atrás'. Un participante de la mesa redonda australiano comentó que:
utilizamos como base para establecer el entorno de control.
'los controles se implementan a través de procedimientos, que se
La Figura 3.8 muestra que los encuestados en general promulgan en una [entidad]. En estos días, la mayoría de los
(62 %) estaban de acuerdo o muy de acuerdo con que la procedimientos viven dentro de cajas electrónicas y con el costo de
guía regulatoria actual reflejaba la naturaleza de su modificar los sistemas informáticos, los procedimientos internos no
modelo operativo. van a cambiar mucho dentro de los sistemas informáticos para que el
negocio pueda seguir adelante. Los procedimientos que bien podrían
Un análisis de las respuestas de aquellos que están de acuerdo o haber sido correctos cuando fueron escritos, nunca cambian. Eso
muy de acuerdo con esta propuesta muestra alguna variación por puede ser un problema significativo [para la entidad]'.
región (Figura 3.9).
Muchos de los participantes de la mesa redonda y Existe una apreciación de la necesidad de adoptar la
entrevistados coincidieron con esta perspectiva. Los marcos digitalización y la transformación, pero la falta de comprensión
básicos a los que se referían, como el Control Interno COSO de cómo hacerlo se citó como una barrera. Cualquier
– Marco Integrado, los Objetivos de Control para la orientación será, inevitablemente, genérica y, si bien puede
Tecnología de la Información (COBIT®) desarrollados por proporcionar un elemento de apoyo, no puede proporcionar el
ISACA, y el marco SOC 2 desarrollado por AICPA. contexto específico en el que un profesional de contabilidad y
finanzas, dondequiera que opere en cualquier línea, necesitará
Como se ha demostrado en este informe, es en el nivel práctico donde aplicarla. Eso debe provenir, en parte, de una apreciación de las
se desafía a las personas. Un participante en la mesa redonda de EE. propias tecnologías y la gestión de los datos.
UU. y Canadá preguntó: '[¿Piensa la gente que] el
FIGURA 3.8:¿En qué medida está de acuerdo o en desacuerdo con que la guía regulatoria sobre control interno refleja
la naturaleza del modelo operativo actual? (n = 1956)
50%
48%
40%
30%
20% 21%
14%
10%
7% 8%
2%
0%
Muy en desacuerdo Discrepar ni de acuerdo Aceptar Totalmente de acuerdo no sé
ni en desacuerdo
FIGURA 3.9:¿En qué medida está de acuerdo o en desacuerdo con que la guía regulatoria sobre control interno refleja la
naturaleza del modelo operativo actual? Análisis por región de las respuestas de acuerdo y muy de acuerdo. (n=1950)
África 71%
Asia del Sur 70%
Oriente Medio 70%
Asia-Pacífico 66%
Europa central y del este 60%
caribe 57%
América del norte 55%
Europa Oriental 48%
0% 10% 20% 30% 40% 50% 60% 70% 80%
41
MUCHOS RESALTARON LA IMPORTANCIA DE

LA GESTIÓN EFECTIVA DEL RIESGO
EMPRESARIAL Y SU FUERTE VÍNCULO CON
LOS OBJETIVOS DE CONTROL INTERNO.
42
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|CONCLUSIÓN
Conclusión
El control interno sigue siendo un concepto fundamental para las Se necesita tecnología, así como una sólida gestión de datos y un
entidades y los responsables del gobierno. Las partes interesadas estrecho vínculo condato de governanciaobjetivos
buscan cada vez másgarantíasobre una gama más amplia de
divulgaciones de entidades, lo que a su vez requiere la extensión del Para respaldar todos estos aspectos de la transformación y
marco de control interno a través de más flujos de procesos, algunos continuar teniendo controles internos efectivos, se necesita una
de los cuales no han estado previamente dentro del alcance del Modelo guía más relevante para apoyar a los profesionales y se necesitan
de Tres Líneas del IIA. iniciativas de educación continua para desarrollar las habilidades
requeridas. Esto se aplica no solo al uso de las propias tecnologías
La disponibilidad del derechohabilidadeses fundamental para el transformadoras, sino también a nuestra comprensión del
mantenimiento de controles internos efectivos. Estas habilidades se entorno de control de TI que las respalda.
están ampliando más allá de lo puramente financiero y debe haber un
reconocimiento de esta necesidad ampliada y la consiguiente inversión La conclusión es que el valor del control interno se extiende mucho
requerida tanto por entidades como por individuos. más allá de la presentación de informes y el cumplimiento estatutario
para respaldar las divulgaciones financieras externas. En un entorno
Tecnologíacontinúa avanzando. Este avance muestra signos de empresarial que cambia rápidamente y se expande (incluidos
aceleración a medida que los datos y las aplicaciones y procesos que impulsores como los desarrollos tecnológicos y ESG), el control interno
los respaldan se vuelven esenciales en el entorno empresarial ágil. El eficaz ayuda a generar seguridad, confianza y reputación. Además,
control interno debe ser parte fundamental de estetransformación; no para respaldar la transformación empresarial y aumentar el valor de la
es una ocurrencia tardía que se compensa con controles manuales. Las empresa, el propio control interno debe transformarse
entidades operan entiempo real; por lo tanto, los controles deben constantemente para adaptarse a su propósito en un entorno digital y
operar a través de enfoques como el monitoreo continuo para disruptivo, y esto requiere capacitación y mejora de las habilidades.
mantener el ritmo de las actividades de las entidades que los operan. Esta es una gran oportunidad para que los profesionales de
contabilidad, finanzas y auditoría interna aumenten su relevancia e
influencia.
Si las entidades van a integrarseinformes no financieros
objetivos en sus controles internos, debe reconocerse que los
datos para esto son menos sólidos y más variados en su
naturaleza y sus fuentes que los datos financieros.
PARA APOYAR LA TRANSFORMACIÓN DEL NEGOCIO Y AUMENTAR EL

VALOR DE LA EMPRESA, EL MISMO CONTROL INTERNO DEBE
TRANSFORMARSE CONSTANTEMENTE PARA SER ADECUADO PARA
SU PROPÓSITO EN UN ENTORNO DIGITAL Y DISRUPTIVO, Y ESTO
REQUIERE CAPACITACIÓN Y MEJORA.
43
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|GLOSARIO
Glosario
Aditivo AM, o fabricación aditiva de capas (ALM) es el nombre de producción industrial para la impresión 3D, un proceso
fabricación (AM) controlado por computadora que crea objetos tridimensionales depositando materiales, generalmente en capas.
Ágil En el desarrollo de software, las prácticas ágiles (a veces escrito Agile) incluyen el descubrimiento de requisitos y la mejora de
soluciones a través del esfuerzo colaborativo de equipos multifuncionales y autoorganizados con su(s) cliente(s)/usuario(s)
final(es), planificación adaptativa, desarrollo evolutivo, desarrollo temprano entrega, mejora continua y respuestas flexibles a los
cambios en los requisitos, la capacidad y la comprensión de los problemas a resolver.
Proceso de análisis APA es una tecnología que permite a cualquier persona en una entidad compartir datos fácilmente, automatizar procesos tediosos y complejos y convertir
automatización (APA) datos en resultados.
Solicitud API es una conexión entre computadoras o entre programas de computadora. Es un tipo de interfaz de software que ofrece un
programación servicio a otras piezas de software.
interfaz (API)
Sistema autónomo Un AS en redes es una colección de uno o más prefijos de Protocolo de Internet (IP) asociados con una política de enrutamiento
(COMO) claramente definida que rige cómo el AS intercambia información de enrutamiento con otros sistemas autónomos.
COBIT Un marco creado por ISACA para la gestión y el gobierno de TI. <https://www.isaca.org/resources/cobit>.
Control interno COSO Ayuda a las entidades a diseñar e implementar el control interno considerando los muchos cambios en los entornos
– marco integrado comerciales y operativos. <https://www.coso.org/Pages/default.aspx>.
Automatización inteligente IA, o alternativamente, automatización de procesos inteligente (IPA), es un término de software que se refiere a una combinación de IA y
(I A) automatización de procesos robóticos (RPA - qv).
Control interno Un proceso para asegurar los objetivos de una entidad en cuanto a eficacia y eficiencia operativa, información financiera fiable y
cumplimiento de las leyes, reglamentos y políticas. Un concepto amplio, el control interno involucra todo lo que controla el riesgo
de una entidad.
Control interno La actitud general, el conocimiento y las acciones de los directores y la gerencia (es decir, 'los encargados del gobierno corporativo')
ambiente hacia el sistema de control interno y su importancia para la entidad. Se expresa en el estilo de gestión, la cultura corporativa, los
valores, la filosofía y el estilo operativo, la estructura de la entidad y las políticas y procedimientos de recursos humanos.
Control interno Una guía estructurada que organiza y clasifica sistemáticamente los controles esperados o temas de control.
estructura
Controles generales de TI Los ITGC son controles que se aplican a todos los sistemas, componentes, procesos y datos de una determinada entidad o entorno
(ITGC) de tecnología de la información (TI). Los objetivos de los ITGC son garantizar el correcto desarrollo e implementación de las
aplicaciones, así como la integridad de los programas, archivos de datos y operaciones informáticas.
Código bajo / Sin código Las plataformas de desarrollo de código bajo/sin código son tipos de entornos de desarrollo de software visual que permiten a los
desarrolladores empresariales y ciudadanos arrastrar y soltar componentes de aplicaciones, conectarlos entre sí y crear
aplicaciones móviles o web.
Modelado de procesos El modelado de procesos es la representación gráfica de procesos de negocio o flujos de trabajo. Como en un diagrama de flujo, se
dibujan los pasos individuales del proceso para que haya una visión general de las tareas del proceso dentro del contexto del
entorno empresarial.
Microservicios Una pieza autónoma de funcionalidad comercial con interfaces claras que puede, a través de sus propios componentes internos,
implementar una arquitectura en capas. Los microservicios se pueden implementar para abordar una necesidad comercial a corto
plazo, lo que a menudo implica desarrollos rápidos que utilizan aplicaciones de componentes.
Frecuencia de radio RFID utiliza campos electromagnéticos para identificar y rastrear automáticamente las etiquetas adheridas a los objetos.
identificación (RFID)
Proceso robótico RPA es una forma de automatización de procesos comerciales que permite que cualquier persona defina un conjunto de instrucciones para que las realice un robot o 'bot'.
automatización (RPA) Los bots RPA son capaces de imitar la mayoría de las interacciones entre humanos y computadoras para llevar a cabo rápidamente tareas de gran volumen sin errores.
SOC 2® – SOC para Estos informes están destinados a satisfacer las necesidades de una amplia gama de usuarios que necesitan información detallada y garantías
Organizaciones de Servicios: sobre los controles en un proveedor de servicios, relevante para la seguridad, disponibilidad e integridad del procesamiento de los sistemas que
Criterios de servicios de confianza el proveedor de servicios utiliza para procesar los datos de los usuarios y la confidencialidad y privacidad de la información procesada por estos
sistemas. <https://us.aicpa.org/interestareas/frc/assuranceadvisoryservices/aicpasoc2report>.
El modelo de las tres líneas Ayuda a las entidades a identificar estructuras y procesos que ayuden de manera más efectiva al logro de los
objetivos y faciliten un gobierno y una gestión de riesgos sólidos. <https://www.theiia.org/globalassets/site/about-us/
advocacy/three-lines-model-updated.pdf>.
modelo de cascada El modelo en cascada es un desglose de las actividades del proyecto en fases secuenciales lineales, donde cada fase
depende de los entregables de la anterior y corresponde a una especialización de tareas. El ciclo de vida de desarrollo de
sistemas es un ejemplo de esto.
44
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|APÉNDICE: ENCUESTA DEMOGRÁFICA
Apéndice–
Datos demográficos de la encuesta
La encuesta que formó parte de las actividades de investigación para este informe recibió 1.956 respuestas de miembros de ACCA,
IMA e IIA en todo el mundo. Un análisis de estas respuestas se da en los siguientes gráficos.
Supuestos generales
norte Con fines de coherencia, la mayor parte del análisis utilizó datos globales agregados, que incluían información de toda la
población encuestada.
norte La encuesta se realizó en línea en marzo de 2022.
Análisis de respuestas
Figura A1: Respuestas por región (n = 1956) Figura A4: Respuestas por encuestado (n = 1956)
norteEuropa Oriental,24% nortePrincipalmente en los negocios (como

norteÁfrica,21% trabajar en un equipo de finanzas,
contabilidad o auditoría interna o
norteAsia-Pacífico,19%
proporcionar servicios financieros en
norteAmérica del norte,12% toda la organización),80%
norteAsia del Sur,10% norte
nortePrincipalmente en público u otros
Oriente Medio,6% norte práctica (como una firma de
Caribe,4% contabilidad y realización de auditorías,
certificaciones, asesorías y/o
norteEuropa Central y del Este,3%
impuestos),20%
norteAmérica Central y del Sur,1%
Figura A2: Respuestas por sector (n = 1.816) Figura A5: Respuestas por rol (n = 1,854)
norteSector corporativo - norteAuditor interno /

tamaño pequeño/mediano,20% cumplimiento financiero,13%
norteSector empresarial: grande,20% norteContador financiero,11% norteGerente

norteSector público,13% de Finanzas / Operaciones,8% norteDirector
norteServicios financieros - Financiero (CFO),7% norteGerente de
tamaño pequeño/mediano,9%
Auditoría,7%
norteServicios financieros: grandes,8%
norteControlador financiero /
nortesin fines de lucro,7%
Jefe de Cumplimiento,6%
nortePequeño o mediano
norteJefe de Finanzas / Director,6%
práctica (SMP),7%
norteGerente Senior de Auditoría,4%
norteOtro,6%
nortefirma de contabilidad Big Four,4% norteConsultor,4%
norteActualmente no trabaja/interrupción de carrera/ norteAdministrador de cuentas,4%

jubilado,3% norteAuditor externo,3% norteOtro,
norteFirma contable de nivel medio,2% 27%
norteOtra firma contable internacional,1%
Figura A3: Respuestas por tamaño de entidad (n = 1850)
norte0 – 9 empleados,8% norte

10 - 49 empleados,14% norte50
– 249 empleados,21% norte250 –
999 empleados,20% norte1,000
+,37%
45
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|AGRADECIMIENTOS
Agradecimientos
Se agradecen las contribuciones de las siguientes personas en el desarrollo de esta investigación.
Khyam Abdulah,Pan-American Life Assurance Group, David Minas,Alquiler de coches y camiones con descuento. Canadá Thapelo
Trinidad y Tobago Modisagae,Segmento de habilitación de FNB, Sudáfrica
hashim ahmed,Jaguar Mining Inc, Canadá Alper Julio Mojapelo,Instituto de Auditores Internos de
Alptekin,SOCAR Turquía, Turquía Sandy Ardern,TD Sudáfrica, Sudáfrica
Asset Management, Canadá Victoria Armitage,GT, brad montierio,El Instituto de Auditores Internos, EE. UU.
República de Irlanda eban bari,Metales preciosos de Kelvin Musana,Standard Chartered, Uganda AV. murales,
triple bandera, Canadá valle baynes,Banco de la Banco Standard Chartered, India ian ng,AMMEGA, China
Commonwealth, Australia Roberto Bella,Smip continental
Consultancy, Kenia Michael Bencsik,Cacel Pty Ebuka (Rafael) Nkemdilim,Universidad Wilfrid Laurier, Canadá
Limited, Nueva Zelanda Stan Bigford,Trenton Cold Joyce Nkini-Iwisi,Riesgos de control, Nigeria rolanke oladapo,
Storage Inc, Canadá Riesgos de control, Sudáfrica José Owolabi,Rubicola, Australia
Ruxandra Bilio,Baker Tilly Klitou & Partners SRL e IIA Shreyash Pai,Espacio de vida, India Siobhan Pandya,Mary Kay Inc,
Rumania, Rumania EE. UU.
harry briggs,KPMG LLC, Reino Unido
Dermot Byrne,An Roinn Caiteachais Phoiblí agus miguel parkinson,Consultoría de Michael Parkinson, Australia
Athchóirithe, República de Irlanda
Ana Patterson,Centro St. Felix, Canadá Atif Pérez,Universidad de
Ömer Çetin,KPMG, Turquía Athabasca, Canadá
Lisa Coulman,Corporación Nobul, Canadá Niko
Juzar Pirbhai,Junta Canadiense de Responsabilidad Pública,
Džepina,Asseco Europa Central, Eslovaquia Carly
Canadá mihaela pop,WPP, Australia Melanie Proffit,Finca
Eaton,Grupo Financiero Provident, Reino Unido
Farncombe, Reino Unido Jürgen Puhler,BASF SE, Alemania
Andrew Elsby Smith,Amtico, Reino Unido Alex Falcón
Parthasarathy Ramaswamy,Precio RGN & Co, India Beate
Heurta,Halcón volador, Reino Unido Rashika
Randulf,Banco Nacional de Grecia, Grecia Rahul Ranjan,India
Fernando,Computadoras MDC, Canadá krystal
george,TTPOST, Trinidad y Tobago Anirban Ghosh,
Wipro Ltd, India
simón rosa,Crest Nicholson, Reino Unido Brendan
Lee Glover,Haines Watson Controls & Assurance, Reino Unido
Sheehan,Escuderos blancos, Australia brezo
jaime brezo,Black Rock, Reino Unido hussein hussein,
smith,Consultoría ANISE, Australia Mustafa
Deloitte, Australia
Sonmez,ÜNLÜ & Co, Turquía Neville de Spretter,
Paul D Hyman,Terminal de puerto libre de Kingston, Jamacia
AdLibero2 Ltd, Reino Unido
Mir Fahad Iqbal,Northern Trust Corporation, EE. UU. Ashish
sarvanan srinivasan,Súper Stahl Private Limited, India
Javer,Barclays, India Jodi José,Adapt IT, Sudáfrica Javier
Dirk Strydom,Instituto de Auditores Internos de Sudáfrica,
Jurado,Banco de EE. UU., EE. UU. Pablo Kaczmar,Página de Sudáfrica
Michael, Reino Unido sachin tayal,Protiviti, India leslie thompson,TRG,
EE. UU. Senol Toygar,TEB, Turquía Brian

Esteban Kenny,Banco de Irlanda, República de Irlanda Tremblay,Onapsis Inc, EE. UU. Engin Turan,
paula kensington,Asesoramiento PK, Australia Raúl Kumar, Banco Alternafi, Turquía Roberto van der Klauw,
EY, India Munich Re, Emiratos Árabes Unidos
Jaishree Lam,Energía y Luz de Guayana, Guayana
Leong,Singapur
ACCA, IMA y la IAF también quisieran agradecer a todos aquellos que
thea j lowe,Servicios de consultoría TJL, Barbados
amablemente completaron la encuesta.
Olga Lukashenko,Reanda Países Bajos, Países Bajos
reshma mahase,Davidson & Co LLP, Canadá Natalia Autores
Makoni,Servist, Sudáfrica Luka Matkovic,Chequia clive webb,Responsable de Gestión Comercial, ACCA
Laura LeBlanc,Director – Investigación y Perspectivas, Instituto de
Auditores Internos
Nauman Mian,bayt.net, Emiratos Árabes
Loreal Jiles,Vicepresidente, Investigación y Liderazgo de
Unidos Maja Milosavljevic,OMV, Austria
Pensamiento, Instituto de Contadores Gerenciales
46
EL CONTROL INTERNO Y LA TRANSFORMACIÓN DE LAS ENTIDADES|REFERENCIAS
Referencias
ACA (2020),El contador digital: habilidades digitales en un mundo EFRAG (2022),[Borrador] Norma Europea de Informes de
transformado, <https://www.accaglobal.com/gb/en/professional-insights/ Sostenibilidad G1: Gobernanza, gestión de riesgos y control
technology/The_Digital_Accountant.html>, consultado el 1 de abril de 2022. interno, <https://www.efrag.org/Assets/Download?
assetUrl=%2Fsites%2FwebPublishing%2FSiteAssets%2FFinal%2520Draft%2520ESRS%252
>, consultado el 3 de mayo de 2022.
ACA (2021),Contadores profesionales en el corazón de las organizaciones
sostenibles, <https://www.accaglobal.com/ gb/en/professional-insights/pro-
accountants-the-future/proaccountants-heart-sustainable-orgs.html>, FRC (Consejo de Información Financiera) (2005),Control interno: Guía
consultado el 3 de abril de 2022. revisada para directores sobre el Código Combinado. Descargable desde
<https://www.icaew.com/technical/corporate-governance/codes-and-
ACCA / CA ANZ (Contadores Públicos de Australia y Nueva Zelanda) /
reports/turnbull-report>, consultado el 20 de abril de 2022.
Generation CFO (2021),Viajes de transformación: finanzas y la
organización ágil, <https://www.accaglobal. com/gb/en/ Grob, M. y Cheng, V. (2021),Gestión de riesgos empresariales para la
professional-insights/technology/transformationaljourneys.html>, informática en la nube, <https://www.coso.org/Documents/COSO-ERM-
consultado el 1 de abril de 2022. for-Cloud-Computing.pdf>, consultado el 19 de abril de 2022.
ACCA/CA ANZ/KPMG (2018),Adoptar la automatización robótica Heier, JR Dugan, MT y Sayers, D. (2005), 'Un siglo de debate sobre
durante la evolución de las finanzas, <https://www.accaglobal.com/ gb/ controles internos y su evaluación: un estudio de evolución reactiva',
en/professional-insights/technology/embracing-roboticautomation- Historia Contable, 10 (3) <https://citeseerx. ist.psu.edu/viewdoc/
durante-la-evolución-de-las-finanzas.html>, consultado el 3 de abril de download?doi=10.1.1.1023.3544&rep= rep1&type=pdf>, consultado el
2022. 1 de abril de 2022.
ACCA / CA ANZ / Universidad Macquarie (2019),Cyber y el CFO, < ICAEW (Instituto de Contadores Públicos de Inglaterra y Gales) (1999),
https://www.accaglobal.com/gb/en/professional-insights/technology/ Control Interno: Orientación para Directores sobre el Código Combinado
cyber-and-the-cfo.html>, consultado el 3 de mayo de 2022. , <https://ecgi.global/download/file/fid/9442>, consultado el 1 de abril de
2022.
ACCA / IMA / CIPS (Instituto Colegiado de Adquisiciones y Suministros)
(2022),Cadenas de suministro: la perspectiva de un profesional de las AII (2020),El modelo de las tres líneas del IIA: una actualización de las
finanzas, <https://www.accaglobal.com/gb/en/professionalinsights/global- tres líneas de defensa, <https://www.theiia.org/globalassets/site/about-us/
profession/supply-chains-post-pandemic-world. html>, consultado el 3 de advocacy/three-lines-model-updated.pdf>, consultado el 1 de abril de 2020.
abril de 2022.
ACCA/PwC (2021),Funciones financieras: aprovechar la oportunidad, < IIA / Consejo de auditoría (2020),Imperativo de transformación digital de
https://www.accaglobal.com/gb/en/professional-insights/ pro-accountants- auditoría interna: avances en medio de la crisis, analizando el impacto de
the-future/finance-functions-seize-opportunity. html>, consultado el 1 de 2020 en la implementación de tecnología de las funciones de auditoría
abril de 2022. interna, <https://web.theiia.org/cn/atxbg/Dig_Transform_Imperative>,
consultado el 8 de abril de 2022.
Alspach, K, (2022),Los ataques de ransomware se duplicaron en
2021, informa SonicWall, <https://venturebeat.com/2022/02/17/ ISSB (2022a),[Borrador] NIIF S1 Requisitos generales para la divulgación
ransomware-atacks-surged-2x-in-2021-sonicwall-reports/>, consultado de información financiera relacionada con la sustentabilidad, <https://
el 3 de mayo de 2022. www. ifrs.org/content/dam/ifrs/project/general-sustainability-
relateddisclosures/exposure-draft-ifrs-s1-general-requirements-
Ashby, S., Bryce. C. y Anillo, P. (2019),Riesgo y rendimiento:
fordisclosure-of-sustainability-related-financial-information.pdf>,
integración de la gestión de riesgos, <https://www.accaglobal.com/ consultado el 3 de abril de 2022.
content/dam/ACCA_Global/professional-insights/embeddingrisk/pi-
embedding-risk-management.pdf>, consultado el 3 de mayo de 2022. ISSB (2022b),[Borrador] NIIF S2 Información a revelar relacionada con el
clima, <https://www.ifrs.org/content/dam/ifrs/project/climaterelated-
Burns, J., Steele, A., Cohen, EE y Ramamoorti, S. (2021), Blockchain
disclosures/issb-exposure-draft-2022-2-climate-relateddisclosures.pdf>,
y control interno: la perspectiva COSO, <https://www.coso.org/ consultado el 3 de abril de 2022.
Documents/Blockchain-and-Internal-Control-The-COSO-
Perspective-Guidance.pdf>, consultado el 19 de abril de 2022. Jiles, L. (2020),Transformando la función financiera con RPA, <https://
www.imanet.org/-/media/8530486050e34be392772 caa088f1162.ashx?
la=en>, consultado el 3 de abril de 2022.
Calagna, K., Cassidy, B. y Park, A. (2021),Aprovechar todo el potencial de la
inteligencia artificial: aplicar el marco y los principios de COSO para Jiles, L. (2021),Un enfoque ágil para la transformación financiera, <
ayudar a implementar y escalar la inteligencia artificial, <https:// https://www.imanet.org/-/media/imanet-org/files/insightsand-trends/
www.coso.org/Documents/Realize-the-Full-Potential-of-Artificial- thought-leadership/the-future-role-of-managementaccounting/
Intelligence.pdf>, consultado el 19 de abril de 2022. agileandscrum_sma_report_final.ashx>, consultado el 1 de abril de
2022.
COSO (2013),Control Interno – Marco Integrado: Resumen
Ejecutivo, <https://www.coso.org/Documents/990025P-Executive- Kelly, M. (2022), 'Por qué los controles generales de TI son importantes
Summary-final-may20.pdf>, consultado el 1 de abril de 2022. para el cumplimiento y la ciberseguridad' [artículo del sitio web], <https://
hyperproof.io/resource/it-general-controls-compliance/>, consultado el 19
COSO (2017),Gestión de riesgos empresariales: integración con la
de abril de 2022.
estrategia y el rendimiento, <https://www.coso.org/Pages/ERM-
Framework-Purchase.aspx>, consultado el 19 de abril de 2022. Krumwiede, K. (2016),Automatización de Procesos en Contabilidad y
Finanzas, <https://www.imanet.org/-/media/
COSO (2022),COSO-Board-Aprues-Study-on-Sustainability-ESG, <
58e1aff5f8d74e4c92ac8f097db88321.ashx>, consultado el 1 de abril de
https://www.coso.org/news/Pages/COSO-Board-Approves-Study-on-
2022.
Sustainability-ESG.aspx>, consultado el 19 de abril de 2022.
47
Krumwiede, K. (2017),Cómo conservar tu trabajo, <https://www.imanet. SEC (Comisión de Bolsa y Valores) (2022),La mejora y
org/insights-and-trends/the-future-of-management-accounting/ how-to- estandarización de las divulgaciones relacionadas con el
keep-your-job?ssopc=1>, consultado el 3 de abril de 2022. clima para inversores, <https://www.sec.gov/rules/proposed/
2022/33-11042.pdf>, consultado el 3 de abril de 2022.
Lauren, D. (2017),La historia de los sistemas de control interno, <
https://bizfluent.com/facts-7203983-history-internal-controlsystems.html Brillo, A., (2020),La Evolución de las Tres Líneas de Defensa, <
>, consultado el 1 de abril de 2022. https://www.acin.com/la-evolución-de-las-tres-lineas-de-defensa/>,
consultado el 3 de mayo de 2022.
Maister, DH, Galford, R. y Green, C. (2021),The Trusted
Advisor – Edición 20 Aniversario, Prensa Libre. Estadística (2021),Volumen de datos/información creados, capturados, copiados
y consumidos en todo el mundo desde 2010 hasta 2025, Descargable desde <
McPherson, A., y Sydney, C.,Datos completos de riesgo: El nuevo
https://es.statista.com/estadisticas/871513/ datos-mundiales-creados/>,
oro, <https://www.pwc.com/gx/en/issues/risk-regulation/
comprehensive-risk-data-the-new-gold. html?
utm_campaign=5a1d7a5d94a3261aa2024207&utm_ Walker, PL (2022),Habilitación de la agilidad organizacional en una
content=6262f8a941a0aa0001902d8e&utm_medium=smarp era de velocidad y disrupción, <https://www.coso.org/Documents/
share&utm_source=linkedin>, consultado el 3 de mayo de 2022. Enabling-Organizational-Agility-in-an-Age-of-Speed-and-Disruption.pdf>,
Schwab, K. (2015),La Cuarta Revolución Industrial: Qué significa y
cómo responder, Relaciones Exteriores, <https://www. Wright, C. (2021),Preparados para el futuro: mejorar hoy para la
Foreignaffairs.com/articles/2015-12-12/fourth-industrialrevolution>, profesión del mañana, <https://www.theiia.org/en/content/ research/
consultado el 3 de abril de 2022. foundation/2021/future-ready-upskilling-today-for-the-profession-of-
tomorrow/>, consultado el 3 de abril de 2022 (disponible solo para
miembros del IIA).
48
49
PI-TRANSFORM-INTERNAL-CONTROL
ACAThe Adelphi 1/11 John Adam Street Londres WC2N 6AU Reino Unido / +44 (0)20 7059 5000 /www.accaglobal.com

Iai Control Interno

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Iai Control Interno

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

CONTROL INTERNOY LA TRANSFORMACIÓN DE ENTIDADES

Descubre más sobre nosotros enwww.accaglobal.com

Acerca de la Fundación de Auditoría Interna

Para más información visitewww.theiia.org/Fundación

Para más información visitewww.theiia.org

Acerca del Instituto IMA® de Contadores

Para obtener más información acerca de IMA, visitewww.imanet.org

La investigación se basa en una serie de mesas redondas y entrevistas con más de 80

Helen marca OBE Anthony J. Pugliese, jeffrey thomson,

Resumen de acciones clave 9

1. Finalidad del control interno 13

2. Desafíos y oportunidades actuales 19

3. Evolucionar nuestro pensamiento 29

Apéndice–Datos demográficos de la encuesta 45

La combinación de habilidades requerida para abordar el control

(ESG) y otras agendas, también aumenta el nivel de seguridad comprender que:

educación continua por parte de entidades e individuos.

Finalidad del control interno

Falta de personal debidamente capacitado,50% Se requiere un esfuerzo significativo

¿Qué vemos como el impacto de la transformación en la

efectividad del control interno?

Pre-transformación Altamente ineficaz,6%2%2%

40% 49% 47%

Impacto de la transformación en el riesgo

¿Qué vemos como el impacto de la transformación en los riesgos del

Se quedó igual 32%

Control interno y ASG

informes no financieros y ESG: 0% 10% 20% 30% 40% 50%

FIGURA ES1:Impulsores de cambio para el control interno

Gente Proceso Tecnología Datos

Las acciones clave son las siguientes.

ACCIÓN CLAVE CONDUCTOR(ES) SECCIÓN

Asegúrese de comprender la tecnología y los controladores de datos en el modelo operativo de la

Integre controles internos automatizados y basados en parámetros en aplicaciones basadas en la nube,

Reevaluar el enfoque de los controles automatizados dentro de la entidad. 3.5

ACCIÓN CLAVE CONDUCTOR(ES) SECCIÓN

Evaluar el entorno de control general de TI en el contexto del modelo operativo actual,

Reforzar la importancia de la gestión de riesgos y el control interno de forma continua en toda la

Reforzar la necesidad de ser óptimo en el desarrollo e implementación de un marco de control interno,

LA TRANSFORMACIÓN TIENE CUATRO ASPECTOS:

“El control interno comprende el plan de organización y todos los

Una serie de desafíos corporativos en la década de 1970 llevó a la

Esta definición refleja ciertos conceptos fundamentales. El control interno es:

FIGURA 1.2:El Control Interno COSO – Principios del Marco Integrado

1. Demuestra compromiso con la integridad y los valores éticos

6. Especifica objetivos adecuados

9. Identifica y analiza cambios significativos

10. Selecciona y desarrolla actividades de control

13. Utiliza información relevante

16. Realiza evaluaciones continuas y/o separadas

Fuente: COSO (2013)

1.2 Percepciones de su propósito la información es confiable y precisa. Necesitamos asegurarnos de que

Mejorar la calidad de los datos,54% 80 Prevención del fraude,84%

Protección de la información,sesenta y cinco%

Cumplimiento de los requisitos legales,69% Protección de activos,77%

Cumplimiento de las normas,74% Promoción de la eficiencia,55%

Ninguna de las anteriores,12% 40 No tener los datos correctos,20%

Otro,4% 10 No tener acceso a los datos correctos,22%

Los avances tecnológicos comprometen

Falta de rentabilidad del cumplimiento,31% Falta de énfasis ejecutivo,32%

hecho. No estamos siguiendo el ritmo [con] el cambio'. Una debilidad interesadas.

potencial con las transformaciones es simplemente automatizar un Fuente: IIA (2020)

FIGURA 1.5:El modelo de tres líneas del IIA