Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Mayo 2013
1
ISBN 978-1-93735-238-7
©2013 Todos los derechos reservados. Ninguna parte de esta publicación puede ser reproducida,
redistribuida, transmitida o exhibida de cualquier forma ni por cualquier medio, sin permiso por escrito. Para
información sobre licencias y permisos para impresión, por favor contacte al Instituto Americano de Contadores
Públicos Colegiados,el agente de COSO para las licencias y permisos de materiales con derechos reservados.
Dirija todas las consultas a copyright@aicpa.org, o AICPA, Attn: Gerente, Derechos y Permisos, 220 Leigh Farm
Rd., Durham, NC 27707. Las consultas telefónicas se pueden hacer al 888-777-7707 .
Mayo 2013
PwC—Autor
Contribuyentes Principales
Prólogo.....................................................................................i
Marco
1. Definición de Control Interno................................................1
2. Objetivos, Componentes y Principios..................................7
3. Control Interno Eficaz.........................................................21
4. Consideraciones Adicionales.............................................27
5. Ambiente de Control..........................................................37
6. Evaluación del Riesgo........................................................71
7. Actividades de Control.....................................................107
8. Información y Comunicación............................................129
9. Actividades de Supervisión..............................................149
10. Limitaciones del Control Interno.....................................165
Apéndices
A. Glosario...........................................................................169
B. Roles y Responsabilidades.............................................173
C. Consideraciones para Entidades Más Pequeñas............187
D. Metodología para la Modificación del Marco...................193
E. Cartas de Comentarios Públicos.....................................195
F. Resumen de Cambios al Marco Integrado de Control
Interno de COSO (1992)......................................................203
G. Comparación con el Marco Integrado de Gestión del
Riesgo Empresarial de COSO.............................................213
En los veinte años transcurridos desde la creación de Marco original, los entornos de
negocios y de operaciones han cambiado dramáticamente, convirtiéndose cada vez más
complejos, impulsados por la tecnología y globales. Al mismo tiempo, las partes interesadas
están más comprometidas, buscando mayor transparencia y responsabilidad para la integridad
de los sistemas de control interno que soportan las decisiones empresariales y de gobernabilidad
de la organización.
Además del Marco, el Control Interno sobre Información Financiera Externa: Compendio de
Enfoques y Ejemplos ha sido publicado en paralelo para proporcionar enfoques prácticos y
ejemplos que ilustran cómo los componentes y los principios establecidos en el Marco se
puede aplicar en la preparación de los estados financieros externos.
Entre otras publicaciones de COSO está el Marco Integrado de gerencia de Riesgo Empresarial
(Marco GRE). El Marco GRE y el Marco están diseñados para ser complementarios, y uno no
reemplaza al otro. Sin embargo, mientras que estos marcos son diferentes y proporcionan un
enfoque diferente, se superponen. El Marco GRE abarca el control interno con varias partes
reproducidas del texto original del Marco Integrado de Control Interno. En consecuencia, el
Marco GRE sigue siendo viable y adecuado para el diseño, la implementación, la conducción
y la evaluación de la gerencia de riesgos empresariales.
Por último, la Consejo de COSO quiere agradecer a PwC y al Consejo Asesor por su
contribución en el desarrollo de los documentos del Marco y demás relacionados. Su plena
consideración de los aportes de muchas partes interesadas y su atención al detalle fue
fundamental para garantizar que las fortalezas esenciales de la estructura original hayan sido
conservadas, aclaradas y fortalecidas.
David L. Landsittel
Presidente de COSO
ii
1 El Marco utiliza el término "Consejo", que abarca el órgano de gobernabilidad, incluyendo el Consejo, Consejo de
fiduciarios, socios generales, propietario o Consejo de vigilancia.
Estas categorías distintas pero solapadas (un objetivo particular puede incluirse en más de
una categoría) abordan necesidades diferentes y pueden ser responsabilidad directa de
diferentes individuos. Las tres categorías también indican lo que se puede esperar de control
interno.
Un Proceso
El control interno es efectuado por el Consejo, la gerencia y otro personal. Esto se logra por
la gente de una organización, por lo que hacen y dicen. Las personas establecen objetivos
de la entidad y ponen en marcha acciones para lograr los objetivos especificados.
Las responsabilidades de supervisión del Consejo incluyen proporcionar asesoramiento y
orientación a la gerencia, desafiar a la gerencia de forma constructiva, aprobar las políticas y
transacciones, y supervisar las actividades de la gerencia. En consecuencia, el Consejo es
un elemento importante de control interno. El Consejo y la alta gerencia establecen las
pautas de la organización sobre la importancia del control interno y las normas de conducta
esperadas en toda la entidad.
Los problemas surgen cada día en la gerencia de una entidad. La gente puede no entender
completamente la naturaleza de estas cuestiones o las alternativas disponibles para ellos,
para comunicarse efectivamente, o para desempeñarse de forma coherente. Cada individuo
trae al lugar de trabajo una experiencia y capacidad únicas, y cada uno tiene diferentes
necesidades y prioridades. Estas diferencias individuales pueden ser intrínsecamente
valiosas y beneficiosas para la innovación y la productividad, pero si no son correctamente
alineadas con los objetivos de la entidad, pueden ser contraproducentes. Sin embargo, las
personas deben conocer sus responsabilidades y límites de autoridad. Por consiguiente,
debe existir un vínculo claro y cercano entre las funciones y responsabilidades de las
personas y la manera en que se comunican estas funciones, se ejecutan, y se alinean con
los objetivos de la entidad.
Introducción
Una organización adopta una misión y visión, establece estrategias, establece los objetivos
que quiere lograr, y formula planes para alcanzarlos. Los objetivos pueden ser establecidos
para una entidad en su conjunto o ser dirigidos a actividades específicas dentro de la
entidad. Aunque muchos objetivos son específicos para una entidad en particular, algunos
son ampliamente compartidos. Por ejemplo, algunos objetivos comunes a la mayoría de las
entidades son: sostener el éxito de la organización, informar a las partes interesadas,
contratar y retener empleados motivados y competentes, lograr y mantener una reputación
positiva, y cumplir con las leyes y reglamentos.
Apoyando a la organización en sus esfuerzos para lograr los objetivos están los cinco
componentes del control interno:
• Ambiente de Control
• Evaluación del Riesgo
• Actividades de Control
• Información y Comunicación
• Actividades de Supervisión
Estos componentes son relevantes para una entidad entera y a nivel de la entidad, sus
subsidiarias, divisiones, o cualquiera de sus distintas unidades operativas, funciones u otros
subconjuntos de la entidad.
Cada componente atraviesa y se aplica a las tres categorías de objetivos. Por ejemplo, atraer,
desarrollar y retener a las personas competentes que sean capaces de llevar a cabo el
control interno (parte del componente de ambiente de control) es relevante para las tres
categorías de objetivos.
Las tres categorías de objetivos no son partes ni unidades de la entidad. Por ejemplo, los
objetivos de operaciones se refieren a la eficacia de las operaciones, no a unidades
operativas o funciones específicas tales como ventas, mercadeo, compras o recursos
humanos.
En consecuencia, cuando se considera la categoría de objetivos relacionados con la
información, por ejemplo, se necesita el conocimiento de una amplia gama de información
acerca de las operaciones de la entidad. En ese caso, el foco está en la columna media del
modelo, los objetivos de informes, en lugar de la categoría de objetivos de operaciones.
El control interno es un proceso dinámico e iterativo e integrado. Por ejemplo, la evaluación
del riesgo no sólo influye en el ambiente de control y las actividades de control, sino que
también puede destacar la necesidad de reconsiderar las necesidades de información y
comunicación de la entidad, o sus actividades de supervisión. Por lo tanto, el control interno
no es un proceso lineal en el que uno de los componentes afecta sólo al siguiente. Es un
proceso integrado en el que los componentes pueden y tendrán un impacto en otro
componente.
No habrán, o no deberían haber, dos entidades con el mismo sistema de control interno. Las
entidades, objetivos y sistemas de control interno se diferencian por la industria y entorno
regulatorio, así como por consideraciones internas, tales como el tamaño, la naturaleza del
modelo operativo de gerencia, la tolerancia al riesgo, la dependencia en tecnología y la
competencia y el número de personal. Así, mientras que todas las entidades requieren cada
uno de los componentes para mantener un control interno eficaz sobre sus actividades, el
sistema de control interno propio de una entidad será diferente del sistema de control interno
de otras entidades.
Objetivos
La gerencia, con vigilancia del Consejo, establece objetivos a nivel de entidad que se alinean
con la misión, la visión y las estrategias de la entidad. Estos objetivos de alto nivel reflejan
3 A través del Marco, el término "la entidad y sus sub-unidades" se refiere colectivamente a la entidad en general, sus
divisiones, filiales, unidades operativas y funciones.
Categorías de Objetivos
Los Marco agrupa los objetivos de la entidad en tres categorías de operaciones, informes y
cumplimiento.
Objetivos de Operaciones
Los objetivos de operaciones se relacionan con el logro de la misión y la visión básica de la
entidad, la razón fundamental de su existencia. Estos objetivos varían en función de las
opciones de la gerencia relacionadas con el modelo operativo de gerencia, consideraciones
de la industria y el desempeño. Los objetivos a nivel de entidad caen en cascada hacia sub-
objetivos relacionados con las operaciones dentro de las divisiones, filiales, unidades
operativas y funciones, dirigidas a mejorar la eficacia en mover a la entidad hacia su objetivo
final.
Por lo tanto, los objetivos de operaciones pueden estar relacionados con la mejora de los
resultados financieros, la productividad (por ejemplo, evitando desperdicios y re-procesos), la
calidad, las prácticas ambientales, la innovación y la satisfacción de clientes y
empleados. Estos objetivos se refieren a todos los tipos de entidades. Por ejemplo, una
entidad con fines de lucro puede centrarse en los ingresos, la rentabilidad, el rendimiento de
los activos y la liquidez. Por el contrario, una entidad sin fines de lucro, aunque sin duda
considerará los ingresos o niveles de gasto, puede centrarse más en aumentar la
participación de los donantes. Un organismo gubernamental puede centrarse en el logro de
la misión establecida por el órgano legislativo o de gobierno, mediante la gerencia eficiente
de los programas específicos del gobierno y el gasto de acuerdo con los propósitos
designados de sus apropiadores para garantizar el apoyo de sus objetivos. Si los objetivos
de operaciones de una entidad no están bien concebidos o claramente especificados, sus
Objetivos de Informes
Los objetivos de informes se refieren a la preparación de informes para uso de las
organizaciones y partes interesadas. Los objetivos de informes pueden estar relacionados
con la información financiera y no financiera, así como informes internos o externos. Los
objetivos de informes internos son impulsados por las necesidades internas en respuesta a
una variedad de necesidades potenciales, tales como direcciones estratégicas de la entidad,
planes operativos e indicadores de desempeño en los distintos niveles. Los objetivos de
informes externos son impulsados principalmente por los reglamentos y / o normas
establecidas por los reguladores y organismos de normalización.
• Objetivos de Informes Financieros Externos, las entidades necesitan alcanzar los objetivos de
informes financieros externos para cumplir con las obligaciones hacia las partes interesadas y
sus expectativas. Los estados financieros son necesarios para acceder a los mercados de
capital y pueden ser críticos para ser adjudicatarios de un contrato o en el trato con
proveedores. Los inversionistas, analistas y acreedores a menudo confían en los estados
financieros externos de la entidad para evaluar su desempeño contra sus pares e inversiones
alternativas. La gerencia también puede tener la obligación de publicar estados financieros
utilizando los objetivos establecidos por las normas, reglamentos y normas externas.
10
Los objetivos de informes son diferentes del componente de control interno de Información y
Comunicación. La gerencia establece, con la vigilancia del Consejo, los objetivos de informes
cuando la organización necesita un aseguramiento razonable de lograr un objetivo de
informes determinado. En estas situaciones se necesitan todos los cinco componentes del
control interno.
Por ejemplo, en la preparación de informes no financieros internos al Consejo sobre el
estado de los esfuerzos de integración de una fusión, la organización especifica los objetivos
de informes internos (por ejemplo, prepara informes confiables, relevantes y útiles), asigna a
las personas competentes, evalúa los riesgos relacionados con los objetivos especificados,
selecciona y desarrolla controles dentro de los cinco componentes necesarios para mitigar
11
Objetivos de Cumplimiento
Las entidades deben llevar a cabo las actividades, y frecuentemente toman acciones
específicas, de conformidad con las leyes y reglamentos aplicables. Como parte de la
especificación de objetivos de cumplimiento, la organización tiene que entender cuales leyes,
normas y reglamentos se aplican en toda la entidad. Muchas leyes y reglamentos son
generalmente bien conocidas, tales como las relativas a recursos humanos, impuestos y
cumplimiento ambiental, pero otras pueden ser más oscuras, tales como las que se aplican a
una entidad que realiza operaciones en un lejano territorio extranjero.
Las leyes y reglamentos establecen las normas mínimas de conducta que se espera de la
entidad. Se espera que la organización incorpore estas normas a los objetivos fijados por la
entidad. Algunas organizaciones establecen objetivos a un nivel de desempeño más alto que
el establecido por las leyes y reglamentos. Al establecer estos objetivos, la gerencia es capaz
de ejercer su discreción respecto a la actuación de la entidad. Por ejemplo, una ley particular
puede limitar a dieciocho horas el tiempo de trabajo en una semana escolar para menores
que trabajan fuera del horario escolar. Sin embargo, una empresa minorista de servicios de
alimentos puede optar por limitar a quince horas por semana el tiempo de trabajo de su
personal menor de edad.
Para efectos del Marco, el cumplimiento de las políticas y procedimientos internos de la
entidad, en lugar de cumplir con las leyes y regulaciones externas como se mencionó
anteriormente, se refiere a objetivos de operaciones.
Un objetivo en una categoría puede solaparse o apoyar un objetivo en otra categoría. Por
ejemplo, "el cierre de período de información financiera dentro de cinco días hábiles" puede
ser un objetivo que principalmente apoya un objetivo de operaciones, para apoyar a la
gerencia en su revisión del desempeño del negocio. Pero también apoya informes y entregas
de documentos oportunas ante los organismos reguladores.
La categoría en la que cae un objetivo puede variar dependiendo de las circunstancias. Por
ejemplo, los controles para evitar el robo de activos, tales como el mantenimiento de una
12
Objetivos y Sub-objetivos
La gerencia enlaza los objetivos especificados a nivel de entidad con sub-objetivos más
específicos que caen en cascada por toda la organización. Los sub-objetivos también se
13
Como otro ejemplo, al especificar los objetivos de informes externos adecuados relativas a la
preparación de estados financieros externos, la gerencia considera las normas de
contabilidad, aseveraciones de los estados financieros y características cualitativas que son
aplicables a la entidad y sus sub-unidades. Por ejemplo, la gerencia puede fijar un objetivo
de informes financieros externos a nivel de entidad de la siguiente manera: "Nuestra
compañía prepara estados financieros confiables que reflejan las transacciones y eventos de
acuerdo con principios de contabilidad generalmente aceptados."
La gerencia también especifica sub-objetivos adecuados para las divisiones, filiales,
unidades operativas y funciones, con claridad suficiente para apoyar los objetivos a nivel de
entidad. Por ejemplo, la gerencia especifica sub-objetivos para transacciones de venta donde
se aplican las normas de contabilidad apropiadas sobre la base de las circunstancias y que
abordan las aseveraciones relevantes de los estados financieros y las características
14
• Las transacciones comerciales se registran por sus valores correctos en las cuentas correctas.
El Marco establece cinco componentes del control interno y diecisiete principios que
representan los conceptos fundamentales relacionados con los componentes. Estos
componentes y los principios de control interno son adecuados para todas las entidades.
Todos los diecisiete principios se aplican a cada categoría de objetivos, así como a los
objetivos y sub-objetivos dentro de una categoría. Por ejemplo, una entidad puede aplicar el
Marco relativo al cumplimiento de una ley específica sobre los acuerdos comerciales con
entidades extranjeras, una sub-categoría de la categoría de objetivos de cumplimiento.
A continuación se muestra un resumen de cada uno de los cinco componentes del control
interno y de los principios relativos a cada componente. Cada uno de los principios se trata
en los respectivos capítulos sobre componentes.4
Ambiente de Control
15
Actividades de Control
Las actividades de control son las medidas establecidas por las políticas y procedimientos
para asegurar que se cumplan las directivas de la gerencia para mitigar los riesgos para el
logro de los objetivos. Las actividades de control se llevan a cabo en todos los niveles de la
entidad y en las distintas etapas en los procesos de negocio, así como sobre el entorno
tecnológico.
Hay tres principios relacionados con actividades de control:
10. La organización selecciona y desarrolla actividades de control que contribuyen a la
mitigación de los riesgos para el logro de objetivos a un nivel aceptable.
11. La organización selecciona y desarrolla actividades de control general sobre la
tecnología para apoyar el logro de los objetivos.
12. La organización implementa las actividades de control a través de políticas que
establecen lo que se espera y los procedimientos que ponen en práctica las políticas.
16
La información es necesaria para la entidad para que se lleven a cabo las responsabilidades
de control interno en apoyo del logro de sus objetivos. La comunicación se produce tanto a
nivel interno como externo y proporciona a la organización la información necesaria para
llevar a cabo los controles día a día. La comunicación permite al personal entender sus
responsabilidades de control interno y su importancia para el logro de los objetivos.
Hay tres principios relativos a la información y comunicación:
13. La organización obtiene o genera, y utiliza, información relevante y de calidad
para apoyar el funcionamiento de los otros componentes del control interno.
14. La organización comunica internamente la información, incluyendo los objetivos y
responsabilidades de control interno, necesarios para apoyar el funcionamiento de los
otros componentes del control interno.
15. La organización se comunica con partes externas sobre asuntos que afectan el
funcionamiento de los otros componentes del control interno.
Actividades de Supervisión
17
Debido a que el control interno es una parte de la responsabilidad general de la gerencia, los
cinco componentes se discuten en el contexto de la gerencia de la entidad. No todas las
decisiones o acciones de la gerencia, sin embargo, son parte del control interno:
• Tener un Consejo que consta de directores con la suficiente independencia de la
gerencia y que lleva a cabo su función de supervisión es parte del control interno. Sin
embargo, muchas de las decisiones adoptadas por el Consejo no son parte del control
interno, por ejemplo, la aprobación de una misión o visión particular. El Consejo
también cumple una variedad de responsabilidades de gobernabilidad, además de sus
responsabilidades de vigilancia del control interno.
• Tomar decisiones estratégicas impactando objetivos de la entidad no es parte del
control interno. Una organización puede aplicar enfoques de gerencia de riesgos
empresariales u otros enfoques para establecer los objetivos.
• Ajustar el nivel general de riesgo aceptable y el apetito de riesgo asociado 5 es parte de
la planificación estratégica y la gerencia del riesgo empresarial, que no forma parte del
control interno. Del mismo modo, el establecimiento de niveles de tolerancia al riesgo
en relación con los objetivos específicos tampoco es parte del control interno.
• La selección y desarrollo de controles diseñados para mitigar los riesgos con base en
el proceso de evaluación del riesgo de la organización es una parte del control interno.
Sin embargo, la elección de cual respuesta al riesgo se prefiere para hacer frente a
riesgos específicos no es parte del control interno.
5 "Apetito de riesgo" se define como la cantidad de riesgo, en un nivel amplio, que la entidad está dispuesta a aceptar en la
búsqueda de su misión / visión.
18
19
El Marco reconoce que, si bien el control interno ofrece aseguramiento razonable del
logro de los objetivos de la entidad, existen limitaciones. Incluso un sistema de control
interno eficaz puede experimentar una falla. Las limitaciones pueden ser el resultado de:
• La adecuación de los objetivos establecidos como condición previa para el control
interno.
• La realidad de que el juicio humano en la toma de decisiones puede ser erróneo y
sujeto a desviaciones.
• Las averías que pueden ocurrir debido a errores humanos, tales como simples
errores.
• La capacidad de la gerencia para anular el control interno.
• La capacidad de la gerencia, otras personas y / o terceros para eludir los
controles a través de la colusión.
• Eventos externos que están más allá del control de la organización.
20
Un sistema eficaz de control interno proporciona un aseguramiento razonable del logro de los
objetivos de la entidad. Dado que el control interno es relevante tanto para la entidad como
para sus sub-unidades, un sistema eficaz de control interno puede estar relacionado con una
parte específica de la estructura organizativa. Un sistema eficaz de control interno reduce a
un nivel aceptable el riesgo de no alcanzar el objetivo relativo a una, dos o las tres
categorías. Este requiere que:
• Cada uno de los cinco componentes del control interno y los principios relevantes
están presentes y en funcionamiento6
• Los cinco componentes actúan juntos de una manera integrada
Para determinar si un sistema de control interno es eficaz, la gerencia ejerce su juicio para
determinar si cada uno de los componentes y principios relevantes están presentes y en
funcionamiento, y que los componentes están operando en conjunto.
Cuando se determina que el control interno es eficaz, la alta gerencia y el Consejo tienen
aseguramiento razonable para las siguientes categorías de objetivos:
• Operaciones, la organización:
• alcanza operaciones eficaces cuando se considera poco probable que los
acontecimientos externos tengan un impacto significativo en el logro de los
objetivos, o cuando la organización puede predecir razonablemente la
naturaleza y el calendario de eventos externos, y mitigar el impacto a un nivel
aceptable
• entiende el grado en que las operaciones se gestionan con eficacia cuando los
acontecimientos externos pueden tener un impacto significativo en el logro de
los objetivos y el impacto no se puede mitigar a un nivel aceptable
• Informes, la organización elabora informes de conformidad con las leyes, reglamentos
y normas aplicables establecidas por los legisladores, reguladores y organismos de
normalización, o con objetivos específicos de la entidad y las políticas relacionadas
• Cumplimiento, la organización cumple con las leyes, normas y regulaciones aplicables
6 El capítulo 4, Consideraciones Adicionales, presenta puntos de enfoque como características importantes de los
principios. El Marco no exige que la gerencia evalúe por separado si los puntos de enfoque están colocados.
21
El Marco considera que todos los componentes de control interno son adecuados y
pertinentes para todas las entidades.
Los principios son conceptos fundamentales asociados con los componentes. Como tal, el
Marco considera que los diecisiete principios son adecuados para todas las entidades. El
Marco supone que los principios son relevantes debido a que tienen una incidencia
significativa en la presencia y funcionamiento de un componente asociado. En consecuencia,
si un principio pertinente no está presente y en funcionamiento, el componente asociado
puede no estar presente y en funcionamiento.
Puede haber una situación poco frecuente donde la gerencia ha determinado que un
principio no es relevante para un componente en una industria, operación o regulación. Las
consideraciones para aplicar tal juicio pueden incluir la estructura de la entidad que reconoce
disposiciones legales, regulatorias, industriales o requisitos contractuales de gobernabilidad
de la entidad, así como el nivel de uso y dependencia en tecnología utilizada por la entidad.
La gerencia debe soportar su determinación de que un principio no es relevante con el
razonamiento de cómo, en ausencia de dicho principio, el componente asociado puede estar
presente y en funcionamiento.
Presente y En Funcionamiento
22
Operando en Conjunto
El Marco requiere que todos los componentes están operando en conjunto de una manera
integrada. "Operando en Conjunto" se refiere a la determinación de que todos los cinco
componentes reducen colectivamente a un nivel aceptable el riesgo de no alcanzar un
objetivo.
Los componentes son interdependientes con una multitud de interrelaciones y vínculos entre
ellos, en particular la manera en que los principios interactúan dentro, y a través, de los
componentes. Los componentes que están presentes y en funcionamiento capturan las
interdependencias inherentes y los vínculos entre ellos. Ejemplos de componentes operando
en conjunto incluyen los siguientes:
• La organización establece las normas de conducta esperadas y establece medidas de
desempeño e incentivos dentro del Ambiente de Control para reducir la posibilidad de
comportamiento fraudulento y puede afectar el nivel evaluado de riesgo de fraude
evaluado dentro de la Evaluación del Riesgo.
• El desarrollo y la implementación de políticas y procedimientos en el marco de las
Actividades de Control contribuyen a la mitigación de los riesgos identificados y
analizados en la Evaluación del Riesgo.
• El procesamiento de la información relevante y de calidad dentro de Información y
Comunicación admite la implementación de procesos de negocio y controles de las
transacciones dentro de las Actividades de Control y la realización de evaluaciones
continuas e independientes de dichos controles dentro de las Actividades de
Supervisión.
• La comunicación de deficiencias de control interno a los responsables de tomar
acciones correctas en el marco de las Actividades de Control requiere una
comprensión completa de las estructuras de la entidad, líneas de informes,
autoridades y responsabilidades, según se establece en el Ambiente de Control, y tal
como se comuniquen dentro de Información y Comunicación.
23
Hay muchas fuentes potenciales para identificar las deficiencias de control interno, incluidas
las actividades de supervisión de la entidad, otros componentes y partes externas que
proporcionan información relativa a la presencia y funcionamiento de los componentes y
principios pertinentes.
7 El papel de los controles y la forma en que ellos efectúan los principios se describen con más detalle en el capítulo 4,
Consideraciones Adicionales
24
Otras Consideraciones
Aunque la organización puede confiar en un proveedor de servicio externo para llevar a cabo
los procesos de negocio, políticas y procedimientos en nombre de la entidad, la gerencia
tiene la responsabilidad final del cumplimiento de los requisitos para un sistema eficaz de
control interno.
La evaluación de la gerencia de la eficacia del control interno se produce dentro del sistema
de control interno de la entidad. Otras partes que interactúan con la entidad, tales como
auditores y reguladores externos, no son parte del sistema de control interno de la entidad, y
por lo tanto no pueden formar parte del proceso gerencial para la evaluación del control
interno eficaz.
25
Juicio
El Marco requiere juicio para el diseño, implementación y conducción del control interno, así
como para evaluar su eficacia. El uso de juicio aumenta la capacidad de la gerencia para
tomar mejores decisiones sobre el control interno, pero no puede garantizar resultados
perfectos.
Dentro de los límites establecidos por las leyes, reglamentos y normas, la gerencia ejercerá
juicio en áreas tan importantes como:
• La aplicación de los componentes de control interno relativa a las categorías de
objetivos
• La aplicación de los componentes de control interno y de los principios dentro de la
estructura de la entidad
• La especificación de objetivos y sub-objetivos adecuados, y la evaluación de los
riesgos para el logro de estos objetivos
• La selección, desarrollo e implementación de los controles necesarios para efectuar
los principios
• Evaluar si los componentes están presentes, en funcionamiento y operando en
conjunto
• Evaluar si los principios son relevantes para la entidad, y están presentes y en
funcionamiento
• Evaluar la severidad de una o más deficiencias de control interno, de conformidad con
las leyes, reglamentos y normas externas, o con el Marco
27
Puntos de Enfoque
El Marco describe los puntos de enfoque que son características importantes de los
principios. La gerencia podrá decidir que algunos de estos puntos de enfoque no son
adecuados o pertinentes, y puede identificar y considerar a los demás sobre la base de las
circunstancias específicas de la entidad. Los puntos de enfoque pueden ayudar a la gerencia
en el diseño, implementación y conducción de controles internos, y para evaluar si los
principios pertinentes están, de hecho, presentes y en funcionamiento. El Marco no requiere
que la gerencia evalúe por separado si los puntos de enfoque están colocados.
Integradas en el proceso de control interno están los controles, que consisten en las políticas
y procedimientos. Las políticas reflejan las declaraciones de la gerencia o el Consejo sobre lo
que debe hacerse para efectuar el control. Los procedimientos son las acciones que
implementan las políticas. Las organizaciones seleccionan y desarrollan controles dentro de
cada componente para efectuar los principios pertinentes. Los controles están relacionados
entre sí y pueden soportar múltiples objetivos y principios.
El Marco no establece los controles específicos que se deben seleccionar, desarrollar, e
implementar para un sistema eficaz de control interno. Esa determinación es una función del
juicio de la gerencia basado en los factores únicos para cada entidad, tales como:
• Leyes, reglamentos y normas aplicables a la entidad
• La naturaleza del negocio de la entidad y de los mercados en los que opera
• Alcance y naturaleza del modelo operativo de gerencia
• Competencia del personal encargado del control interno
• El uso de y la dependencia de la tecnología
28
Límites de la Organización
29
Tecnología
La tecnología puede ser esencial para apoyar a la gerencia en el logro de los objetivos de la
entidad, y para controlar mejor las actividades de la organización. El número de entidades
que utilizan la tecnología continúa creciendo al igual que el alcance en que se utiliza la
tecnología.
La tecnología se refiere a menudo con otros términos, tales como "sistemas de gerencia de
la información" o "tecnología de la información". Estos términos comparten las ideas de la
utilización de una combinación de procesos automatizados y manuales, hardware y software,
metodologías y procesos. El Marco utiliza el término "tecnología" para referirse a todos los
sistemas informáticos, incluidas las aplicaciones de software que se ejecutan en una
computadora y los sistemas de control operacional.
Los entornos de tecnología varían significativamente en tamaño, complejidad y grado de
integración. Van desde grandes sistemas, centralizados e integrados, hasta sistemas
descentralizados que funcionan de forma independiente dentro de una unidad operativa
específica. Pueden implicar entornos de procesamiento en tiempo real que permiten el
acceso inmediato a la información, incluidas las aplicaciones móviles que pueden mover
información a través de muchos sistemas, organizaciones y geografías. La tecnología
permite a las organizaciones procesar grandes volúmenes de transacciones, transforma los
datos en información para apoyar la toma de decisiones sensatas, compartir la información
de manera eficiente a través de la entidad y con los socios comerciales, y proteger la
información confidencial contra uso inapropiado. Además, la tecnología puede permitir que
una entidad comparta con el público sus datos operativos y de desempeño.
La innovación tecnológica crea tanto oportunidades como riesgos. Esta puede permitir el
desarrollo de nuevos mercados y modelos de negocio, generar eficiencias a través de la
automatización, y permitir a las entidades hacer cosas que antes eran difíciles de
imaginar. Se puede aumentar la complejidad, lo que hace que la identificación y gestión del
riesgo sean más difíciles.
Los principios presentados en el Marco no cambian con la aplicación de la tecnología. Esto
no quiere decir que la tecnología no cambia el paisaje de control interno. Sin duda afecta la
forma como una organización diseña, implementa y lleva a cabo su control interno, teniendo
en cuenta la mayor disponibilidad de información y el uso de procedimientos automatizados,
pero los mismos principios siguen siendo adecuados y pertinentes. 8
8 Como se trata de un marco basado en principios y porque la tecnología está en constante evolución, el Marco no se
refiere a tecnologías específicas, como la computación en la nube o las redes sociales.
30
Los principios subyacentes a los componentes del control interno son aplicables tanto para
las entidades más pequeñas como para las más grandes. Sin embargo, los métodos de
aplicación pueden variar para las entidades más pequeñas, independientemente de que la
entidad cotice en bolsa, sea de propiedad privada, gubernamental o sin fines de lucro. Por
ejemplo, todas las empresas públicas tienen Consejos u órganos de gobierno similares con
responsabilidades de vigilancia relacionadas con los informes. Una entidad pequeña puede
tener un modelo operativo de gerencia y estructura de la entidad menos compleja, así como
una comunicación más frecuente con los directores, lo que permite un enfoque diferente a la
vigilancia del Consejo. Del mismo modo, mientras que muchas empresas públicas a menudo
son obligadas a tener un programa de denuncias, puede haber una diferencia en los
procedimientos de información entre tipos de entidades más pequeñas y más grandes. En
una entidad grande, por ejemplo, el volumen de los eventos notificados puede requerir
informes iniciales a una función interna de personal, pero una entidad pequeña puede
permitir la notificación directa al presidente del comité de auditoría.
Las entidades más pequeñas suelen tener ventajas únicas, que pueden contribuir al control
interno eficaz. Estas pueden incluir un espectro más amplio de control por parte de la alta
gerencia y una mayor interacción directa con el personal. Por ejemplo, las empresas
pequeñas pueden encontrar que las reuniones informales de personal son altamente
eficaces para comunicar la información pertinente al desempeño operativo, mientras que las
grandes empresas pueden necesitar mecanismos más formales, como informes escritos,
portales de intranet, reuniones periódicas formales, o llamadas de conferencia para
comunicar asuntos similares.
Por el contrario, las entidades más grandes pueden disfrutar de ciertas economías de escala
que a menudo afectan a las funciones de apoyo. Por ejemplo, el establecimiento de una
función de auditoría interna dentro de una entidad doméstica más pequeña probablemente
requeriría un mayor porcentaje de los recursos económicos de la entidad de lo que sería el
caso para una entidad multinacional más grande. Una entidad más pequeña puede no tener
una función de auditoría interna, o puede depender de la subcontratación para obtener las
habilidades necesarias, mientras que la entidad más grande podría tener un rango mucho
más amplio de personal interno con experiencia. Sin embargo, con toda probabilidad, el
costo relativo para la entidad más pequeña sería mayor que para la más grande.
Beneficios
El control interno proporciona muchos beneficios para la entidad. Proporciona a la gerencia y
31
32
Las entidades siempre tienen límites en los recursos humanos y financieros, y limitaciones
sobre cuánto pueden gastar, por lo tanto a menudo tendrán en cuenta los costos relativos a
los beneficios de los enfoques alternativos en el manejo de las opciones de control interno.
Costos
En general, es más fácil tratar con el aspecto de los costos en la ecuación costo-beneficio,
porque en la mayoría de los casos los costos financieros pueden ser cuantificados con
bastante precisión. Por lo general, se consideran todos los costos directos asociados con la
aplicación de las medidas de control interno y las respuestas, más los costos indirectos,
donde sea práctico medirlos. Algunas entidades también incluyen los costos de oportunidad
asociados con el uso de los recursos.
En general, la gerencia considera una serie de factores de costos en relación con los
beneficios esperados en la selección y el desarrollo de los controles internos. Estos pueden
incluir:
• Considerar el equilibrio entre la contratación y retención de personal con un alto nivel
de competencia y los mayores costos de compensación relacionados. Por ejemplo,
una empresa estable más pequeña, de propiedad privada, puede no querer o poder,
contratar a un director financiero con la experiencia de trabajar para una compañía
que cotiza en bolsa.
• Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo las
actividades de control, los posibles esfuerzos adicionales que la actividad suma a los
procesos de negocio, y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.
• Evaluar los impactos de la dependencia agregada en la tecnología. Mientras que el
esfuerzo en el proceso de negocio para llevar a cabo el control y el impacto de
controles de base tecnológica puede ser pequeño, el costo asociado con la selección,
desarrollo, mantenimiento y actualización de la tecnología podría ser sustancial.
• Comprender cómo los cambios en los requisitos de información pueden requerir una
mayor recopilación, procesamiento y almacenamiento de datos que podría
desencadenar el crecimiento exponencial del volumen de datos. Con más datos
disponibles, la organización se enfrenta al reto de evitar la sobrecarga de información,
para garantizar el flujo de la información correcta, en la forma adecuada, al nivel de
detalle correcto, a las personas adecuadas, en el momento adecuado. El
establecimiento de un sistema de información que equilibra los costos y los beneficios
depende de una consideración cuidadosa de los requisitos de información.
33
Documentación
34
35
36
37
38
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Establece las Pautas en la Parte Superior: El Consejo y la gerencia en todos los
niveles de la entidad demuestran a través de sus directivas, acciones y
comportamiento, la importancia de la integridad y los valores éticos para apoyar el
funcionamiento del sistema de control interno.
• Establece Normas de Conducta: Las expectativas del Consejo y la alta gerencia sobre
la integridad y los valores éticos están definidas en las normas de conducta de la
entidad, y son entendidas en todos los niveles de la organización, por los proveedores
de servicios externos y por los socios de negocios.
• Evalúa el Cumplimiento de las Normas de Conducta: Se han establecido
procedimientos para evaluar el desempeño de los individuos y los equipos contra las
normas de conducta de la entidad.
• Aborda las Desviaciones de Forma Oportuna: Las desviaciones a las normas de
conducta de la entidad se identifican y reparan de manera oportuna y consistente.
39
40
Normas de Conducta
Las expectativas, normas y costumbres éticas pueden variar a través de las fronteras. La
41
42
Adherencia y Desviaciones
43
Por ejemplo, las normas de conducta pueden prohibir prácticas que podrían ser percibidas
como colusión para fijar precios, pero la organización debe establecer mecanismos para
hacer cumplir las normas, tales como comunicaciones de sensibilización y adiestramiento, la
exploración de precios de mercado para identificar posibles problemas, y otras medidas para
prevenir o detectar una desviación de las normas de conducta de la organización. La
organización comunica los niveles de tolerancia establecidos para las desviaciones. En
función de la importancia del impacto de la organización, el nivel de las medidas correctivas
puede variar, pero se aplicarán en toda la organización. Las evaluaciones de adhesión a las
normas de conducta de individuos y equipos de trabajo son parte de un proceso sistemático
para la escalada y la resolución de excepciones. El proceso requiere que la gerencia:
• Defina un conjunto de indicadores (por ejemplo, tasas de finalización de
adiestramiento, resultados de las actividades de supervisión, infracciones a la
confidencialidad, colusión con otros participantes del mercado, casos de acoso) para
identificar los problemas y las tendencias relativas a las normas de conducta de la
organización, incluyendo sus proveedores de servicios subcontratados. Estos
indicadores se revisan periódicamente y se refinan hasta donde sea necesario para
ayudar a recabar los posibles problemas temprano o antes de que se repitan.
• Establezca procedimientos de cumplimiento continuos y periódicas para confirmar que
las expectativas y los requisitos se están cumpliendo, tanto internamente como por
proveedores externos de servicios.
• Identifique, analice y reporte los problemas de conducta empresarial y las tendencias
a la alta gerencia y al Consejo. Los mecanismos para la identificación de problemas
incluyen líneas directas de información, las funciones de recursos humanos, y las
líneas directas. El análisis a menudo requiere equipos multi-funcionales para
determinar la causa raíz y las medidas correctivas requeridas.
• Considere la fuerza del liderazgo en la demostración de la integridad y los valores
éticos como un comportamiento evaluados en las evaluaciones de desempeño,
compensaciones y decisiones de promoción.
• Centralice las denuncias y evaluarlas por personas independientes de quienes
denuncian.
• Lleve a cabo y documente investigaciones basado en protocolos de investigación
definidos.
• Haga seguimiento a la implementación de acciones correctivas para que se
solucionen los problemas de manera oportuna y consistente.
• Analice periódicamente los problemas para identificar las tendencias y las causas raíz,
a veces pidiendo la modificación de la política, las comunicaciones, el adiestramiento,
o los controles.
44
45
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Establece las Responsabilidades de Vigilancia: El Consejo identifica y acepta sus
responsabilidades de vigilancia relativas a las necesidades y expectativas
establecidas.
• Aplica Experiencia Relevante: El Consejo define, mantiene y evalúa periódicamente
las habilidades y conocimientos necesarios entre sus miembros para que puedan
hacer preguntas de sondeo a la alta gerencia y tomar las medidas acordes.
• Opera de Manera Independiente: El Consejo tiene suficientes miembros que son
independientes de la gerencia y objetivos en sus evaluaciones y toma de decisiones.
• Proporciona Vigilancia del Sistema de Control Interno: El Consejo tiene la
responsabilidad de vigilar el diseño, implementación y desarrollo del control interno por
la gerencia,
• Ambiente de Control: Establecer la integridad y los valores éticos, las
estructuras de vigilancia, autoridad y responsabilidad, las expectativas de
competencia, y las responsabilidades ante el Consejo.
• Evaluación del Riesgo: Supervisar la evaluación por parte de la gerencia de los
riesgos para el logro de objetivos, incluyendo el impacto potencial de los
cambios significativos, el fraude y que la gerencia anule los controles internos.
• Actividades de Control: Vigilar a la alta gerencia en su desarrollo y ejecución de
actividades de control.
• Información y Comunicación: Analizar y discutir la información relativa a los
logros de los objetivos de la entidad.
• Actividades de Supervisión: Evaluar y supervisar la naturaleza y alcance de las
actividades de supervisión, así como la evaluación y reparación de deficiencias
por parte de la gerencia.
47
La vigilancia del Consejo se apoya en las estructuras y procesos que establece la gerencia a
nivel de ejecución empresarial. Por ejemplo, los comités de gerencia pueden centrarse en
temas como la tecnología de la información, productos / servicios, procesos, u otros aspectos
de la empresa que requieren atención especializada. La gerencia evalúa continuamente los
riesgos planteados por los cambios en el entorno operativo (por ejemplo, la aparición de
nuevas tecnologías, nuevos requisitos legales y la evolución del modelo de negocio), y se
ocupa de las consecuencias para el sistema de control interno.
48
49
El Consejo está involucrado en ejercer la vigilancia del desarrollo y desempeño del control
interno a través de cada uno de los cinco componentes del Marco, como se ilustra en la
siguiente tabla:
50
52
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Considera Todas las Estructuras de la Entidad: La gerencia y el Consejo tienen en
cuenta las múltiples estructuras utilizadas (incluyendo unidades operativas, jurídicas,
la distribución geográfica y los proveedores de servicios externos) para apoyar el logro
de los objetivos.
• Establece Líneas de Subordinación: La gerencia diseña y evalúa las líneas de
subordinación para cada estructura de la entidad para permitir la ejecución de las
autoridades y responsabilidades, así como el flujo de información para gestionar las
actividades de la entidad.
• Define, Asigna y Limita las Autoridades y Responsabilidades: La gerencia y el Consejo
delegan autoridad, definen responsabilidades y utilizan procesos y tecnologías
apropiadas para asignar responsabilidades y segregar funciones que sean necesarias
en los diferentes niveles de la organización:
• Consejo: Retiene autoridad sobre las decisiones importantes, y revisa las
asignaciones y limitaciones por parte de la gerencia de las autoridades y
responsabilidades
• Alta Gerencia: Establece directrices, orientación y control para permitir que el
personal de gerencia y otros comprendan y ejecuten sus responsabilidades de
control interno
• Gerencia: Guía y facilita la ejecución de las directivas de la alta gerencia de la
entidad y sus sub-unidades
• Personal: Comprende la norma de conducta de la entidad, los riesgos para los
objetivos que han sido evaluados y las actividades de control en sus respectivos
niveles de la entidad, la información y el flujo de la comunicación esperada, y
las actividades relevantes para el logro de los objetivos
• Proveedores de Servicios Subcontratados: Se adhieren a la definición de la
gerencia del alcance de autoridad y responsabilidad de todos los que no son
empleados
53
Cada una de dichas lentes pueden proporcionar una evaluación diferente del sistema de
control interno. Mientras que la agregación de los riesgos a lo largo de una dimensión puede
indicar que no hay problemas, la vista a lo largo de una dimensión diferente puede presentar
riesgo de concentración en torno a ciertos tipos de clientes, la excesiva dependencia en un
único proveedor u otras vulnerabilidades. La propiedad y la responsabilidad en cada nivel de
agregación permite tal revisión y análisis multidimensional.
Las estructuras organizacionales evolucionan a medida que la naturaleza del negocio
evoluciona. Por lo tanto, la gerencia revisa y evalúa las estructuras para su relevancia
continua y su eficacia en apoyo del sistema de control interno. Considere, por ejemplo, un
banco que informa de los resultados de desempeño y la eficacia del control interno de la
entidad jurídica, unidad de negocio o la geografía. Si no revisa regularmente sus informes
para verificar que reflejan adecuadamente su actual modelo de negocio, puede dejar de
reconocer la aparición de ciertos riesgos, la ausencia de controles apropiados y lo
inadecuado de los informes.
Para cada tipo de estructura que opera (por ejemplo, la estructura del mercado geográfico, la
estructura del segmento de negocio, estructura de la entidad legal), la gerencia diseña y
evalúa las líneas de subordinación para que las responsabilidades se ejecuten y la
54
55
Autoridades y Responsabilidades
56
Limitación de la Autoridad
La autoridad faculta a las personas para que actúen como sea necesario en una función
dada, pero también es necesario definir las limitaciones de autoridad, de modo que:
• La delegación se produce sólo en la medida necesaria para alcanzar los objetivos de
la entidad (por ejemplo, la revisión y aprobación de nuevos productos implica las
funciones de apoyo y de negocios necesarias, separadas del equipo de ejecución de
ventas).
• Los riesgos inapropiados no son aceptados (por ejemplo, un nuevo proveedor no se
contrata sin la revisión de debida diligencia requerida).
• Las funciones se mantendrán separadas para reducir el riesgo de conductas
inapropiadas en el logro de los objetivos, y las verificaciones y controles necesarios se
producen desde los niveles más altos hasta los más bajos de la organización (por
ejemplo, la definición de las funciones, responsabilidades y medidas de desempeño
de manera tal que se reduce cualquier potencial conflicto de interés).
• La tecnología se aprovecha como sea apropiado para facilitar la definición y limitación
de roles y responsabilidades dentro del flujo de trabajo de procesos de negocio (por
ejemplo, diferentes niveles de acceso a los sistemas de planificación de recursos
empresariales a nivel de empresa y filial, privilegios de acceso concedidos a los
clientes en línea, las empresas socios y otros).
• Los proveedores de servicios de terceros que tienen la tarea de llevar a cabo
actividades en favor de una entidad entienden el alcance de sus derechos para la
toma de decisiones.
57
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Establece políticas y prácticas: Las políticas y prácticas reflejan las expectativas de
competencias necesarias para apoyar el logro de los objetivos.
• Evalúa las Competencias y Aborda Deficiencias: El Consejo y la gerencia evalúan las
competencias en toda la organización y en los proveedores de servicios
subcontratados, relativas a las políticas y prácticas establecidas, y actúan como sea
necesario para corregir las deficiencias.
• Atrae, Desarrolla y Retiene Personas: La organización ofrece la tutoría y el
adiestramiento necesario para atraer, desarrollar y retener al personal y proveedores
de servicios subcontratados suficientes y competentes para apoyar el logro de los
objetivos.
• Planifica y Se Prepara para la Sucesión: La alta gerencia y el Consejo desarrollan
planes de contingencia para asignar las asignaciones de responsabilidades que son
importantes para el control interno.
Políticas y Prácticas
59
Las competencias son las calificaciones para llevar a cabo las responsabilidades asignadas.
Estas requieren habilidades y conocimientos relevantes, que se obtienen generalmente de la
experiencia profesional, el adiestramiento y las certificaciones. Se expresan en la actitud, el
conocimiento y el comportamiento de los individuos que realizan sus responsabilidades.
La función de recursos humanos de una organización a menudo puede ayudar a definir los
niveles de competencia y la cantidad de personal por puesto de trabajo, facilitando el
adiestramiento y el mantenimiento de registros, así como la evaluación de la pertinencia y
adecuación del desarrollo profesional individual relativo a las necesidades de la entidad.
La organización define los requisitos de competencias, según sea necesario para apoyar el
logro de los objetivos, teniendo en cuenta, por ejemplo:
• El conocimiento, las habilidades y experiencia necesarias
• La naturaleza, grado de juicio y limitaciones de autoridad para aplicar a una posición
específica
• El análisis costo-beneficio de los diferentes niveles de habilidades y experiencia
60
61
A través de este proceso, cualquier comportamiento que no sea coherente con las normas de
conducta, políticas y prácticas, y las responsabilidades de control interno, se identifica,
evalúa y corrige a tiempo, o se aborda a todos los niveles de la organización. Esto permite a
la organización atender activamente las competencias necesarias para apoyar el logro de los
objetivos, y al mismo tiempo, equilibrar los costos y beneficios de la entidad.
62
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Aplica Responsabilidad a través de Estructuras, Autoridades y Responsabilidades: La
gerencia y el Consejo establecen los mecanismos para comunicar y hacer que las
personas sean responsables por el desempeño de las responsabilidades de control
interno de la organización y aplican las medidas correctivas necesarias.
• Establece Medidas de Desempeño, Incentivos y Recompensas: La gerencia y el
Consejo establecen medidas de desempeño, incentivos y otras recompensas
apropiadas para las responsabilidades a todos los niveles de la entidad, lo que refleja
las dimensiones apropiadas de desempeño y las normas de conducta esperadas,
teniendo en cuenta el logro de los objetivos, tanto a corto plazo como a largo plazo.
• Evalúa las Medidas de Desempeño, Incentivos y Recompensas para la Relevancia
Continua: La gerencia y el Consejo alinean los incentivos y las recompensas con el
cumplimiento de las responsabilidades de control interno en el logro de los objetivos.
• Considera Presiones Excesivas: La gerencia y el Consejo evalúan y ajustan las
presiones asociadas con el logro de los objetivos, en la medida que asignan
responsabilidades, desarrollan medidas de desempeño y evalúan el desempeño.
• Evalúa el Desempeño, y Recompensa o Disciplina a las Personas: La gerencia y el
Consejo evalúan el desempeño de las responsabilidades de control interno, incluido el
cumplimiento de las normas de conducta y los niveles esperados de competencias, y
ofrecen recompensas o ejercen acciones disciplinarias apropiadas.
63
64
El desempeño está fuertemente influenciado por el grado en que las personas son
responsables y cómo se recompensan.
La gerencia y el Consejo establecen medidas de desempeño, incentivos y otras
recompensas apropiadas para las responsabilidades a todos los niveles de la entidad,
teniendo en cuenta el logro de objetivos, tanto a corto plazo como a largo
plazo. Reconociendo que recompensar resultados futuros en el presente puede producir
consecuencias no deseadas, la organización establece una combinación de desempeño
cuantitativo y cualitativo que se mide equilibradamente para recompensar los éxitos y
disciplinar los comportamientos cuando sea necesario de acuerdo con la gama de
objetivos. Consideremos, por ejemplo, una empresa que busca ganar la lealtad del cliente
con productos de calidad. Compromete a su fuerza de trabajo en un esfuerzo para reducir las
tasas de defectos de producción y alinea sus medidas de desempeño, incentivos y
recompensas, tanto con los objetivos de producción de la unidad de operación como con las
expectativas para cumplir con la seguridad del producto y normas de calidad, las leyes de
seguridad laboral, los programas de fidelización de clientes, y los informes precisos sobre
retirada de productos.
Las medidas de desempeño, incentivos y recompensas apoyan un sistema eficaz de control
interno en la medida que se adaptan a los objetivos de la entidad y se desarrollan de forma
dinámica con sus necesidades. La siguiente tabla muestra las medidas clave de éxito y las
consideraciones para motivar, medir y recompensar el alto desempeño.
65
66
Presiones
La gerencia y el Consejo establecen objetivos y metas hacia el logro de los objetivos que por
su naturaleza crean presiones dentro de la organización. Las presiones también pueden
deberse a variaciones cíclicas de ciertas actividades, que las organizaciones tienen la
capacidad de influir reajustando las cargas de trabajo o aumentando los niveles de recursos,
según proceda, para reducir el riesgo de que los empleados tomen "atajos", que de tomarlos,
podrían ser perjudiciales para el logro de los objetivos.
Estas presiones, que se ven afectadas además por el entorno interno o externo, pueden
motivar positivamente los individuos para satisfacer las expectativas de conducta y
desempeño, tanto a corto plazo como a largo plazo. Sin embargo, las presiones indebidas
pueden causar que los empleados teman las consecuencias de no alcanzar los objetivos y
entonces eludan procesos o participen en actividades fraudulentas o de corrupción.
Las presiones excesivas son más comúnmente asociadas con:
• Objetivos de desempeño poco realistas, en particular para los resultados a corto plazo
• Objetivos contradictorios de las diferentes partes interesadas
• Desequilibrio entre la recompensa por el desempeño financiero a corto plazo, y
aquellas de partes interesadas enfocadas a largo plazo, tales como los objetivos de
sostenibilidad corporativa
Por ejemplo, la presión para generar niveles de ventas que no están acordes con las
oportunidades de mercado puede conducir a los gerentes de ventas a falsificar las cifras o
participar en sobornos u otros actos ilícitos. Las presiones para demostrar la rentabilidad de
las inversiones pueden causar que los operadores tomen riesgos fuera de la estrategia para
cubrir las pérdidas sufridas. Del mismo modo, las presiones para colocar un producto en el
mercado y generar ingresos rápidamente pueden causar que el personal tome atajos en el
desarrollo de productos o sus pruebas de seguridad, lo que puede ser perjudicial para los
consumidores, o puede dar lugar a mala aceptación o a reputación deteriorada.
Para alinear los objetivos individuales de cada unidad de negocio con los objetivos de la
67
Al igual que los objetivos de desempeño se conectan en cascada desde el Consejo hasta el
director ejecutivo, la alta gerencia y otro personal, la evaluación del desempeño se lleva a
cabo en cada uno de estos niveles. El Consejo evalúa el desempeño del director ejecutivo,
quien a su vez evalúa el desempeño de la alta gerencia, y así sucesivamente. En cada nivel
son evaluadas la adhesión a las normas de conducta y los niveles esperados de
competencia, y se asignan las recompensas o se ejercen las acciones disciplinarias, según
corresponda. Los beneficios pueden ser en forma de dinero, patrimonio, reconocimiento o
avance profesional. Los resultados de estas evaluaciones se comunican y se actúa en
consecuencia con recompensas o sanciones, según corresponda, para influir en el
comportamiento deseado.
Las políticas y prácticas de remuneración se basan en la filosofía de compensación de la
organización, que considera el posicionamiento competitivo que pretende lograr (métodos y
niveles de incentivos, y compensaciones para atraer el mayor calibre de talento necesario
para superar las ofertas de otras empresas del sector). La compensación y otros premios se
otorgan sobre la base de la evaluación del desempeño, las competencias y la adquisición de
habilidades, así como la información de precios de mercado disponibles, con el objetivo de
retener al personal de alto desempeño y fomentar el desgaste del personal de bajo
desempeño. Recursos humanos gestiona el proceso de obtener, procesar y comunicar la
68
69
Todas las entidades se enfrentan a una variedad de riesgos de fuentes externas e internas.
El riesgo se define como la posibilidad de que ocurra un evento, y afectan negativamente el
logro de los objetivos. La evaluación del riesgo consiste en un proceso dinámico e iterativo
para identificar y evaluar los riesgos para el logro de los objetivos. Los riesgos para el logro
de los objetivos de toda la entidad se consideran en relación con la tolerancia al riesgo
establecida. Por lo tanto, la evaluación del riesgo es la base para determinar cómo se
gestionarán los riesgos.
Una condición previa para la evaluación del riesgo es el establecimiento de objetivos,
vinculados a diferentes niveles de la entidad. La gerencia establece objetivos dentro de las
categorías relacionadas con operaciones, informes y cumplimiento con la suficiente claridad
para identificar y analizar los riesgos para esos objetivos. La gerencia también considera la
idoneidad de los objetivos de la entidad. La evaluación del riesgo también requiere que la
gerencia considere el impacto de los posibles cambios, tanto en el entorno externo como en
su propio modelo de negocios, que podrían hacer que el control interno se torne ineficaz.
71
72
Tolerancia al Riesgo
10 Los reguladores y organismos emisores de normas definen el término "materialidad". La gerencia desarrolla una
comprensión de la materialidad como se define en las leyes, reglamentos y normas para la aplicación del Marco dentro
del contexto de las leyes, reglamentos y normas.
73
74
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
los objetivos de operaciones, informes y cumplimiento:
Objetivos de Operaciones
• Refleja las Opciones de la Gerencia: Los objetivos de operaciones responden a
decisiones de la gerencia acerca de la estructura, las consideraciones de la industria y
el desempeño de la entidad.
• Considera Tolerancias para la Gestión del Riesgo: Considera los niveles aceptables
de variación en relación con el logro de los objetivos de operaciones.
• Incluye Objetivos de Operaciones y Desempeño Financiero: La organización refleja el
nivel deseado de las operaciones y el desempeño financiero de la entidad dentro de
los objetivos de operaciones.
• Constituye una Base para la Asignación de Recursos: La gerencia utiliza objetivos de
operaciones como base para la asignación de los recursos necesarios para alcanzar
las operaciones deseadas y el desempeño financiero.
75
Objetivos de Cumplimiento
• Refleja Leyes y Reglamentos Externos: Las leyes y reglamentos establecen las
normas mínimas de conducta que la entidad integra en sus objetivos de cumplimiento.
• Considera Tolerancias al Riesgo: Considera los niveles aceptables de variación en
relación con el logro de los objetivos de cumplimiento.
Especificación de Objetivos
Una condición previa para la evaluación del riesgo es el establecimiento de objetivos,
vinculados a diversos niveles de la entidad. Estos objetivos se alinean con, y apoyan a la
entidad en, el cumplimiento de su dirección estratégica. Si bien establecer las estrategias y
objetivos no es parte del proceso de control interno, los objetivos son la base sobre la que se
aplican y realizan los enfoques de evaluación del riesgo y las actividades de control. Como
parte del control interno, la gerencia especifica los objetivos y los agrupa en categorías
generales a todos los niveles de la entidad, en relación con los objetivos de operaciones,
76
Cuando los objetivos dentro de estas categorías no son claros, cuando no está claro cómo
los objetivos apoyan a la dirección estratégica, cuando existe preocupación de que los
objetivos no son adecuados en base a los hechos, las circunstancias y las leyes,
reglamentos y normas aplicables a la entidad, o cuando la organización basaría su
evaluación del riesgo en objetivos entendidos pero no aprobados, la gerencia comunica esta
preocupación como insumo para el establecimiento de la estrategia y el proceso de fijación
de objetivos.
Objetivos de Operaciones
77
Una entidad con fines de lucro puede establecer objetivos de operaciones que se centran en
el uso eficiente de los recursos. Por ejemplo, una minorista grande tiene entre sus objetivos:
• Proporcionar a los clientes con una amplia gama de artículos a precios siempre más
bajos que sus competidores
• Aumentar su índice de rotación de inventario a doce veces por año en los próximos
dos trimestres
• Reducir sus emisiones de CO2 en un 5%, y reducir y reciclar los materiales de
embalaje en un 10% durante el próximo año
Metas y Recursos
Objetivos de Informes
78
Las entidades necesitan alcanzar los objetivos de información financiera para cumplir con las
obligaciones externas. Los estados financieros publicados y la información financiera son
necesarias para acceder a los mercados de capital y pueden ser críticos para la adjudicación
de contratos o para tratar con los proveedores. Los inversionistas, analistas, y los acreedores
pueden utilizar los estados financieros y otra información financiera para evaluar el
desempeño de la entidad y para compararla con sus pares y otras inversiones alternativas.
Los objetivos de información financiera son consistentes con los principios de contabilidad
adecuados y disponibles para esa entidad y adecuados a las circunstancias. Los objetivos de
información financiera externa abordan la preparación de los estados financieros para
propósitos externos, incluidos los estados financieros públicos, otros estados financieros e
informes, y otras formas de información financiera externa derivada de los libros y registros
de contabilidad financiera o de gestión de la entidad.
• Los estados financieros para fines externos están preparados de acuerdo con las
normas contables, reglamentos y regulaciones aplicables. Estos estados financieros
pueden incluir declaraciones financieras anuales y provisionales, estados financieros
condensados y la información financiera seleccionada derivada de dichas
declaraciones. Estas declaraciones pueden ser, por ejemplo, presentadas en público
con un regulador, distribuidas a través de reuniones anuales, publicadas en la página
web de la entidad, o distribuidas a través de otros medios electrónicos.
• Otros estados e informes financieros pueden ser preparados de acuerdo con otra base
de contabilidad y son conducidos generalmente por autoridades fiscales, agencias
gubernamentales, o por los requisitos establecidos a través de contratos y convenios.
Los estados financieros y los informes se pueden distribuir a usuarios externos
específicos (por ejemplo, informes a un banco según obligaciones establecidas en el
contrato de préstamo, a una autoridad fiscal en conexión con declaraciones de
impuestos, a un organismo de financiamiento por una entidad sin fines de lucro donde
dichas declaraciones no se publican).
• Otra información financiera externa derivada de la gestión financiera y los libros y
registros de contabilidad de la entidad, diferentes a los estados financieros para
propósitos externos, puede incluir reportes trimestrales, información financiera
seleccionada publicada en la página web de la entidad, y cantidades seleccionadas
que se informan a una entidad reguladora. Los objetivos de información financiera
79
Características Cualitativas
80
13 Derivados de las Normas Internacionales de Información Financiera. Algunas jurisdicciones pueden utilizar diferentes
descripciones de la materialidad de los estados financieros.
81
Los informes no financieros, tal como ocurre con los informes financieros:
• Clasifican y resumen la información de una manera razonable y al nivel de detalle
adecuado para que no sea, ni demasiado detallada, ni demasiado condensada
• Refleja las actividades subyacentes de la entidad
• Presenta las transacciones y eventos dentro del nivel requerido de precisión y
exactitud adecuado para las necesidades del usuario
• Utiliza los criterios establecidos por terceros y según lo establecido en las normas o
marcos externos, según corresponda
82
Objetivos de Cumplimiento
Las leyes y reglamentos establecen las normas mínimas de conducta que la entidad integra
en sus objetivos de cumplimiento. Por ejemplo, las normas de seguridad y salud en el trabajo
pueden provocar que una entidad defina su objetivo como "empaquetar y etiquetar todos los
productos químicos, de conformidad con los reglamentos". Las políticas y procedimientos
entonces abordarían los programas de comunicaciones, inspecciones in situ, y el
adiestramiento en relación con los objetivos de cumplimiento de la entidad. Y al igual que
para los objetivos de información externa, la gerencia considera los niveles aceptables de
variación en el desempeño dentro del contexto del cumplimiento de las leyes y reglamentos.
Tales leyes y reglamentos pueden causar que la gerencia establezca niveles de variación
aceptable más bajos para permanecer en el cumplimiento de dichas leyes y reglamentos.
Las entidades deben realizar sus actividades, y muchas veces tomar acciones específicas,
de conformidad con las leyes y reglamentos aplicables. Como parte de la especificación de
objetivos de cumplimiento, la organización debe entender las leyes y reglamentos aplicables
en toda la entidad. Muchas leyes y reglamentos son generalmente bien conocidas, tales
como las relativas a informes sobre la lucha contra el soborno, las prácticas laborales justas
y el cumplimiento ambiental, pero otras pueden no ser tan bien conocidas por la
organización, como las que se aplican a las operaciones en un país extranjero.
Muchas leyes y reglamentos dependen de factores externos y tienden a ser similares, en
todas las entidades en algunos casos, y en una industria en otros casos. Estos requisitos
pueden referirse, por ejemplo, a los mercados, los precios, los impuestos, el medio ambiente,
el bienestar de los empleados o el comercio internacional. Muchas entidades establecerán
objetivos tales como:
• Prevención y detección de conductas delictivas y otras infracciones
• Preparación y presentación de declaraciones de impuestos antes de los plazos de
presentación y de conformidad con los requisitos reglamentarios
• Etiquetado de información nutricional en los envases de alimentos de conformidad con
las directrices aplicables
• El funcionamiento de una flota de vehículos dentro de los máximos requisitos de
control de emisiones
83
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
La identificación y análisis del riesgo es un proceso iterativo continuo realizado para mejorar
la capacidad de la entidad para lograr sus objetivos. Aunque una entidad puede no indicar
expresamente todos los objetivos, esto no quiere decir que un objetivo implícito está exento
de riesgo, ya sea interno o externo. Independientemente de si un objetivo es expresado o
implícito, el proceso de evaluación del riesgo de la entidad debe considerar los riesgos que
puedan ocurrir. Este proceso es apoyado por una gran variedad de actividades, técnicas y
mecanismos, cada uno correspondiente a la evaluación general de riesgos. La gerencia
desarrolla e implementa controles relativos a la realización de tales actividades.
85
La identificación del riesgo considera los riesgos en los distintos niveles de la estructura
organizativa, incluyendo la entidad en general, sus sub-unidades y sus procesos como
ventas, recursos humanos, mercadeo, producción y compras. La identificación de riesgos a
nivel de entidad se realiza típicamente a un nivel relativamente alto, y generalmente no
incluye la evaluación de los riesgos a nivel de transacción. Por el contrario, la identificación
de riesgos en un nivel de proceso es más detallada y podría incluir riesgos a nivel de
86
La gerencia considera los riesgos en relación con los factores internos y externos. El riesgo
es dinámico, por lo tanto, para determinar la frecuencia de su proceso de evaluación del
riesgo, la gerencia generalmente considera la tasa de cambio en los riesgos para el logro de
los objetivos, otras prioridades operativas y costos. Típicamente, el proceso es una
combinación de las evaluaciones del riesgo continuas y periódicas. Si la tasa de cambio en
relación con los objetivos o los factores internos y externos aumenta, es útil acelerar la
frecuencia de la evaluación de los riesgos relacionados, o evaluar el riesgo en tiempo real.
Los riesgos a nivel de entidad pueden surgir de factores externos o internos. Factores
externos pueden incluir:
• Económicos: Los cambios que pueden afectar el financiamiento, la disponibilidad de
capital y las barreras a la entrada de competidores
• Ambiente: Las catástrofes naturales o causadas por el hombre, o el cambio climático,
pueden dar lugar a cambios en las operaciones, la reducción de la disponibilidad de
materias primas o la pérdida de los sistemas de información. destacando la necesidad
de planes de contingencia
• Regulatorio: Una nueva norma de información financiera puede requerir información
adicional o diferente de una persona jurídica, modelo operativo de gerencia o línea de
negocio. Una nueva ley o regulación anti-monopolio puede forzar cambios en el
funcionamiento o las políticas y estrategias de informes
• Operaciones Extranjeras: Un cambio en el gobierno de un país extranjero donde opera
la entidad, puede dar lugar a nuevas leyes y reglamentos o regímenes fiscales
alterados
• Social: Las necesidades y expectativas cambiantes de los clientes pueden afectar el
desarrollo del producto, proceso de producción, servicio al cliente, precios o garantías
• Tecnológicos: Los desarrollos pueden afectar la disponibilidad y uso de los datos, los
costos de la infraestructura y la demanda de servicios basados en tecnología
87
88
Después que los riesgos han sido identificados, tanto al nivel de la entidad como a nivel de
transacción, se debe realizar un análisis del riesgo. La metodología de análisis del riesgo
puede variar, en gran parte porque muchos riesgos son difíciles de cuantificar. Sin embargo,
el proceso, que puede ser más o menos formal, por lo general incluye la evaluación de la
probabilidad de ocurrencia del riesgo y estimar su impacto. Además, el proceso podría
considerar otros criterios que la gerencia considere necesarios.
Niveles Gerenciales
Al igual que con otros procesos en el control interno, la responsabilidad para la identificación
89
Como parte del análisis del riesgo, la organización evalúa la importancia de los riesgos para
el logro de los objetivos y sub-objetivos. Las organizaciones pueden evaluar la importancia
utilizando criterios tales como:
• Probabilidad de ocurrencia del riesgo y el impacto
• Velocidad o velocidad para impactar al producirse el riesgo
• Persistencia o duración del impacto después de la aparición del riesgo
90
La gerencia considera tanto el riesgo inherente como el riesgo residual. El riesgo inherente
es el riesgo para el logro de los objetivos de la entidad en ausencia de cualquier medida de la
gerencia para modificar, ya sea la probabilidad, o el impacto del riesgo. El riesgo residual es
el riesgo para el logro de los objetivos que queda después que las respuestas de la gerencia
han sido desarrolladas e implementadas. El análisis del riesgo se aplica en primer lugar a un
riesgo inherente. Una vez que se han desarrollado las respuestas al riesgo, como se discute
más abajo, la gerencia considera el riesgo residual. La evaluación del riesgo inherente,
además del riesgo residual, puede ayudar a la organización en la comprensión de la
magnitud de las respuestas al riesgo que son necesarias.
91
Una vez que se ha evaluado la potencial importancia de los riesgos, la gerencia considera
cómo gestionar el riesgo. Esto implica aplicar juicio sobre la base de supuestos sobre el
riesgo y el análisis razonable de los costos asociados con la reducción del nivel de riesgo. La
respuesta no tiene por qué resultar en menor cantidad de riesgo residual. Pero cuando una
respuesta al riesgo podría resultar en riesgo residual superior a los niveles aprobados por la
gerencia y el Consejo, se revisa y modifica la respuesta. En consecuencia, el equilibrio entre
el riesgo y la tolerancia al riesgo puede ser un proceso iterativo.
Las respuestas al riesgo caen dentro de las siguientes categorías:
• Aceptar: No se tomará ninguna medida que afecte la probabilidad o el impacto del
riesgo.
• Evitar: Cancelar las actividades que dan lugar al riesgo. Puede implicar la eliminación
de una línea de productos, la disminución de la expansión en un nuevo mercado
geográfico o la venta de una división.
• Reducir: Se toman medidas para reducir la probabilidad de los riesgos, su impacto o
ambas cosas. Por lo general implica alguna de las innumerables decisiones
empresariales cotidianas.
• Compartir: Se reduce la probabilidad o el impacto del riesgo mediante la transferencia
o el intercambio de una parte de los riesgos. Las técnicas comunes incluyen la compra
de productos de seguros, creación de empresas conjuntas, participación en
operaciones de cobertura o la subcontratación de una actividad.
92
Respuestas Seleccionadas
Hay una distinción entre la evaluación del riesgo, que es parte del control interno, y la
elección de respuestas a los riesgos específicos, los planes y programas relacionados, u
otras acciones que forman parte del proceso de gestión y no de los controles internos. El
control interno no incluye garantizar que se elige la respuesta óptima del riesgo. Por ejemplo,
la gerencia de una entidad puede optar por compartir riesgos tecnológicos mediante la
subcontratación de algunos aspectos de su tecnología de procesamiento con una entidad
con experiencia en ese campo (reconociendo que esto también puede introducir nuevos
riesgos para la organización), mientras que otra entidad puede optar por conservar su
tecnología de procesamiento y desarrollar controles generales sobre las actividades para la
gestión del riesgo relacionado con la tecnología. Ninguna de estas opciones debe
considerarse como correcta o incorrecta, ya que ambas pueden ser eficaces en la gestión de
los riesgos tecnológicos. Pero cuando una respuesta al riesgo podría resultar en un riesgo
residual superior a la tolerancia al riesgo para cualquier categoría de objetivos, la gerencia la
revisa y modifica en consecuencia.
Una vez que la gerencia ha optado por reducir o compartir los riesgos, puede determinar las
acciones para responder a los riesgos para seleccionar y desarrollar las actividades de
control asociadas. La naturaleza y el alcance de la respuesta al riesgo y las actividades de
control asociadas dependerá, al menos en parte, del nivel deseado de reducción del riesgo
(que es el tema central del Capítulo 7). En algunos casos, la gerencia puede seleccionar una
respuesta que requiere una acción dentro de otro componente del control interno, por
ejemplo, la mejora de una parte del ambiente de control.
93
94
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Considera Varios Tipos de Fraude: La evaluación del fraude considera información
fraudulenta, la posible pérdida de los activos y la corrupción resultante de las diversas
formas en que pueden ocurrir fraude y mala conducta.
• Evalúa Incentivos y Presiones: La evaluación del riesgo de fraude considera incentivos
y presiones.
• Evalúa Oportunidades: La evaluación del riesgo de fraude considera las oportunidades
de adquisición, uso o enajenación de activos, la alteración de los registros de
información de la entidad u otros actos inapropiados.
• Evalúa Actitudes y Racionalizaciones: La evaluación del riesgo de fraude considera
cómo la gerencia y otro personal pueden participar o justificar acciones inapropiadas.
Tipos de Fraude
La evaluación del riesgo incluye una evaluación de la gestión de los riesgos relacionados con
la información fraudulenta y salvaguarda de los activos de la entidad. Además, la gerencia
considera posibles actos de corrupción, tanto por personal de la entidad como por personal
de los proveedores de servicios subcontratados que afectan directamente la capacidad de la
entidad para lograr sus objetivos.
Las acciones que se llevan a cabo como parte de la aplicación de este principio se enlazan
estrechamente con el principio anterior (Identifica y Analiza los Riesgos), que evalúa los
riesgos sobre la presunción de que la gerencia y otro personal, así como el personal al
servicio de los proveedores subcontratados, cumplen con los estándares esperados de
conducta ética de la entidad. Este principio, Evalúa el Riesgo de Fraude, evalúa el riesgo en
un contexto diferente: cuando las acciones de una persona pueden no alinearse con los
estándares esperados de conducta. La gerencia también puede considerar el punto de
enfoque en relación con el principio Identifica y Analiza los Riesgos, en el desarrollo,
implementación y realización de control interno. Por ejemplo, las respuestas a los riesgos
identificados en el marco de este principio caen dentro de las mismas categorías anteriores
(aceptar, evitar, reducir y compartir). Y como antes, la selección y el desarrollo de controles
para efectuar las respuestas a los riesgos específicos elegidas por la gerencia es esencial
95
Informes Fraudulentos
Los informes fraudulentos pueden ocurrir cuando los informes de la entidad son
deliberadamente preparados con omisiones o inexactitudes. Estos eventos pueden ocurrir a
través de recibos o gastos no autorizados, mala conducta financiera, u otras irregularidades
de divulgación. Un sistema de control interno sobre la información financiera está diseñado e
implementado para prevenir o detectar, de manera oportuna, una omisión o declaración
errónea material de los estados financieros debido a error o fraude.
Al evaluar los riesgos para el logro de los objetivos de informes financieros, las
organizaciones suelen considerar la posibilidad de fraude en las siguientes áreas:
• Informes Financieros Fraudulentos: Un acto intencional diseñado para engañar a los
usuarios de los informes financieros externos y que puede dar lugar a una omisión o
declaración errónea material de los informes financieros
• Informes No Financieros Fraudulentos: Un acto intencional diseñado para engañar a
los usuarios de informes no financieros, incluidos los informes de sostenibilidad, salud
y seguridad o actividad laboral, y que pueden dar lugar a informes con un nivel de
precisión menor al deseado
• Apropiación Indebida de Activos: Robo de activos de la entidad, donde el efecto puede
causar una omisión o declaración errónea material en los informes financieros
externos
• Actos Ilegales: Violaciones de las leyes o regulaciones gubernamentales que podrían
tener un impacto directo o indirecto sobre los informes financieros externos
Como parte del proceso de evaluación del riesgo, la organización debe identificar las
diversas formas en que se pueden producir informes fraudulentos, considerando:
• Sesgo de la gerencia, por ejemplo, en la selección de los principios de contabilidad
• Grado de juicios y estimaciones en informes externos
• Esquemas y situaciones de fraudes comunes a los sectores de la industria y los
mercados en los que opera la entidad
• Las regiones geográficas en las que la entidad opera
• Incentivos que pueden motivar un comportamiento fraudulento
• La naturaleza de la tecnología y la capacidad de la gerencia para manipular la
información
96
Salvaguarda de Activos
97
Corrupción
La anulación por la gerencia describen las acciones tomadas para eludir los controles de una
entidad con un propósito ilegítimo como el beneficio personal o una mejor presentación de la
situación financiera o estado de cumplimiento de una entidad. Por ejemplo, para permitir un
gran cargamento de mercancías a un cliente con crédito inaceptable con el fin de aumentar
los ingresos, un gerente anula incorrectamente el control interno mediante la aprobación de
la operación de venta previamente suspendida por un supervisor quien llevó a cabo el control
correctamente. Las acciones para anular normalmente no son documentadas ni reveladas,
porque la intención es ocultar las acciones.
98
Como parte de la evaluación del riesgo de fraude, la gerencia evalúa el riesgo de que la
gerencia anule los controles internos. El Consejo o un subconjunto del Consejo (por ejemplo,
el comité de auditoría) supervisa la evaluación y desafía a la gerencia en función de las
circunstancias. El ambiente de control de la entidad puede influir significativamente en el
riesgo de anulación por la gerencia. Esto es especialmente importante para entidades más
pequeñas, donde la alta gerencia puede estar muy involucrada en la realización de diversos
controles.
Incentivos y Presiones
Oportunidad
99
Actitudes y Racionalizaciones
100
101
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Evalúa Cambios en el Entorno Externo: El proceso de identificación de riesgos
considera cambios en el entorno regulatorio, económico y físico donde opera la
entidad.
• Evalúa Cambios en el Modelo de Negocio: La organización considera el impacto
potencial en el sistema de control interno de nuevas líneas de negocio, composiciones
dramáticamente alteradas de las actuales líneas de negocio, operaciones adquiridas o
enajenadas, el crecimiento rápido, el cambio de dependencia en geografías
extranjeras y nuevas tecnologías.
• Evalúa Cambios en el Liderazgo: La organización considera cambios en la gerencia,
las respectivas actitudes y filosofías, sobre el sistema de control interno.
A medida que cambian los entornos económicos, la industria y las normativas, se necesita
adaptar y evolucionar en el alcance y naturaleza del liderazgo, las prioridades, modelo de
negocio, la organización, los procesos de negocio y las actividades de la entidad. El control
interno eficaz dentro de un conjunto de condiciones, puede no ser eficaz cuando esas
condiciones cambian significativamente. Como parte de la evaluación del riesgo, la gerencia
identifica los cambios que podrían afectar significativamente el sistema de control interno de
la entidad y toma medidas oportunas. Por lo tanto, cada entidad requerirá un proceso para
identificar y evaluar los factores internos y externos que pueden afectar significativamente su
capacidad para lograr sus objetivos.
Este proceso será paralelo al proceso de evaluación periódica de los riesgos de la entidad, o
será parte de el. Se trata de identificar los cambios en cualquier supuesto o condición
significativa. Este requiere tener controles para identificar y comunicar los cambios que
pueden afectar a los objetivos de la entidad y evaluar los riesgos asociados. Este análisis
incluye la identificación de las posibles causas de lograr o no un objetivo, evaluar la
103
Entorno Externo
104
105
Cambio de Liderazgo
106
Las actividades de control son las acciones establecidas por medio de políticas y
procedimientos que ayudan a asegurar que se ejecutan las directivas de la gerencia para
mitigar los riesgos para el logro de los objetivos. Las actividades de control se realizan en
todos los niveles de la entidad, en diversas etapas dentro de los procesos de negocio y sobre
el entorno tecnológico. Por su naturaleza, pueden ser preventivas o de detección, y pueden
comprender un rango de actividades manuales o automatizadas tales como, autorizaciones y
aprobaciones, verificaciones, reconciliaciones y revisiones del desempeño del negocio.
Generalmente, la segregación de funciones se incorpora en la selección y desarrollo de las
actividades de control. Cuando la segregación de funciones no es posible, la gerencia
selecciona y desarrolla actividades de control alternativas.
107
108
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Se Integra con la Evaluación del Riesgo: Las actividades de control ayudan a asegurar
que se ejecutan las respuestas al riesgo que abordan y mitigan los riesgos.
• Considera Factores Específicos de la Entidad: La gerencia considera como el entorno,
la complejidad, la naturaleza y el alcance de sus operaciones, así como las
características específicas de su organización, afectan la selección y el desarrollo de
las actividades de control.
• Determina los Procesos Empresariales Relevantes: Determina cuales procesos de
gestión de negocio relevantes requieren actividades de control.
• Evalúa una Mezcla de Tipos de Actividades de Control: Las actividades de control
incluyen una amplia gama y variedad de controles y pueden incluir un equilibrio de
enfoques para mitigar los riesgos, considerando tanto controles manuales como
automatizados, así como controles de prevención y detección.
• Considera en qué Nivel se Aplican las Actividades: La gerencia considera las
actividades de control en los distintos niveles de la entidad.
• Aborda la Segregación de Funciones: La gerencia segrega funciones incompatibles, y
donde dicha segregación no es práctica, la gerencia selecciona y desarrolla
actividades de control alternativas.
Las actividades de control soportan todos los componentes del control interno, pero ante
todo, están alineadas con el componente de la evaluación del riesgo. Junto con la evaluación
del riesgo, la gerencia identifica y pone en efecto las acciones necesarias para realizar
respuestas a los riesgos específicos. Por lo general, las actividades de control no son
necesarias cuando una entidad elige aceptar o evitar un riesgo específico. Sin embargo,
109
Al determinar cuales acciones poner en marcha para mitigar los riesgos, la gerencia
considera todos los aspectos de los componentes de control interno de la entidad y los
procesos de negocio relevantes, la tecnología de información y los lugares donde se
necesitan actividades de control. Esto puede requerir considerar actividades de control fuera
de la unidad operativa, incluyendo servicios compartidos o centros de datos, y procesos o
funciones realizadas por proveedores de servicios subcontratados. Por ejemplo, las
entidades pueden necesitar establecer actividades de control para abordar la integridad de la
información enviada y recibida del proveedor de servicios subcontratados.
110
111
112
113
114
115
116
Segregación de Funciones
117
21 El Marco prefiere el término "controles alternativos" en lugar de "controles compensatorios". Este último término se ha
utilizado para describir actividades de control adicionales puestas en marcha cuando no se puede lograr la segregación
de funciones. Sin embargo, este término ha evolucionado para referirse a las actividades de control que mitigan el
impacto de una deficiencia de control identificada en la evaluación de la efectividad operativa de los controles y se
utiliza en el Marco dentro de este contexto.
118
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Determina la Dependencia entre el Uso de la Tecnología en los Procesos de Negocio
y los Controles Generales sobre Tecnología: La gerencia entiende y determina la
dependencia y vinculación entre los procesos de negocio, las actividades de control
automatizadas y los controles generales sobre tecnología.
• Establece Actividades de Control Relevantes sobre la Infraestructura de Tecnología:
La gerencia selecciona y desarrolla actividades de control sobre la infraestructura de
la tecnología, que se diseñan e implementan para ayudar a garantizar la integridad,
precisión y disponibilidad de la tecnología de procesamiento.
• Establece Actividades de Control Relevantes sobre los Procesos de Gestión de
Seguridad: La gerencia selecciona y desarrolla actividades de control que se diseñan
e implementan para restringir los derechos de acceso a la tecnología a usuarios
autorizados acorde con sus responsabilidades laborales y para proteger los activos de
la entidad de amenazas externas.
• Establece Actividades de Control Relevantes sobre los Procesos de Procura,
Desarrollo y Mantenimiento de Tecnología: La gerencia selecciona y desarrolla
actividades de control sobre la procura, desarrollo y mantenimiento de la tecnología y
su infraestructura para lograr los objetivos de la gerencia.
119
120
121
23 Hay muchos nombres para este proceso. Un nombre común es "ciclo de vida de desarrollo de sistemas" (System
Development Life Cycle - SDLC).
122
123
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
• Establece Políticas y Procedimientos para Permitir la Implementación de las Directivas
de la Gerencia: La gerencia establece las actividades de control a través de políticas
que establecen lo que se espera y procedimientos pertinentes especificando acciones,
que están incorporadas en los procesos de negocio y las actividades de los
empleados del día a día.
• Establece Responsabilidad para la Ejecución de Políticas y Procedimientos: La
gerencia establece la responsabilidad de las actividades de control con la gerencia (u
otro personal designado) de la unidad de negocio o función en la que residen los
riesgos relevantes.
• Se Desempeña Oportunamente: El personal responsable realiza actividades de
control oportunamente, según las políticas y procedimientos.
• Toma Acción Correctiva: El personal responsable investiga y actúa sobre temas
identificados como resultado de la ejecución de las actividades de control.
• Se Desempeña con Personal Competente: Las actividades de control son realizadas
por personal competente, con autoridad suficiente para realizarlas con diligencia y
atención continua.
• Re-evalúa Políticas y Procedimientos: La gerencia revisa periódicamente las
actividades de control para determinar su relevancia, y las refresca cuando sea
necesario.
Políticas y Procedimientos
Las políticas reflejan la declaración de la gerencia de lo que se debe hacer para efectuar el
control. Tales declaraciones pueden ser documentadas, declaradas explícitamente en una
125
Oportunidad
Los procedimientos deben incluir la fecha de cuándo se realiza una actividad de control y las
acciones correctivas de seguimiento. Los procedimientos fuera de tiempo pueden reducir la
utilidad de la actividad de control. Por ejemplo, una revisión periódica de las cuentas de
usuario para identificar derechos de acceso inadecuados se realiza oportunamente por el
propietario del proceso de negocio para reducir el riesgo de acceso no autorizado a un nivel
aceptable. Los intervalos más largos entre las revisiones aumentan el potencial para que la
detección de un acceso no autorizado no se haga a tiempo.
Acción Correctiva
Al realizar una actividad de control, los asuntos identificados para seguimiento deben
126
Competencia
Una actividad de control bien diseñada generalmente no puede llevarse a cabo sin personal
competente con la autoridad suficiente para realizar la actividad de control. El nivel de
competencia necesario para realizar una actividad de control dependerá de factores tales
como la complejidad de la actividad de control y de la complejidad y volumen de las
transacciones correspondientes. Por otra parte, el procedimiento no será útil si se realiza por
rutina, sin una fuerte y constante atención a los riesgos a los que se dirige la política. La
autoridad suficiente puede ser necesaria para cumplir plenamente todos los aspectos del
control, tales como la adopción de medidas correctivas.
Re-evaluación periódica
127
129
130
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
Requerimientos de Información
131
Ambiente de Control La gerencia realiza una encuesta anual de sus empleados en toda la
entidad para recopilar información acerca de su conducta personal en
relación con el código de conducta de la entidad. La encuesta es parte
de un proceso que genera información para apoyar el componente de
ambiente de control y también puede proporcionar información para la
selección, desarrollo, implementación o mantenimiento de las
actividades de control.
Evaluación del Riesgo Como resultado de los cambios en las demandas de clientes, la entidad
cambia su gama de productos y mecanismos de entrega. Las ventas en
línea ampliadas han causado que las transacciones de tarjetas de
crédito aumenten de manera significativa. Para evaluar el riesgo de
incumplimiento con la normativa de seguridad y privacidad relacionada
con la información de tarjetas de crédito, la gerencia recopila
información sobre el número de transacciones, el valor global y la
naturaleza de los datos conservados para el último año fiscal, y evalúa
su importancia en realizar su análisis del riesgo.
Actividades de Supervisión Una gran empresa de servicios públicos recopila, procesa y reporta los
registros de accidentes y lesiones relacionados con el equipo de
operación de generación de energía. Al comparar estos datos con la
evolución de las demandas de indemnización de seguro de salud de los
132
• Minutas o notas de las reuniones del comité • número de unidades vendidas en un mes
de operación
• Acciones en respuesta al consumo de energía
• Sistemas de información de tiempo de
personal • Factores que afectan las tasas de deserción
de clientes
• Informes de los sistemas de fabricación
• Horas incurridas en proyectos basados en el
• Respuestas a encuestas a clientes tiempo
133
134
135
136
137
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio
• Comunica Información de Control Interno: Un proceso está colocado para comunicar
la información necesaria para que todo el personal comprenda y realice sus
responsabilidades de control interno.
• Se Comunica con el Consejo: Existe comunicación entre la gerencia y el Consejo, por
lo que ambos tienen la información necesaria para cumplir sus funciones con respecto
a los objetivos de la entidad.
• Proporciona Líneas de Comunicación independientes: Los canales de comunicación
independientes, tales como líneas directas para denuncias, están colocadas y sirven
como mecanismos a prueba de fallas para permitir la comunicación anónima o
confidencial cuando los canales normales son inoperantes o ineficaces.
• Selecciona el Método Pertinente de Comunicación: El método de comunicación
considera la oportunidad, la audiencia y la naturaleza de la información.
139
140
Para que la información fluya hacia arriba, hacia abajo y a través de la organización, deben
haber canales abiertos de comunicación y una clara disposición para informar y escuchar. La
gerencia y otro personal deben creer que sus supervisores realmente quieren saber acerca
de los problemas y que se ocuparán de ellos según sea necesario. En la mayoría de los
casos, las líneas de subordinación normales establecidas en una entidad son canales de
comunicación adecuados. Sin embargo, el personal reconoce rápidamente las señales si la
gerencia no tiene el tiempo, el interés o los recursos para abordar los problemas que han
descubierto. Para agravar el problema, un gerente poco receptivo o no disponible suele ser el
último en enterarse de que el canal de comunicación normal es inoperante o ineficaz.
141
Método de Comunicación
Tanto la claridad como la eficacia de la información que se comunica son importantes para
garantizar que se los mensajes se reciben de la forma prevista. Las formas activas de
comunicación, como las reuniones cara a cara, son a menudo más eficaces que las formas
pasivas, tales como correos electrónicos y mensajes de difusión por la intranet. La
evaluación periódica de la eficacia de la comunicación ayuda a asegurar que los métodos
funcionan. Esto se puede hacer a través de una variedad de procesos existentes, tales como
las evaluaciones de desempeño del empleado, la revisión anual de la gerencia y otros
programas de retroalimentación.
La gerencia selecciona el método de comunicación, considerando la audiencia, la naturaleza
de la comunicación, la oportunidad, el costo y los requerimientos legales o regulatorios. La
comunicación puede adoptar la forma de:
• Cuadros de mando
• Mensajes de correo electrónico
• Adiestramiento en vivo o en línea
• Memorandos
• Debates individuales
142
143
144
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
Comunicación Externa
La comunicación se produce dentro de la entidad, y también con los que están fuera de ella.
Con canales de comunicación externos abiertos se puede proporcionar información
importante sobre los objetivos de la entidad a los accionistas u otros propietarios, socios
145
Comunicación Saliente
La comunicación a las partes externas permite que comprendan fácilmente los eventos,
actividades, u otras circunstancias que puedan afectar la forma en que interactúan con la
entidad. La comunicación de la gerencia a las partes externas envía un mensaje acerca de la
importancia del control interno de la organización mediante la demostración de las líneas de
comunicación abiertas. La comunicación a los proveedores externos y clientes apoya la
capacidad de la entidad para mantener un ambiente de control adecuado. Los proveedores y
clientes deben comprender plenamente los valores y culturas de la entidad. Se les informa
del código de conducta de la entidad y reconocen sus responsabilidades para ayudar a
garantizar el cumplimiento del código de conducta. Por ejemplo, la gerencia comunica los
controles relativos a las relaciones comerciales con los proveedores para la aprobación de un
nuevo proveedor y requiere que el proveedor reconozca su adhesión antes de aprobar una
orden de compra inicial con ese proveedor.
Las herramientas tecnológicas y de comunicación permiten que las partes externas tengan
acceso a foros públicos para publicar y hablar de los negocios, las actividades y los controles
de la entidad. Cuando una organización usa o autoriza a sus empleados a utilizar los foros
públicos, tales como las redes sociales y herramientas de comunicación sin restricciones
similares, la gerencia desarrolla e implementa controles que orientan las expectativas sobre
su uso adecuado para evitar poner en peligro los objetivos de la entidad.
146
147
La complejidad de las relaciones comerciales entre la entidad y las partes externas puede
surgir a través de proveedores de servicios y otros acuerdos de subcontratación, las
empresas conjuntas y alianzas, y otras transacciones que crean dependencias mutuas entre
las partes. Esta complejidad puede crear preocupaciones sobre cómo se realizan los
negocios entre las partes. En este caso, la organización crea canales separados de
comunicación a disposición de los clientes, proveedores y proveedores de servicios
subcontratados para que puedan comunicarse directamente con la gerencia y otro personal.
Por ejemplo, un cliente para productos desarrollados a través de una empresa conjunta
puede saber que uno de los socios de la empresa vendió productos en un país fuera de los
acuerdos del marco suscrito con la empresa conjunta. Tal incumplimiento puede afectar la
capacidad de los clientes para usar o vender los productos, lo que afecta el negocio del
cliente. El cliente necesita un canal por donde pueda comunicar sus preocupaciones a otros
en la organización sin interrumpir sus operaciones continuas.
Método de Comunicación
148
149
Al distinguir entre una actividad de supervisión y una actividad de control, las organizaciones
deben considerar los detalles subyacentes de la actividad, sobre todo cuando la actividad
implica un cierto nivel de revisión supervisora. Las revisiones de supervisión no se clasifican
150
151
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
153
Tasa de Cambio
La gerencia considera la tasa que una entidad, o la industria de la entidad, prevé que
cambiará. Una entidad en una industria que está cambiando rápidamente puede necesitar
evaluaciones individuales más frecuentes y puede reconsiderar la mezcla de las
evaluaciones continuas e individuales durante el período de cambio. Por ejemplo, los bancos
sometidos a reformas regulatorias financieras seleccionan y desarrollan actividades de
supervisión que se anticipan a los cambios y reaccionan al cambiante entorno regulatorio
futuro. Por lo general, una combinación de evaluaciones continuas e individuales validará si
los componentes del control interno se mantienen presentes y en funcionamiento.
Las actividades de supervisión pueden ser utilizadas para apoyar los informes externos
incluyendo afirmaciones de la gerencia sobre el sistema de control interno de la entidad, u
otras formas de informes de cumplimiento. Los requerimientos de informes externos o la
afirmaciones de la gerencia por lo general afectan la combinación de evaluaciones continuas
e individuales, y la manera cómo se seleccionan, desarrollan y realizan.
154
Evaluaciones Continuas
Las entidades con frecuencia utilizan la tecnología para apoyar las evaluaciones continuas.
Las técnicas computarizadas de supervisión continua tienen un alto nivel de objetividad (una
vez programadas y probadas) y permiten la revisión eficaz de grandes volúmenes de datos a
un bajo costo. Estas técnicas, junto con una robusta revisión y análisis de los resultados por
parte de personal experto y responsable, pueden dar lugar a un programa eficiente y eficaz
de evaluaciones continuas.
155
Una entidad de fabricación de tamaño medio ha puesto en marcha un proceso para realizar
una reunión de producción mensual a la que asistieron el supervisor de producción, el
gerente de inventario y el supervisor de planificación de demanda para revisar los niveles de
producción actuales y modificaciones al producto. El oficial de calidad asiste a esta reunión
de rutina. Como parte de la evaluación continua de los controles en el proceso de
planificación de la producción, el oficial de calidad evalúa la información obtenida en la
reunión para plantear preguntas de sondeo a la gerencia y otro personal para determinar si
se llevan a cabo los análisis y acciones apropiadas, dando seguimiento oportuno e
identificando tendencias inusuales o anomalías que pueden justificar investigaciones
inmediatas. Este oficial también utiliza la información obtenida y analizada durante la reunión
para recomendar modificaciones en las actividades de control relacionadas con el proceso de
planificación de la producción.
________________________________________________________
Las actividades de control integradas al proceso de procura usan software para automatizar
el análisis de todas las transacciones de pago. Una rutina de software integrada al proceso
de pago identifica inmediatamente cualquier transacción inusual en base a parámetros
preestablecidos (por ejemplo, posibles pagos duplicados). El supervisor de cuentas por pagar
investiga a diario las anomalías señaladas, determina las causas raíz, y evalúa y comunica
cualquier deficiencia de control interno a las personas responsables de tomar acciones
correctivas en el proceso de procura.
________________________________________________________
El departamento de recursos humanos ha desarrollado políticas y prácticas que apoyan el
compromiso de la organización para atraer, desarrollar y retener personal competente. Estas
prácticas incluyen el adiestramiento, tutoría, evaluación y otras que fomenten el desarrollo y
la promoción de los puestos gerenciales. Como parte de las políticas y prácticas de recursos
humanos de la entidad, los mentores del personal preparan y presentan semestralmente a
los supervisores de recursos humanos una revisión del desempeño real contra los niveles de
desempeño esperados y las normas de conducta de la persona asignada. El director de
personal asiste a estas presentaciones semestrales como parte de la evaluación continua de
las políticas y prácticas de recursos humanos y proporciona información objetiva y en tiempo
real de parte de supervisores y tutores acerca de la efectividad del proceso de revisión, el
cumplimiento de las leyes laborales, y las recomendaciones para la mejora de procesos
posteriores.
________________________________________________________
Una entidad autoriza a sus empleados de cuentas por pagar para procesar las facturas de
contratistas con un máximo de una variación del 5% de las cantidades especificadas para los
servicios de conformidad con los contratos ejecutados sin buscar la aprobación del
156
Evaluaciones Individuales
157
25 Algunos organismos externos pueden requerir que una entidad tenga una función de auditoría interna. Por ejemplo, la
Bolsa de Valores de Nueva York requiere que todas las empresas que lista sus valores en la bolsa deben tener una
función de auditoría interna (Manual para Compañías que Cotizan en NYSE 303A07 (d)).
158
26 Una entidad puede utilizar la norma ISO / IEC 27002. publicada por la Organización Internacional de Normalización
(International Organization for Standardization - ISO) y la Comisión Electrotécnica Internacional (International
Electrotechnical Commission - IEC), que establecen prácticas recomendadas para la gestión de seguridad de la
información para ser usadas por los responsables del diseño, implementación o mantenimiento de sistemas de gestión de
seguridad de la información.
159
Las entidades que utilizan proveedores de servicios externos para servicios tales como
alojamiento de terceros, alojamiento de Internet, procesamiento de reclamos de salud,
gestión de plan de jubilación o servicios de préstamo, deben comprender las actividades y
controles asociados a los servicios y cómo el sistema de control interno del proveedor de
servicios subcontratado afecta el sistema de control interno de la entidad.
Las entidades podrán utilizar los siguientes métodos para entender el sistema de control
interno del proveedor de servicios subcontratados:
• El usuario de servicios subcontratados puede realizar sus propias evaluaciones
individuales del sistema de control interno del proveedor de servicios subcontratados
relevante para la entidad. En estas circunstancias la entidad debe incorporar una
cláusula en su contrato con cualquier proveedor de servicio subcontratado para el
derecho a auditoría que permita su propia evaluación individual y acceso para visitar el
proveedor.
• La información pertinente en materia de control interno sobre un proveedor de
servicios subcontratados se puede alcanzar mediante la revisión de una auditoría o
informe independiente.27 Al revisar dichos informes, las organizaciones consideran el
contenido de las afirmaciones y testimonios para estar satisfechos de que los
controles del proveedor de servicios subcontratados interactúan con los controles de
la entidad. y que las pruebas y los resultados de los controles de los proveedores de
servicios subcontratados ofrecen suficiente comodidad a la entidad usuaria. Las
entidades también consideran el período de tiempo cubierto por una auditoría o
informe de examen independiente, ya que podría no coincidir o proporcionar la
cobertura completa que necesita la entidad. En estas circunstancias, la entidad debe
incorporar en su contrato con cualquier proveedor de servicios subcontratados un
requisito de una auditoría o informe de examen independiente.
• Al considerar circunstancias tales como la naturaleza y el alcance de la información
transferida entre las partes y la naturaleza del procesamiento y de los informes que
realiza al proveedor de servicios subcontratados, la entidad podría ser capaz de
determinar que el control interno sobre el procesamiento proporcionado por el
proveedor de servicios subcontratados es suficiente sin documentación adicional.
27 Ejemplos de afirmaciones para informes financieros externos incluyen un informe de Control de Organización de
Servicios (Service Organization Control - SOC) emitido de conformidad con la Declaración sobre Normas para
Compromisos de Atestación No 16 (SSAE 16 o SOC 1) del AICPA o el informe según la Norma Internacional sobre
Contratos de Aseguramiento 3402 (ISAE 3402).
160
Puntos de Enfoque
Los siguientes puntos de enfoque destacan las características importantes relacionadas con
este principio:
Evaluar Resultados
161
Los informes sobre deficiencias de control interno dependen de los criterios establecidos por
los reguladores, organismos normativos, y la gerencia y Consejos, según el caso. Los
resultados de las evaluaciones continuas e individuales se evalúan según los criterios para
determinar a quién informar y qué se informa. Por otra parte, los criterios establecidos por el
Consejo o la gerencia normalmente se basan en los hechos y circunstancias de la entidad,
así como en las leyes, reglamentos y normas establecidas.
Comunicar las deficiencias de control interno a las partes apropiadas para tomar acciones
correctivas es fundamental para que las entidades alcancen sus objetivos. Además, el
alcance y el enfoque de las evaluaciones, así como las deficiencias de control interno, deben
ser comunicadas a quienes realicen la evaluación global de la eficacia del control interno.
La naturaleza de los asuntos a ser comunicados varía en función de cómo se evalúa la
deficiencia de los criterios apropiados, la autoridad de los individuos para abordar las
circunstancias que se presentan y las actividades de vigilancia de los altos ejecutivos. Las
deficiencias pueden ser reportadas a la alta gerencia y al Consejo en función de los criterios
de notificación establecidos por los reguladores, organismos normativos o la entidad, según
el caso. Las deficiencias de control interno generalmente se reportan, tanto a los
responsables de tomar acciones correctivas, como a la gerencia que se encuentre al menos
un nivel por encima de esa persona.
Este mayor nivel de gerencia proporciona apoyo necesario o la vigilancia de la adopción de
las medidas correctivas, y está posicionada para comunicarse con otras personas en la
entidad cuyas actividades puedan verse afectadas. Cuando los hallazgos trascienden las
fronteras organizacionales, se presentan las deficiencias a todas las partes interesadas
pertinentes y a un nivel suficientemente alto para impulsar las medidas adecuadas. Por
162
163
El control interno, no importa que tan bien se diseñe, implemente y realice, solo puede
proporcionar aseguramiento razonable a la gerencia y al Consejo del logro de los objetivos
de una entidad. La posibilidad del logro es afectada por las limitaciones inherentes a todos
los sistemas de control interno. Estas incluyen las realidades de que el juicio humano para la
toma de decisiones puede tener fallas, que pueden surgir eventos externos ajenos al control
de la organización, y que pueden ocurrir averías debido a fallas humanas tales como cometer
errores. Además, los controles pueden ser eludidos por dos o más personas actuando en
colusión, y porque la gerencia puede anular el sistema de control interno.
El control interno ha sido visto por algunos observadores como un sistema que asegura que
la entidad no fallará, es decir, la entidad siempre alcanzará sus objetivos de operaciones,
informes y cumplimiento. En este sentido, el control interno a veces es visto como una
panacea para todos los males empresariales reales y potenciales. Este punto de vista es
erróneo. El control interno no es una panacea.
Al considerar las limitaciones del control interno, hay que reconocer dos conceptos distintos.
La primera serie de limitaciones reconoce que ciertos eventos o condiciones simplemente
están fuera del control de la gerencia. La segunda reconoce que ningún sistema de control
interno hará siempre lo que está diseñado para hacer. Lo mejor que se puede esperar en
cualquier sistema de control interno es que se obtenga un aseguramiento razonable, que es
el foco de este capítulo. Además, el control interno no puede proporcionar aseguramiento
absoluto para ninguna de las categorías de objetivos.
El aseguramiento razonable no implica que los sistemas de control interno con frecuencia
fallarán. Hay muchos factores que, individual y colectivamente, sirven para reforzar el
concepto de aseguramiento razonable. Los controles que admiten varios objetivos o que
efectúan varios principios dentro, o a través, de componentes, reducen el riesgo de que una
entidad no logre sus objetivos. Por otra parte, las actividades y responsabilidades de
operación cotidianas de las personas que funcionan en diferentes niveles de la organización
están dirigidas a alcanzar los objetivos de la entidad. De hecho, es probable que estas
actividades informen a la gerencia sobre el proceso que se sigue hacia los objetivos de
operaciones de la entidad, y apoyen el logro de los objetivos de cumplimiento e informes. Sin
embargo, debido a las limitaciones inherentes discutidas aquí, no hay garantía de que nunca
ocurrirá, por ejemplo, un evento incontrolable, un error o un incidente inadecuado. En otras
palabras, incluso un sistema eficaz de control interno puede experimentar fracasos. El
aseguramiento razonable no es un aseguramiento absoluto.
A pesar de estas limitaciones inherentes, la gerencia debe estar consciente de ellas en la
selección, desarrollo e implementación de controles que pueden, en la medida de lo posible,
minimizarlas.
165
El Marco especifica varias áreas que forman parte del proceso de gerencia, pero que no forman
parte del control interno. Entre ellas están las áreas que se relacionan con el proceso de
gobernabilidad que amplía el papel del Consejo más allá del control interno y la que establece
que los objetivos son requerimientos previos al control interno. Hay una dependencia establecida
en estas áreas, entre otras, para que también sea eficaz. Por ejemplo, los procesos de
gobernabilidad débiles de la entidad para la selección, desarrollo y evaluación de los miembros
del Consejo pueden limitar su capacidad de proporcionar una vigilancia adecuada del control
interno. Del mismo modo, los procesos ineficaces para la fijación de estrategia o el
establecimiento de objetivos, podrían desafiar la capacidad de la entidad para identificar
objetivos mal especificados, poco realistas o inadecuados. Un sistema de control interno no
puede abarcar todas las actividades realizadas por la entidad, y las deficiencias en estas áreas
pueden impedir que la organización tenga un control interno eficaz.
Juicio
La eficacia del control interno está limitada por las realidades de la fragilidad humana en la
toma de decisiones empresariales. Tales decisiones deben ser tomadas con juicio humano
en el tiempo disponible, basado en la información a la mano, sujeto a sesgos de gerencia y
bajo las presiones de conducir el negocio. Algunas decisiones basadas en el juicio humano
pueden más tarde, con la claridad de la retrospectiva, encontrarse que producen resultados
menos que deseables, y pueden ser necesario cambiarlas.
Eventos Externos
El control interno, incluso el control interno eficaz, opera en diferentes niveles para diferentes
objetivos. Para los objetivos relativos a la eficacia de las operaciones de la entidad, tales
como el logro de su misión, propuestas de valor (por ejemplo, la productividad, la calidad y el
servicio al cliente, los objetivos de rentabilidad y similares), el control interno no puede
proporcionar un aseguramiento razonable del logro cuando hay acontecimientos externos
que pueden tener un impacto significativo en el logro de los objetivos, y tal impacto no puede
ser mitigado a un nivel aceptable. En estas situaciones, el control interno sólo puede
proporcionar un aseguramiento razonable de que la organización está consciente del
progreso de la entidad, o su falta de progreso, hacia el logro de esos objetivos.
166
Incluso un sistema de control interno bien diseñado se puede averiar. El personal puede
entender mal las instrucciones, cometer errores de juicio, o cometer errores por descuido,
distracción, o porque se les pide centrarse en demasiadas tareas. Por ejemplo, un supervisor
del departamento responsable de investigar las excepciones puede simplemente olvidar o
dejar de perseguir una investigación lo suficiente como para ser capaz de hacer las
correcciones pertinentes. El personal temporal que ejecuta controles por vacaciones o
enfermedad de los empleados pueden no realizarlos correctamente. Los cambios en los
controles de aplicación de tecnología de información pueden ser implementados antes que el
personal haya sido entrenado para reconocer los indicadores de que algo puede no estar
funcionando como se diseñó.
Incluso una entidad con un sistema eficaz de control interno puede tener un gerente que está
dispuesto y es capaz de anular el control interno. El término "anulación por la gerencia" se
usa aquí con el significado de que se invalidan las políticas o procedimientos establecidos,
para fines ilegítimos, con la intención de obtener beneficios personales o una presentación
mejorada del desempeño o cumplimiento de una entidad. Un gerente de una división o
unidad operativa, o un miembro de la alta gerencia, puede anular el control por muchas
razones, tales como:
• Aumentar ingresos reportados para cubrir una disminución inesperada en la cuota de
mercado
• Mejorar ganancias reportadas para cubrir presupuestos poco realistas
• Aumentar el valor de mercado de la entidad antes de su oferta pública o venta
• Cumplir las proyecciones de ventas o ganancias para reforzar los pagos de bonos
atados al desempeño
• Cubrir violaciones de obligaciones asumidas con acreedores
• Ocultar la falta de cumplimiento de requerimientos legales
167
Colusión
La colusión puede dar lugar a deficiencias de control interno. Los individuos que actúan
colectivamente para perpetrar y ocultar una acción de detección a menudo pueden alterar la
información financiera o de otro tipo, de forma tal que no se puede detectar o prevenir
mediante el sistema de control interno. La colusión puede ocurrir, por ejemplo, entre un
empleado que realiza controles y un cliente, proveedor, u otro empleado de ventas y / o
gerencia de la unidad operativa, quienes podrían conspirar para eludir los controles de
manera que los resultados informados cumplen con los objetivos de presupuestos o
incentivos.
168
169
170
171
172
Partes Responsables
Cada individuo dentro de una entidad tiene un papel en la realización del control interno. Los
roles varían en la responsabilidad y el nivel de participación, como veremos a continuación.
173
174
Alta Gerencia
Director Ejecutivo
El director ejecutivo (CEO) es responsable ante el Consejo por el diseño, implementación y
realización de un sistema eficaz de control interno. En las entidades de propiedad privada,
sin fines de lucro u otras, el papel equivalente puede tener un título diferente, pero en general
cubre las mismas responsabilidades como se describe a continuación. Más que cualquier
otra persona, el CEO marca la pauta en la parte superior que afecta el ambiente de control y
todos los demás componentes del control interno.
175
176
Estas funciones de alta gerencia apoyan el CEO con respecto al control interno, en particular:
177
178
Las funciones de riesgo y control son parte de la segunda línea de defensa. Dependiendo del
tamaño y la complejidad de la organización, el personal dedicado a riesgo y control puede
apoyar la gerencia funcional para manejar diferentes tipos de riesgo (por ejemplo, operativos,
financieros, cuantitativos, cualitativos), proporcionando habilidades y orientación
especializada a la gerencia de primera línea y otro personal, así como evaluar el control
interno. Estas actividades pueden ser parte de una organización centralizada o corporativa
de una entidad, o se pueden configurar con una "línea punteada" subordinada a los jefes
funcionales. Las funciones de riesgo y control son fundamentales para la forma como la
gerencia mantiene el control de las actividades comerciales.
Las responsabilidades del personal de riesgo y control incluyen la identificación de riesgos
conocidos y emergentes, ayudando a la gerencia a desarrollar los procesos para gestionar
tales riesgos, comunicar y educar sobre estos procesos en toda la organización, y evaluar e
informar sobre la eficacia de tales procesos. El director de control / riesgos es responsable de
informar a la alta gerencia y al Consejo de los riesgos significativos para el negocio y si estos
riesgos se gestionan dentro de los niveles de tolerancia establecidos por la entidad, con un
adecuado control interno colocado. A pesar de estas importantes responsabilidades, el
personal de riesgo y control no es responsable de la ejecución de los controles, pero en
general apoyan la realización de los controles internos.
El consejo de los profesionales del derecho es clave para definir controles eficaces para el
cumplimiento de normativas y gestionar posibles demandas en organizaciones grandes y
179
Otro Personal
180
Auditores Internos
181
Partes Externas
Varias partes externas pueden contribuir con el logro de los objetivos de la entidad, ya sea
mediante la realización de actividades como proveedores de servicios subcontratados o
proporcionando datos o análisis al personal funcional / operativo. En ambos casos, la
gerencia funcional / operativa siempre conserva toda la responsabilidad por el control interno.
Los clientes, proveedores y otras partes comerciales de la entidad son una importante fuente
de información utilizada en la realización de las actividades de control. Por ejemplo:
• Un cliente puede informar a una empresa sobre retrasos de envíos, calidad de
producto inferior, o si falla en satisfacer las necesidades del cliente para el producto o
182
Auditores Independientes
183
Revisores Externos
Los especialistas en la materia pueden ser solicitados o recibir el mandato de examinar áreas
específicas de control de la organización. Reconociendo los distintos requerimientos o
expectativas de sus partes interesadas, una organización a menudo busca el asesoramiento
de expertos para traducirlas en políticas y procedimientos, así como en comunicaciones y
adiestramiento, y para evaluar el cumplimiento de los requerimientos y normas. Las prácticas
de seguridad en el trabajo, las preocupaciones ambientales y de comercio justo son algunos
ejemplos de áreas en las que una organización busca asegurar en forma proactiva que
cumple con los reglamentos y normas que la rigen. Ciertas áreas funcionales también
pueden ser revisadas para promover una mayor eficacia y eficiencia de las operaciones,
tales como las revisiones de cumplimiento, las pruebas de penetración de los sistemas de
información y las evaluaciones de las prácticas de contratación de personal.
Legisladores y Reguladores
Los legisladores y los reguladores pueden afectar los sistemas de control interno a través de
requerimientos específicos para establecer el control interno a través de la organización y / o
por medio de exámenes de determinadas unidades operativas. Muchas entidades han sido
objeto de requerimientos legales para el control interno. Por ejemplo, se espera que las
empresas que cotizan en la bolsa de valores de EE.UU. establezcan y mantengan un
sistema de control interno, y la legislación exige que los altos ejecutivos de las empresas que
cotizan en bolsa certifiquen la efectividad del control interno sobre la información financiera
de su empresa.
Varias regulaciones requieren que las empresas públicas establezcan y mantengan sistemas
de control interno sobre la contabilidad que cumplan los objetivos especificados. Varias leyes
y reglamentos aplicables a los programas de asistencia financiera, que abordan una gran
variedad de actividades desde derechos civiles hasta la gestión de tesorería, especifican los
procedimientos o prácticas de control interno. Varias agencias reguladoras examinan
directamente las entidades sobre las que tienen responsabilidad de supervisión. Por ejemplo,
ciertos examinadores bancarios federales y estatales realizan exámenes de los bancos, y a
menudo se centran en determinados aspectos de los sistemas de control interno de los
bancos. Estas agencias hacen recomendaciones y con frecuencia tienen la facultad de
184
185
Existen muchas opiniones diferentes sobre lo que constituye una entidad "más pequeña".
Algunos piensan que una ferretería local propiedad de una familia o la panadería de la
esquina son una pequeña empresa típica. Otros pueden pensar en una entidad sin fines de
lucro que genera varios millones de dólares en donaciones anuales. Otros pueden considerar
una pequeña entidad dentro del contexto de una empresa que ha sido pública desde hace
muchos años en la fabricación de un producto innovador, y que ahora genera ingresos
anuales de varios cientos de millones de dólares con la esperanza de que el crecimiento
futuro la catapulte a la categoría Fortune 500. Dependiendo de la perspectiva, cualquiera, o
todas éstas, pueden ser consideradas entidades "más pequeñas".
El Marco no proporciona una definición en términos de ingresos, capitalización, o de otros
factores, esta es la función de los reguladores y otras partes. En cambio, el término "más
pequeña" en lugar de "pequeña", sugiere que hay una amplia gama de entidades a las que
se aplican estas consideraciones. El documento se centra en las entidades más pequeñas
que tienen muchas de las características siguientes:
• Menos líneas de negocio y un menor número de productos dentro de las líneas
• Concentración de enfoque de mercadeo por canal o geografía
• Liderazgo gerencial con participación accionaria o con derechos significativos
• Menos niveles de gerencia con alcances más amplios de control
• Sistemas de procesamiento de transacciones menos complejas
• Menos personal, muchos con una gama más amplia de funciones
• Capacidad limitada para mantener recursos profundos en línea, así como puestos de
personal de apoyo, tales como recursos humanos, legal, contabilidad y auditoría
interna
La última línea de la lista, una capacidad limitada para mantener recursos profundos, es una
explicación frecuente del por qué las entidades más pequeñas se encuentran más bajas en
la curva de economías de escala. A menudo, pero no siempre, las entidades más pequeñas
tienen un mayor costo por unidad de producción de un producto o prestación de un servicio.
Por otro lado, muchas entidades más pequeñas logran una ventaja competitiva en el ahorro
de costos a través de la innovación, un menor costo fijo (mediante la retención de un menor
número de personas y la sustitución de costos fijos por variables a través de una fuerza de
trabajo a tiempo parcial o con planes de compensación variable), y el enfoque más estrecho
en términos de producto, ubicación y complejidad.
187
188
Muchas entidades más pequeñas tienen un número limitado de empleados que realizan
diversas funciones, que a veces se traduce en la inadecuada segregación de funciones. Sin
embargo, hay acciones que la gerencia puede tomar para compensar esta circunstancia. Los
siguientes son algunos tipos de controles que se pueden implementar:
• Revisar informes de transacciones detalladas: Los gerentes revisan en forma regular y
oportuna los informes del sistema de las transacciones detalladas.
• Revisión de Transacciones Seleccionados: Los gerentes seleccionan operaciones
para revisar los documentos justificativos.
• Observar Periódicamente los Activos: Los gerentes conducen periódicamente
recuentos de inventario físico, equipo y otros activos y los comparan con los registros
contables.
• Verificar Reconciliaciones: De vez en cuando, los gerentes revisan las reconciliaciones
de saldos de cuentas, tales como efectivo, cuentas por pagar y cuentas por cobrar, o
las realizan de forma independiente.
Muchas entidades más pequeñas están dominadas por el fundador o un líder que ejerce una
gran discreción y proporciona orientación personal a otros miembros del personal. Esta
posición puede ser clave para permitir a la entidad cumplir con su crecimiento y otros
objetivos, y también puede contribuir significativamente al control interno eficaz. Con el
profundo conocimiento que este líder posee de las diferentes facetas de la entidad, sus
operaciones, procesos, políticas y procedimientos, compromisos contractuales y los riesgos
del negocio, él o ella está en condiciones de saber qué esperar en los informes generados
por el sistema y hacer el seguimiento según sea necesario. Tal concentración de
conocimiento y autoridad, sin embargo, viene con un inconveniente: el líder normalmente
también es capaz de eludir los controles.
Hay algunas cosas básicas pero importantes que pueden ayudar a mitigar el riesgo de que la
gerencia eluda los controles:
189
Consejo de Directores
190
Tecnología de la Información
Muchas entidades más pequeñas no tienen los amplios recursos técnicos necesarios para
seleccionar, desarrollar y desplegar aplicaciones de software de una manera controlada. Por
lo tanto, estas entidades consideran alternativas para satisfacer sus necesidades de
procesos de negocio y control interno.
Muchas pequeñas entidades utilizan software desarrollado y mantenido por otros. Estos
paquetes todavía requieren su implementación y operación controlada, pero se reducen
muchos de los riesgos asociados a los sistemas desarrollados internamente. Por ejemplo,
por lo general hay menos necesidad de controles de cambio de programa, ya que los
cambios se llevan a cabo exclusivamente por el desarrollador, y en general el personal de
una entidad más pequeña no tiene los conocimientos técnicos para intentar modificaciones
en el programa autorizado.
Los paquetes de software desarrollados comercialmente pueden aportar ventajas
adicionales. Estos paquetes pueden proporcionar servicio integrado para controlar que los
empleados puedan acceder o modificar datos especificados, realizar controles de integridad
y exactitud de procesamiento de datos, y mantener la documentación relacionada.
Actividades de Supervisión
Las actividades de supervisión de rutina realizadas por los gerentes que manejan una
empresa pueden proporcionar información sobre la presencia y el funcionamiento de otros
componentes y principios relevantes. La gerencia de muchas entidades más pequeñas
realizan regularmente este tipo de actividades, pero no siempre han tenido suficiente crédito
por su contribución a la eficacia del control interno. Estas actividades, que generalmente se
realizan de forma manual y a veces con el apoyo de programas informáticos, deben
considerarse íntegramente en el diseño, implementación y realización de control interno y la
evaluación de la efectividad del control interno.
191
Antecedentes
Enfoque
193
Dentro de cada fase del proyecto y entre fases, como era de esperar, se expresaron muchas
observaciones o recomendaciones sobre cuestiones fundamentales relacionadas con el control
interno, a veces diferentes y a veces contradictorias. PwC, con la vigilancia del Consejo de COSO,
examinó cuidadosamente los méritos de las posiciones presentadas, tanto individualmente como
dentro del contexto de las cuestiones conexas, y revisó el marco para ayudar a la elaboración de
una publicación pertinente, lógica y coherente internamente sobre control interno.
194
Como se indica en el Anexo D, Metodología para la Modificación del Marco, un borrador del
Marco que se publicó para comentarios del público desde el 19 de diciembre 2011 hasta el
31 de marzo de 2012. Hubo más de 100 respuestas públicas a la encuesta en línea y 96
cartas de comentarios públicos relacionados con este borrador. Estas cartas contenían más
de 1000 comentarios sobre muchos aspectos del Marco actualizado y cada comentario fue
considerado en futuras modificaciones.
También se invitó a las partes interesadas a presentar observaciones sobre el Marco durante
los 78 días de exposición pública del Control Interno sobre Información Financiera Externa:
Un Compendio de Enfoques y Ejemplos. Recibiendo respuestas a las preguntas de la
encuesta en línea y veintitrés cartas de comentarios públicos relacionadas con la versión
posterior a la exposición pública del Marco.
Este apéndice presenta un resumen de las observaciones más importantes y las
modificaciones resultantes en el Marco derivadas de estos períodos de exposición. Muchos
de los encuestados estuvieron de acuerdo con COSO, sobre la expectativa de que los
cambios en el Marco ayudarán a fortalecer la gestión de los actuales sistemas de control
interno, respondiendo a muchos cambios en los entornos de negocio y operación en los
últimos veinte años, codificando los principios relacionados con los cinco componentes de
control interno, y ampliando el objetivo de informes para incluir otras formas importantes de
informes. Hubo opiniones divergentes en cuanto a si las actualizaciones del Marco
establecerían un umbral más alto para lograr un control interno eficaz, imponiendo cargas
adicionales a las entidades que reportan sobre el control interno, y si debería incorporar otros
aspectos de la gestión del riesgo empresarial.
Mientras que algunos de los encuestados buscaban cambios fundamentales en el Marco,
otros reconocieron que el Marco sigue siendo relevante y útil hoy en día, y se debe utilizar
como base para una actualización en las áreas seleccionadas, como veremos a
continuación.
195
Principios
196
Eficacia
Algunas personas sugirieron que el control interno eficaz puede proporcionar a la gerencia y
al Consejo más de una comprensión de la medida en que las operaciones se gestionan con
eficacia. Algunos encuestados indicaron que si los objetivos de operaciones se especifican
con suficiente claridad, y las limitaciones impuestas por los acontecimientos externos no son
importantes o pueden ser mitigadas a un nivel aceptable, el control interno puede
proporcionar un aseguramiento razonable de lograr los objetivos de operaciones.
El Marco ha sido actualizado para reconocer que cuando se considera que es poco probable
que los acontecimientos externos tengan un impacto significativo en el logro de los objetivos,
o cuando la organización pueda predecir razonablemente la naturaleza y el calendario de
eventos externos y mitigar el impacto a un nivel aceptable, el control interno puede
proporcionar un aseguramiento razonable de que las operaciones se están gestionando con
eficacia.
Sin embargo, todavía puede haber casos donde los acontecimientos externos pueden tener
un impacto significativo en el logro de los objetivos y el impacto no puede ser mitigado a un
nivel aceptable. En tales casos, el control interno eficaz sólo puede proporcionar a la
gerencia y al Consejo una comprensión de la medida en que las operaciones se gestionan
con eficacia.
Principios Relevantes
197
Los encuestados también pidieron aclaraciones sobre el requisito de que los componentes
operen juntos. En el capítulo 3 se presenta una definición y mayor discusión sobre
componentes operando juntos.
Puntos de Enfoque
Algunos encuestados sugirieron eliminar las no conformidades mayores y menores, y el uso de una
terminología coherente para todas las categorías de objetivos en el Marco. Algunos sugirieron el uso
de términos "deficiencias significativas" y "debilidad material" para todas las categorías.
El Marco presenta una terminología revisada cuando se hace referencia en general a la severidad
de las deficiencias, y utiliza los términos "deficiencias de control interno" y "deficiencias importantes".
Sin embargo, para ciertos objetivos, el Marco reconoce que la gerencia debe utilizar solamente los
criterios relevantes establecidos en las leyes, reglamentos y normas con respecto a la clasificación
de la severidad de las deficiencias de control interno.
198
Objetivos
Salvaguarda de Activos
Algunos encuestados sugirieron incluir la salvaguarda de los activos como una categoría de
objetivos basados en las leyes establecidas, normas y reglamentos. Otros sugirieron que la
salvaguarda de los activos es parte de cada categoría de objetivos.
El Marco conserva la salvaguarda de los activos como objetivo de operaciones, de acuerdo
con el marco original. El Marco Integrado de Control Interno, Anexo para Partes Informantes
(Mayo 1994) afirmó que la definición de control interno se refiere a los objetivos de
operaciones, cumplimiento e información financiera, según lo establecido en el marco original
y sigue siendo apropiado. El anexo también concluyó que cuando la gerencia informa del
control interno sobre la información financiera, existe una expectativa razonable de que tales
informes describen los controles para ayudar a preparar los estados financieros y evitar, o
detectar a tiempo, cualquier procura, uso o disposición de los activos.
El Marco reconoce que algunas leyes, reglamentos y normas han establecido la salvaguarda
de los activos como una categoría separada de objetivo. Cuando la gerencia informa sobre el
sistema de control interno de la entidad, pueden haber establecido objetivos o sub-objetivos
relacionados con la seguridad física, la prevención o detección oportuna de procura, uso o
disposición de los bienes. El Marco mantiene la opinión de que la salvaguarda de los activos
se relaciona principalmente con las operaciones, pero puede ser visto dentro del contexto de
las categorías de objetivos de informes y cumplimiento.
199
Algunos encuestados pidieron una mayor integración de los conceptos de gestión del riesgo
empresarial dentro de control interno, en particular, la búsqueda de una discusión más
amplia de la tolerancia al riesgo y la adición del apetito de riesgo. Algunos también buscaron
una fusión del Marco GRE de COSO con el Marco. Otros apoyaron mantener las dos
estructuras independientes y distintas.
El Consejo de COSO consideró la fusión de los dos marcos y decidió mantenerlos separados
y distintos. En consecuencia, la estrategia de fijación de estrategia, los objetivos estratégicos
y el apetito de riesgo quedan como parte del Marco GRE. El Marco mantiene la definición del
apetito de riesgo y la aplicación de la tolerancia al riesgo, y conserva el establecimiento de
estrategias como condición previa del control interno.
El Marco amplía el Prólogo para reconocer que los dos marcos están diseñados para ser
complementarios, no sustituir al otro. El Marco incluye una discusión de los conceptos que se
solapan en el Apéndice G.
Algunos encuestados pidieron orientación expandida sobre las entidades más pequeñas y
los gobiernos. Algunos sugirieron que el Marco específicamente resaltara las diferencias de
aplicación a dichas entidades. Otros sugirieron que la longitud del documento es
potencialmente abrumadora para organizaciones más pequeñas.
200
Tecnología
Algunos entrevistados comentaron, en general, sobre la expansión de la orientación sobre
tecnología en el Marco. Otros sugirieron incluir temas detallados de tecnología, como
respaldo y recuperación, en el Principio 11, Selecciona y Desarrolla Controles Generales
sobre Tecnología. Y otros sugirieron añadir riesgos detallados relacionados con las iniciativas
actuales de la tecnología, tales como la computación en nube o las técnicas de auditoría
continua. Algunos recomendaron hacer referencia a, o incorporar, otros marcos establecidos
específicamente referidos a controles de la tecnología y otras consideraciones.
El Marco incluye una mayor discusión sobre la tecnología, tanto en los puntos de enfoque
como en varios capítulos. El Marco no incluye un amplio debate sobre las iniciativas actuales
de la tecnología específica o los riesgos asociados a los mismos, debido a la naturaleza
cambiante de la tecnología y la preocupación de que el Marco puede llegar a ser anticuado.
El Marco no hace referencia explícita de otros marcos centrados en la tecnología por su
nombre.
Estructura y Diseño
Algunos de los encuestados expresaron su preocupación por la longitud del Marco y
sugirieron presentar únicamente los requerimientos de control interno. Otros sugirieron
modificar la estructura para destacar los requerimientos frente a la orientación suplementaria.
El Consejo de COSO sigue creyendo que el Marco comprende todos los capítulos. Sin
embargo, el Consejo reconoce la importancia de establecer claramente que los componentes
y principios relevantes son los requerimientos de un sistema eficaz de control interno.
Debido Proceso
Algunos de los encuestados pusieron en duda la suficiencia de las actividades del debido
proceso alrededor de la iniciativa de COSO para actualizar el Marco, sugiriendo por ejemplo,
que PwC y COSO realizan labores de divulgación adicional y consultas públicas antes de
publicar el Marco. El Consejo de COSO considera que el nivel amplio de actividades en los
últimos años han capturado un amplio abanico de puntos de vista sobre las modificaciones
propuestas al Marco que se describe en el Apéndice D, Metodología para la Modificación del
Marco. Como parte de este enfoque, PwC y COSO:
201
COSO considera que ha habido un esfuerzo sustantivo en el debido proceso para capturar
puntos de vista sobre los cambios propuestos al Marco y Apéndices, a Control Interno sobre
Información Financiera Externa: Un Compendio de Enfoques y Ejemplos, y a Herramientas
Ilustrativas para Evaluar la Eficacia de un Sistema de Control Interno.
202
203
204
Logro de Objetivos
El marco original observó que el control interno puede ser juzgado eficaz en cada una de las
tres categorías, respectivamente, si el Consejo y la gerencia tiene un aseguramiento
razonable de que:
• Ellos entienden el grado en que se están alcanzando los objetivos de operaciones de
la entidad
• Los estados financieros publicados se preparan de manera confiable
• Las leyes y reglamentos aplicables se cumplen
El marco original señaló que el logro de los objetivos de operaciones no está siempre dentro
del control de la entidad. Para estos objetivos de operaciones, el sistema de control interno
sólo puede proporcionar un aseguramiento razonable de que la gerencia, y en su función de
vigilancia, el Consejo, se hacen conscientes en el momento oportuno de la medida en que la
entidad está avanzando hacia esos objetivos.
El Marco reconoce que el logro de algunos objetivos de operaciones no está siempre dentro
del control de la organización y en tales casos mantiene la opinión expresada en el marco
original. El Marco también reconoce que cuando es poco probable que los eventos externos
tengan un impacto significativo en el logro de los objetivos especificados, una organización
puede ser capaz de obtener aseguramiento razonable de que esos objetivos se pueden
lograr.
Ambiente de Control
En las dos décadas transcurridas desde la publicación de la estructura original en 1992, una
serie de factores han señalado la necesidad de una actualización sobre lo que se debe
considerar al establecer un ambiente de control sensato. En la actualidad existe una mayor
complejidad en los modelos de negocio, con empresas que se extienden a una amplia red de
205
206
Desde 1992, la atención que se presta al riesgo y al componente de evaluación del riesgo de
control interno ha seguido aumentando, con el riesgo y el control más estrechamente
alineados. Por consiguiente, muchas organizaciones han cambiado su forma de pensar lejos
de ser prescriptivas, para adoptar un enfoque de control interno más basado en el riesgo.
Algunos usuarios del marco inicial sugirieron que se necesitaban cambios para mejorar la
comprensión de los riesgos y su relación con el sistema general de control interno. En la
medida que las empresas adoptan programas de gestión del riesgo empresarial y gestión del
riesgo, también buscan una mayor claridad de cómo considerar las evaluaciones de riesgos
dentro del contexto del control interno, y qué aspectos de la gestión del riesgo siguen siendo
gradual con el control interno.
Los usuarios también observaron que casi la mitad del capítulo original sobre la evaluación
del riesgo se centró en los objetivos, y que este enfoque no era necesario si la fijación de
objetivos fuese verdaderamente una condición previa para el control interno. Muchas
organizaciones han ampliado sus esfuerzos de información, incluyendo muchos otros tipos
de información externa más allá de la información financiera. Por último, a menudo en
respuesta a los acontecimientos que ocurren dentro de sus organizaciones, la industria, o
dentro de la comunidad de negocios en general, y como resultado de la expansión de las
presiones legislativas en algunas jurisdicciones, muchas organizaciones también han
aumentado sus esfuerzos en materia de lucha contra el fraude.
Por lo tanto, el Capítulo 6, Evaluación del Riesgo, refleja estos cambios fundamentales a
través de:
• Re-posicionar gran parte de la discusión sobre la fijación de objetivos, que se sigue
considerando como una condición previa a la evaluación del riesgo, al Capítulo 2,
Objetivos, Componentes y Principios, y ya no incluye la discusión sobre categorías de
objetivos, la vinculación entre los objetivos y el logro de los objetivos en el
componente de Evaluación del Riesgo
• Centrar el componente de Evaluación del Riesgo en la articulación de los objetivos
relacionados con las operaciones, informes y cumplimiento con la suficiente claridad
para que los riesgos hacia los objetivos puedan ser identificados y evaluados, y
considerando la necesidad de evaluar la idoneidad de los objetivos para su uso como
base para evaluar los eficacia
207
Actividades de Control
Desde 1992, la evolución del papel de la tecnología en los negocios ha sido quizás más
evidente en la ejecución de las actividades de control. Mientras que los conceptos
fundamentales en torno a actividades de control establecidos en el marco original no han
cambiado, la tecnología ha cambiado muchos de los detalles. Hoy en día, la tecnología de la
información está mucho más integrada en los procesos de negocio a través de cualquier
entidad. La variedad de tecnologías que se utilizan en la mayoría de las entidades ha crecido
más allá de los sistemas de información centralizados en gran medida en el centro de datos
propio de una organización de innumerables tecnologías descentralizadas, móviles,
inteligentes y habilitadas para la web, cada vez más situadas en organizaciones de servicios
de terceros. Además, el reciente énfasis en la mejora de los controles en las organizaciones,
que ha sido provocada por el mercado y la regulación, ha llevado a una comprensión más
profunda de cómo las actividades de control son diseñadas e implementadas con eficacia.
Por lo tanto, en el Capítulo 7, Actividades de Control, los cambios clave incluyen:
• Ampliar el debate a fin de reflejar la evolución de la tecnología desde 1992 (por
ejemplo, reemplazando los conceptos de centro de datos con una discusión más
general sobre la infraestructura de la tecnología)
208
Información y Comunicación
209
Actividades de Supervisión
Al aplicar el marco original, los usuarios a menudo centraron sus esfuerzos de supervisión en
las actividades de control. Con el cambio en los requerimientos de informes regulatorios en
muchas jurisdicciones, las organizaciones han comenzado a considerar el seguimiento en su
contexto más amplio y pretendido: ayudar a la gerencia en la comprensión de cómo se están
aplicando todos los componentes del control interno y si el sistema general de control interno
funciona de manera eficaz. Para mejorar la coherencia interna entre los componentes en el
Marco y hacer la discusión más práctica, el título de este componente ha sido actualizado a
Actividades de Supervisión y la discusión se ha mejorado.
Los cambios en los principios del Marco no alterarán sustancialmente los enfoques
desarrollados para la Orientación sobre la Supervisión de Sistemas de Control Interno de
COSO.
En el capítulo 9, Actividades de Control, los cambios clave incluyen:
• Refinar la terminología, donde las dos categorías principales de las actividades de
supervisión ahora se conocen como "evaluaciones continuas" y "evaluaciones
individuales"
• Agregar la necesidad de una comprensión básica en el establecimiento y la evaluación
de las evaluaciones continuas e individuales
• Expandir la discusión sobre el uso de la tecnología y los proveedores de servicios externos
210
El marco original contenía un capítulo que presentaba la definición de control interno, los
componentes del control interno, la relación de los objetivos y componentes, y la eficacia. En
el Marco, estos temas se tratan en tres capítulos diferentes: el capítulo 1, Definición de
Control Interno define el control interno, el Capítulo 2, Objetivos, Componentes y Principios,
se analizan los componentes del control interno y la relación de los objetivos, componentes y
principios; y en el Capítulo 3, Control Interno Eficaz, considera los requerimientos para
evaluar la eficacia de un sistema de control interno. Además, el Capítulo 4, Consideraciones
Adicionales, analiza el juicio de la gerencia, los puntos de enfoque, el costo en comparación
con los beneficios del control interno, la evolución del papel de la tecnología, la
documentación, y la aplicación del control interno en las entidades más grandes contra más
pequeñas.
211
La gestión de riesgos empresariales es más amplia que el control interno, elaborando sobre
el control interno y centrándose más directamente en el riesgo. El control interno es una parte
integral de la gestión del riesgo empresarial, mientras que la gestión del riesgo empresarial
es parte del proceso general de gobernabilidad. Esta relación se muestra en la siguiente
ilustración.
213
Control Interno
La publicación del Marco Integrado de Gestión del Riesgo Empresarial se mantiene vigente
para las entidades y otros que buscan la gestión del riesgo empresarial en términos
generales.
Categorías de Objetivos
Tanto el Marco Integrado de Control Interno como el Marco Integrado de Gestión del Riesgo
Empresarial cubren todos los informes elaborados por la entidad, difundidos tanto a nivel
interno como externo. Estos incluyen informes de uso interno por la gerencia y los emitidos a
las partes externas, incluidas las solicitudes de registro e informes a otros partes interesadas.
Las dos publicaciones manejan categorías de objetivos diferentes. Mientras que ambas
especifican tres categorías de objetivos de operaciones, informes y cumplimiento, Marco
GRE añade una cuarta categoría: objetivos estratégicos (se ilustra en el diagrama a
continuación). Los objetivos estratégicos operan a un nivel más alto que los demás. Se
derivan de la misión o de la visión de la entidad, y los objetivos de operaciones, informes y
cumplimiento, deben estar alineado con ellos. Se aplica la gestión del riesgo empresarial en
la creación de estrategias, así como en el trabajo hacia el logro de los objetivos de las otras
tres categorías.
Un principio fundamental de la gestión del riesgo empresarial es que cada entidad existe
para proporcionar valor a sus partes interesadas. Los objetivos estratégicos reflejan la
elección de la forma como la gerencia de la entidad tratará de crear valor para sus partes
interesadas. Los objetivos relacionados (en referencia a los objetivos de operaciones,
informes y cumplimiento en el Marco GRE) se derivan de estos objetivos estratégicos. Si bien
214
Visión de Cartera
La gestión del riesgo empresarial requiere considerar los riesgos compuestos desde la
perspectiva de la cartera. Este concepto no se contempla en el Marco Integrado de Control
Interno, que se centra en el logro de los objetivos de manera individual. El control interno no
exige que la entidad desarrolle una visión de cartera.
215
Unidad de Negocio
Entorno Interno
Nivel de Entidad
Función
Fijación de Objetivos
Identificación de Eventos
Expandido a 3
Evaluación del Riesgo
División
Componentes
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Supervisión
Marco Integrado de Control Interno Marco Integrado de Gestión del Riesgo Empresarial
El componente de fijación de objetivos del Marco GRE considera el proceso usado por la
gerencia y el Consejo para fijar los objetivos de operaciones, informes y cumplimiento. Fijar
el apetito de riesgo y la tolerancia al riesgo son principios fundamentales de la gestión del
riesgo empresarial. Por el contrario, el control interno considera que la fijación de objetivos y
la tolerancia al riesgo son condiciones previas para un sistema eficaz de control interno.
216
Ambiente de Control
• Demuestra
compromiso con la
competencia
• Hace cumplir las
responsabilidades
Al analizar el componente Ambiente de Control, el Marco GRE trata (en el capítulo titulado
Entorno Interno) la filosofía de gestión del riesgo de la entidad, que es el conjunto de
creencias y actitudes que caracterizan cómo la entidad considera los riesgos compartidos, lo
que refleja sus valores y la influencia de su cultura y estilo de funcionamiento. Como se ha
descrito anteriormente, el Marco abarca el concepto de apetito de riesgo de la entidad, que
está apoyado por las tolerancias de riesgo más específicas.
Debido a la importancia crítica del Consejo y su composición, el Marco GRE amplía la
convocatoria por una masa crítica de directores independientes (normalmente al menos dos)
estableciendo que para que la gestión del riesgo empresarial sea eficaz, el Consejo debe
tener al menos una mayoría de consejeros externos independientes.
217
El Marco GRE y el Marco Integrado de Control Interno, ambos reconocen que los riesgos se
producen en todos los niveles de la entidad y son el resultado de una serie de factores
internos y externos. Ambos marcos consideran la identificación de riesgos dentro del
contexto del potencial impacto en el logro de los objetivos.
El Marco GRE analiza el concepto de eventos potenciales, y define evento como un incidente
o suceso procedente de fuentes internas o externas que afecta la implementación de
estrategias y el logro de los objetivos. Los eventos potenciales con impacto positivo
representan oportunidades, mientras que aquellos con impacto negativo representan riesgos.
El Marco se centra en la identificación de riesgos y no incluye el concepto de la identificación
de oportunidades como la decisión de buscar oportunidades como parte del proceso más
amplio de establecimiento de una estrategia.
Mientras que ambos marcos requieren la evaluación del riesgo, el Marco GRE sugiere ver la
evaluación del riesgo a través de una lente más nítida. Los riesgos se consideran como
inherentes y residuales, preferentemente expresados en la misma unidad de medida
establecida para los objetivos a los que los riesgos se relacionan. Los horizontes de tiempo
deben ser coherentes con las estrategias de la entidad, los objetivos, y cuando sea posible,
con los datos observables. El Marco GRE también llama la atención sobre los riesgos
relacionados entre sí, que describe cómo un solo evento que puede crear múltiples riesgos.
Como se ha señalado, la gestión del riesgo empresarial abarca la necesidad de tener una
vista de cartera a nivel de entidad, donde los gerentes de la unidad de negocio, función,
proceso, u otras actividades, tienen las responsabilidad de realizar una evaluación
compuesta del riesgo de las unidades individuales.
Al igual que el Marco Integrado de Control Interno, el Marco GRE identifica cuatro categorías
de respuesta al riesgo: evitar, reducir, compartir y aceptar. Sin embargo, la gestión del riesgo
empresarial requiere una consideración adicional: las respuestas potenciales de estas
categorías con la intención de alcanzar un nivel de riesgo residual alineado con la tolerancia
al riesgo de la entidad. La gerencia también considera como parte de la gestión del riesgo el
efecto agregado de sus respuestas a los riesgos a través de la entidad y en relación con el
apetito de riesgo de la entidad.
218
Ambos marcos presentan las actividades de control como aquellas que ayudan a asegurar
que las respuestas al riesgo de la gerencia se llevan a cabo. El Marco Integrado de Control
Interno presenta una visión más actual de la tecnología y su impacto en la gestión de una
entidad.
Información y Comunicación
El Marco GRE tiene una visión más amplia de la información y la comunicación, destacando
los datos derivados de eventos pasados, presentes y potenciales futuros. Los datos
históricos permiten a la entidad seguir los resultados reales contra los objetivos, planes y
expectativas, y proporciona información detallada sobre la forma en que la entidad se
desempeñó en los períodos bajo diversas condiciones. Los datos actuales proporcionan
importante información adicional y datos sobre posibles eventos futuros y los factores
219
Actividades de Supervisión
Ambos marcos presentan las actividades de supervisión como aquellas que ayudan a
asegurar que los componentes del control interno y de gestión del riesgo empresarial siguen
funcionando y se mantienen en el tiempo adecuado. El Marco Integrado de Control Interno
presenta una visión más actual de supervisión utilizando información de base y el
seguimiento de los proveedores de servicios externos.
220