w

Control lnterno E Marco Integrado

Marco y Apéndices

.'il:d
Copyrighto20l3byCommitteeofSponsoringOrgan¡zat¡onsoftheTreadwayCommission,("COSO")strictlyreserved. No
parts of this mater¡al may be reproduced in any form without the written permiss¡on of COSO.

Perm¡ssion has been obtained from the copyright holder, Committee ofSponsor¡ng Organizations oftheTreadway Com-
m¡ssion to publish this translation, which is the same in all mater¡al respects, as the original unless approved as changed.
No parts of this document may be reproduced, stored in any retrieval system, or transm¡tted ¡n any form, or by any means
electron¡c, mechanical, photocopying, recording, or otherwise, without prior wr¡tten permission of COSO.

tsBN 978-84-940290-9-7

Copyr¡ght @ 20'! 3 del Committee of Sponsoring Organizations of the Treadway Commission, ("COSO"). Este material no será
reproducido total o parcialmente de ninguna forma sin autorización por escrito de COSO.
EI lnstituto de Auditores lnternos de España ha obtenido del propietario del Copyright, el Committee of Sponsoring Orga-
nizations of theTreadway Commission, ("COSO"), permiso para publicar esta traducción, cuyo contenido es el mismo que
el original, salvo los cambios aprobados. Este documento, en su totalidad o parte, no puede ser reproducido, almacenado o
remitido de forma electrónica, mecánica, fotocopia, grabación o cualquier otra sin permiso por escrito de COSO.
Committee of Sponsoring Organizations of the Treadway Commission

Se"nü,É@,,l l;aterno - Marce lnteg.Éado

Ma¡eo !¿ A,p,énd,ices

.llii§::l::]ffi:a
.;§5lili&rl;rij
i{ili:ir]]p4.É::l
ll,§,::l¡,'ffili$
Este proyecto fue encargado por COSO, que se dedica a proporcionar el pensamiento
de liderazgo mediante el desarrollo de marcos y orientaciones generales sobre el control
interno, la gestión del riesgo empresarial, y disuasión del fraude diseñada para mejorar el
desempeño organizacional y la supervisión y reducir el grado de fraude en las organiza-
ciones. COSO es una iniciativa del sector privado, patrocinado y financiado conjunta-
mente por:

. American Accounting Association (AAA)

. American lnstitute of Certified Public Accountants (AICPA)

o lnstitute of Management Accountants (lMA)

¡ Committee of Sponsoring Organizations of
the Treadway Commission

r Miembros del Consejo

David L. Landsittel Mark S. Beasley Richard F. Chambers
coso
Presidente de rhe Institute or tnternat Auditors
?3!iP,l?i *!,ÍÍ.Yi[t
t "o"iution

Gharles E. Landes Marie N. Hollein Sandra Richtermeyer

Certified
American Institute of Financial Executives lnternational Jeffrey C. Thomson
public Accountants lnstitute of Management
Accountants

PwC-Autor
Princi pa les Colaboradores

Miles E.A. Everson Stephen E. Soske Frank J. Martens

Leader proiect Lead partner project Lead Director
i, Flgagement
Nueva York, EE.UU. Boston, EE.UU. Vancouver, Canadá

Cara M. Beston Gharles E. Harris J. Aaron Garcia

_ Pañner Pañner Director
I San José, EE.UU Florham Park, EE.UU. San Diego, EE.UU

Catherine l. Jourdan Jay A. Posklens§ Sallie Jo Perraglia

¡ Director Director Manager
parís, Francia Florham Park, EE.UU. Nueva York, EE.UU.
Consejo Asesor

Representantes de Organizaciones Patrocinadoras

Audrey A. Gramling Steven E' Jameson J. Stephen McNally
University
Bellarmine Community Trust Bank Campbell Soup Company
Treece
Fr. Raymond J. Executive Vice President and Chief F¡nance Director/Controller
Endowed Chair lnternal Audit & Risk Officer

Ray Purcell William D. Schneider Sr.

Pfizer AT&T
Director of Financial Controls Director of Account¡ng

Miembros en General
Jennifer Burns James Deloach Trent Gazzaway
Deloitte Protiviti Grant Thornton
Pa¡lner Managing D¡rector Partner

Cees Klumper Thomas Montminy Alan Paulus

The Global Fund to Fight AIDS, PwC E&Y
Tuberculosis and Malaria Partner Pa¡lner
Chief Risk Officer

Thomas Ray Dr. Larry E. Rittenberg Sharon Todd

Baruch College University of Wisconsin KPMG
Emeritus Professor of Accounting Parfner
Chair Emeritus COSO

Kenneth L. Vander Wal

ISACA
lnternational President
201 1-2012

Observadores
James Dalkin Harrison E. Greene Jr. Christian Peo
Government Accountability Office Federal Deposit lnsurance Securities and Exchange
Financial
D¡rector ¡n the Corporation Commission
and
Management Asslstant Chief Accountant Professional Accounting Fellow
AssuranceTeam ffhrough June 2012)

Amy Steele Vincent Tophoff Keith Wilson

Securities and Exchange Federation
lnternational Public Company Accounting
Commission of Accountants Oversight Board
Assoclafe Ch¡ef Accountant Senior Technical Manager Deputy Chief Auditor
(Commencing July 2012)
Co la boradores adicionales de PwC

Joseph Atkinson Jeffrey Boyle Glenn Brady

Partner Partner Partner
Nueva York (EE.UU.) Tokio (Japón) St Louls (EE.UU.)

James Chang Mark Cohen Andrew Dahle

Partner Partner Parti'ler
Pekín (China) San Francisco (EE.UU.) Chicago (EE.UU.)

Mary Grace Davenport Megan Haas Junya Hakoda

Partner Partner Pa¡tner (Retired)
Nueva York (EE.ulJ.) Hong Kong (China) Tokio (Japón)

Diana Hillier Steve Hirt Brian Kinman

Partner Partner Partner
Londres (lnglatena) Boston (EE.UU.) St Lours (EE.UU.)

Barbara Kipp Hans Koopmans Sachin Mandal

Padner Partner Director
Boston (EE.UU.) Singapur Florham Park (EE.UU)

AIan Martin Pat McNamee Jonathan Mullins

Partner Partner Partner (Retired)
Franlluri (Alemania) Florham Park (EE.UU.) Dallas (EE.UU.)

Simon Perry Andrew Reinsel Kristin Rivera

Padner Partner Partner
Londres (lnglaterril Cincinnati (EE.UU.) San Francisco (EE.UU.)

Valerie Wieman Alexander Young David Albright

Partner Partner Principal
Florham Park (EE.UU.) Toronto (Canadá) Washington, D.C. (EE.UU.)

Charles Yovino Eric M. Bloesch Christopher Michaelson

Principal Managing Director Director
Atlanta (EE.UU.) Philadelphia (EE.UU.) Mínneapolis (EE.UU.)

John Morrow Tracy Walker Qiao Pan

Director Director Senior Associate
Florham Park (EE.UU.) Bangkok (Tailandia) Nueva York (EE.UU.)
lndice

Apéndices

A. Glosario ...............161

B. Funciones y Responsabilidades .................165

C. Tamaño....... .....179
Consideraciones para las Organizaciones de Menor

D. Metodología utilizada para Revisar el Marco...... ............185

E. Cartas de Comentarios Públicos ...-....-.......187

F. Resumen de Cambios efectuados en Control lnterno

- Marco lntegrado de COSO (1992).......... .................195

G. Comparación con Gesfión de Riesgos Corporativos

- Marco lntegrado de COSO ..................205

(ontrot tnterno-tlarcotntegrado . [4ay0201] : §§ II

Prólogo
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission
(COSO) publicó Marco integrado de Control lnterno (el marco original). Este marco origi-
nal ha obtenido una gran aceptación y es ampliamente utilizado en todo el mundo. Asi-
mismo, es reconocido como el marco líder para diseñar, implementar y desarrollar el
control interno y evaluar su efectividad.

En estos veinte años desde la creación del marco original, las organizaciones y su en-
torno operativo y de negocio han cambiado de forma dramática, siendo cada vez más
complejos, globales y tecnológicos. Al mismo tiempo, los grupos de interés están más
comprometidos buscando una mayor transparencia y responsabilidad con respecto a la
integridad de los sistemas de control interno que apoyan la toma de decisiones y el buen
gobierno corporativo de la organización.

COSO presenta Ia versión actualizada de Control interno-Marco integrado (en adelante,

Marco). COSO considera que este Marco permitirá a las organizaciones desarrollar y
mantener, de una manera eficiente y efectiva, sistemas de control interno que puedan
aumentar la probabilidad de cumplimiento de los objetivos de la entidad y adaptarse a
los cambios de su entorno operativo y de negocio.

El lector experimentado encontrará muchos elementos en este Marco que le resultarán

familiares, ya que están basados en aspectos que ya estaban presentes y demostraron
ser útiles en la versión original. Se conserva la definición básica de control interno y de
sus cinco componentes. La obligación de tener en cuenta los mencionados cinco com-
ponentes para evaluar la efectividad de un sistema de control interno se mantiene funda-
mentalmente sin cambios. Por otro lado, el Marco sigue haciendo énfasis en la
impoftancia del criterio profesional de la dirección en el diseño, implementación, funcio-
namiento y evaluación de la efectividad del sistema de control interno.

A su vez, el Marco incluye mejoras y aclaraciones destinadas a facilitar su aplicación y

uso. Una de las mejoras más significativas es la formalización de los conceptos funda-
mentales que fueron presentados en el marco original. En el Marco actualizado, estos
conceptos son ahora principios, que se asocian a los cinco componentes y que propor-
cionan claridad al usuario a la hora de diseñar e implementar un sistema de control in-
terno y para comprender los requisitos de un control interno efectivo.

El Marco ha sido mejorado a través de la ampliación de la categoría de objetivos de la

información financiera, incluyendo otras formas importantes de reporting, como por
ejemplo la información no financieray el reporiing interno. Asimismo, el Marco refleja los
cambios en el entorno empresarial y operativo de las últimas décadas, entre los que se
incluyen:
. Las expectativas de supervisión del gobierno corporativo.
. La globalización de los mercados y las operaciones.
o Los cambios y el aumento de la complejidad de las actividades empresariales.
. Demandas y complejidades de las leyes, reglas, regulaciones y normas.
. Expectativas de las competencias y responsabilidades.
. Uso y dependencia de tecnologías en evolución.
. Expectativas relacionadas con la prevención y detección del fraude.

- . 7013
tontrol lnterno ll1ar(o lntesrado Mavo ,,,
§§ II
Un Besumen ejecutivo proporciona una visión general destinada al consejo de adminis-
tración, al CEO y a la alta dirección. El Marco lntegrado y sus Apéndices describen el
Marco en sí, incluida la definición del control interno, los requisitos para un control in-
terno efectivo, incluidos los componentes y principios relevantes. Asimismo, proporcio-
nan orientación a distintos niveles de Ia dirección para el diseño, implementación y
funcionamiento del control interno y la evaluación de su efectividad.

Los apéndices de la presente publicación constituyen referencias adicionales pero no se

consideran parte del Marco. Las Herramientas llustrativas para Evaluar la Efectividad de
un Sistema de Control lnterno proporcionan plantillas y escenarios que pueden ser útiles
en la aplicación del Marco.

Además del Marco, se ha publicado simultáneamente el documento Control interno

sobre la información financiera externa: un compendio de métodos y ejemplos para pro-
porcionar enfoques prácticos y ejemplos que ilustran cómo los componentes y princi-
pios enunciados en el Marco se pueden aplicar en la preparación de los estados
financieros.

Previo a la publicación del Marco, COSO publicó la Guía para la supervisión de slsfernas
de control interno para ayudar a las organizaciones a entender y aplicar actividades de
supervisión dentro de un sistema de control interno. Si bien esta guía fue preparadapara
ayudar en la aplicación del marco original, COSO considera que sigue vigente para el
Marco actualizado.

COSO puede, en el futuro, publicar otros documentos para proporcionar asistencia en la

aplicación del Marco. Sin embargo, ni el Control interno sobre la información financiera
externa: un compendio de métodos y ejemplos, ni la Guía para la supervisión de sistemas
de control interno, ni ningún otro documento de orientación previo o posterior prevale-
cerá sobre el presente Marco.

Otra de las publicaciones emitidas por COSO es la Gestión de rlesgos corporativos -

Marco integrado (ERM - Marco). Este y el Marco son complementarios y no se sustituyen
entre sí. Sin embargo, aunque estos marcos son diferentes y proporcionan enfoques dis-
tintos, abordan determinadas áreas comunes. El Marco ERM abarcatambién el control
interno, y reproduce varias partes del texto del Control interno - Marco integrado original.
En consecuencia, el Marco EBM sigue siendo un marco viable y adecuado para el di-
seño, la implementación, la ejecución y Ia evaluación de la gestión de riesgos corporati-
VOS.

Por último, el consejo de COSO quiere agradecer a PwC y al consejo asesor por su con-
tribución en el desarrollo del Marco y de los documentos relacionados. Su exhaustiva
consideración de las aportaciones realizadas por los distintos grupos de interés y sus
análisis han sido fundamentales para garantizar que los puntos centrales de la estructura
original hayan sido conservados, aclarados y fortalecidos.

David L. Landsittel
Presidente de COSO

.
ffi §lt iontrollnterno-lular(olntesrado I4ayo2013
Prólogo a la Traducción
Desde que en 1992 el Committee of Sponsoring Organizations of the Treadway Commis-
sion publicó el primer informe COSO -Marco lntegrado de Control lnterno-, su liderazgo
ha sido reconocido en el mundo por proporcionar las herramientas necesarias para
desarrollar, fortalecer y mantener un marco de control interno eficazy eficiente que
ayude a a todo tlpo de organizaciones a cumplir sus objetivos.

El lnstituto de Auditores lnternos de España ha apoyado la misión de COSO a través de

la traducción al español de todas y cada una de las publicaciones emitidas en estos más
de 20 años, por considerarlas imprescindibles para que los auditores internos cumplan
su misión al servicio de los Comités de Auditoría en su deber de supervisión de los siste-
mas de control interno y gestión de riesgos.

Nuevamente COSO ha emitido -y el lnstituto de Auditores lnternos de España ha tradu-

cido en colaboración con PwC España- una publicación de referencia para todos aque-
llos profesionales que tengan responsabilidad respecto a los sistemas de control interno
que apoyan la toma de decisiones y el buen gobierno corporativo de las organizaciones.

En Noviembrede20l3 el lnstituto presentó latraducción al español del resumen ejecu-

tivo y ahora concluye el ciclo con la traducción de los dos documentos que completan
esta publicación básica de control interno.

26 de Junio de 2014

Carlos Mas Ernesto Marlínez

Presidente Presidente
PwC España lnstituto de Auditores lnternos de España

[ontrollnterno-l,larrolntesrado . l¡ailoZOl] I
§§ll
1. Definición de control interno
El objetivo del presente informe Control interno Marco integrado (el Marco) es ayudar
-
a la dirección a mejorar el control en la organización, así como proporcionar al consejo
de administración1 herramientas adicionales para mejorar la capacidad para supervisar
el control interno. El sistema de control interno permite que Ia dirección oriente sus es-
fuerzos en la consecución de los objetivos operativos y desempeño financieros de la or-
ganización, mientras opera de acuerdo con los Iímites establecidos en la legislación
aplicable y minimiza sorpresas que puedan surgir. El control interno permite que una or-
ganización gestione con mayor eficacia los cambios que se produzcan dentro del en-
torno económico y competitivo, la dirección de la organización, así como sus prioridades
y modelos de negocio cambiantes.

Entend im iento del control interno

El control interno se define de la siguiente manera:

El control interno es un proceso llevado a cabo por el consejo de administración,

la dirección y el resto del personal de una organización, diseñado con el objeto de
proporcionar un grado de aseguramiento razonable para la consecución de los ob-
jetivos relativos a las operaciones, a la información y al cumplimiento.

Esta definición hace énfasis en que el control interno:

t Está orientado a la consecución de objetivos en una o más categorías separadas

pero con determinadas áreas comunes operaciones, información y cumplimiento.
-
. Es un proceso que consta de tareas y actividades continuas es un medio para lle-
gar a un fin, y no un fin en sí mismo.
-
. Es llevado a cabo por las personas no se trata solamente de manuales, políticas,
-
sistemas y formularios, sino de personas y las acciones que éstas aplican en cada
nivel de Ia organización para llevar a cabo el control interno.

. Es capaz de proporcionar aseguramiento razonable no una seguridad absoluta, al

consejo y a la alta dirección de la organización.
-
. Es adaptable a la estructura de la organización
- flexible para su aplicación al con-
junto de la organización o a una filial, división, unidad operativa o proceso de negocio
en padicular.

Esta definición de control interno es intencionadamente amplia por dos razones. En pri-
mer lugar, captura conceptos importantes que son fundamentales para las organizacio-
nes respecto a cómo diseñar, implementar y desarrollar el control interno, así como para

1 El Marco usa el término "consejo de administración" para referirse al máximo órgano de gobierno, inclui-
dos los consejeros, los socios generales, los propietarios o el consejo de supervisión.

(ontrollnterno-IlarcoLntesrado. I'layo2013
§&lI
evaluar la eficacia del sistema de control interno, constituyendo así una base para su
aplicación en diferentes tipos de organizaciones, sectores y regiones geográficas. En se-
gundo lugar, la definición se adapta también a los distintos subapartados del control in-
terno.

Las organizaciones podrán centrarse de forma independiente, por ejemplo, en el control

interno sobre la información financiera o en los controles relativos al cumplimiento de las
leyes y regulaciones. De igual manera, esta definición permite centrarse directamente en
los controles de unidades de negocio o actividades específicas de una organización.

De igual manera, esta definición también apofta flexibilidad en su aplicación, permi-

tiendo que una organización conserve su control interno en todos los niveles de la orga-
nización; a nivel de filial, división o unidad operativa; o dentro de una función relevante
para los objetivos operativos, de información y cumplimiento de la organización, en fun-
ción de sus necesidades o circunstancias específicas.

Orientado a la consecución de objetivos

El Marco establece tres categorías de objetivos que permiten a las organizaciones cen-
trarse en diferentes aspectos del control interno:

o Objetivos operacionales Hacen referencia a la eficacia y eficiencia de las operacio-

nes de la organización, incluidos
-
sus objetivos de desempeño, financieros y operati-
vos, y la protección de sus activos frente a posibles pérdidas.

. Obietivos de información Hacen referencia a la información financiera y no finan-

-
ciera interna y externa, y pueden abarcar aspectos de fiabilidad, opodunidad, trans-
parencia u otros conceptos establecidos por los reguladores, organismos de
normalización o por las políticas de la propia organización.

. Obietivos de cumplimiento Hacen referencia al cumplimiento de las leyes y regula-

ciones a las que está sujeta la organización.
-
Estas categorías diferenciadas y alavez con áreas en común
-un objetivo específico
puede recaer en más de una categoría- abordan diferentes necesidades y pueden
constituir la responsabilidad directa de diferentes personas. Estas tres categorías tam-
bién indican las expectativas que se espera del control interno.

Un sistema de control interno debe aportar a una organización un nivel de asegura-

miento razonable para la consecución de los objetivos relacionados con la información
externa y el cumplimiento de las leyes y las regulaciones. La consecución de esos objeti-
vos, los cuales se basan principalmente en leyes, directrices, regulaciones o normas es-
tablecidas por legisladores, reguladores y organismos de control, dependerá de cómo se
lleven a cabo las actividades que se encuentren bajo el control de Ia organización. En
términos generales, la dirección y/o el consejo de administración son más conservado-
res a Ia hora de fijar objetivos de información interna que no estén motivados por los
agentes externos anteriormente citados. Sin embargo,la organización puede optar por
alinear los objetivos de información interna y externa de manera que la información in-
terna respalde la información externa de Ia organización.

(ontrol Interno- l'1ar(0 lntesrado' l4av020ll

.il §§ II
 $efi!.!i{iáfi de {*n{ri}} !l:leíric

La consecución de algunos objetivos operacionales

-por ejemplo el
retorno sobre una
inversión espécífica , la cuota de mercado o el desarrollo sostenible de sus operacio-
nes- no siempre se encuentra dentro del control de la organización. Por ejemplo, imagi-
nemos una compañía aérea que se haya propuesto cumplir el objetivo de que el g0% de
sus vuelos salgan a la hora planeada. Determinados fenómenos meteorológicos como
las tormentas de nieve o los huracanes son eventos externos que se encuentran fuera
del control de la dirección y que pueden afectar de manera significativa a la consecución
de dicho objetivo. Para este tipo de objetivos operacionales, los sistemas de control in-
terno sólo pueden proporcionar un nivel de aseguramiento razonable de que la dirección
y el consejo disponen de la información, sobre el grado de avance en la consecución de
dichos objetivos.

En aquellos casos en los que sea improbable que eventos externos puedan tener un im-
pacto significativo en la consecución de determinados objetivos operacionales o cuando
la organización pueda predecir, de manera razonable, la naturaleza y el momento en el
que se produzcan determinados eventos externos y mitigar su impacto a un nivel acep-
table, la organización podrá obtener un nivel de seguridad razonable de que podrá cum-
plir estos objetivos. Por ejemplo, imaginemos que la dirección establece el objetivo de
llevar a cabo el mantenimiento rutinario de los equipos cada 500 horas de funciona-
miento. La dirección cree que Ia consecución de este objetivo se encuentra en gran me-
dida bajo su control, si bien reconoce que pueden existir eventos externos
-como
pueda ser una pandemia que provoque una reducción significativa de su plantilla de per-
sonal y por tanto la correspondiente reducción en las horas de mantenimiento llevadas a
cabo- que puedan impactar en la consecución de este objetivo, pero que es improba-
ble que se produzcan.

U n proceso
El control interno no se limita a un evento o circunstancia, sino que se trata de un pro-
ceso dinámico e iterativo, es decir, acciones que están presentes en las actividades de
una organización y que son inherentes a la manera en la que la dirección gestiona la
organización. Dentro de este proceso se establecen controles en forma de políticas y
procedimientos. Estas políticas reflejan la visión de la dirección o del consejo sobre
como desarrollar el control interno. Dicha visión puede ser formalizada por escrito y
plasmarse de forma explícita en otras comunicaciones de la dirección o bien de manera
implícita a través de las decisiones y medidas adoptadas por la dirección. Los procedi-
mientos consisten en medidas para la implementación de una política.

Los procesos de negocio, que se llevan a cabo dentro de un área operativa o un área
funcional específica o a través de varias de ellas, son gestionados a través de las activi-
dades habituales de la dirección, tales como la planificación, Ia ejecución y la supervi-
sión. El control interno se integra por tanto, en todos estos procesos. El control interno
integrado en estos procesos y actividades es más eficiente y efectivo que aquellos con-
troles desarrollados de manera aislada.

2 Aunque se pueda hacer referencia al control interno como un proceso, en realidad incluye múltiples pro-
CESOS.

(ontrollnterno-l4arrolntegndo . UrVrZOfl ;ffi

§tl
Llevado a cabo por las personas
El control interno es llevado a cabo por el consejo de administración, la dirección y otros
miembros de la organización. Por tanto, son las personas de una organización quienes lo
desarrollan a través de lo que dicen y lo que hacen. Son las personas quienes estable-
cen los objetivos de la organización y ponen en marcha las acciones para conseguir los
objetivos establecidos.

Las responsabilidades de supervisión del consejo, incluyen proporcionar asesoramiento

y orientación a la dirección, cuestionando de manera constructiva la gestión, aprobando
las políticas y las operaciones y monitorizando las actividades de la dirección. En conse-
cuencia, el consejo de administración es un elemento clave del control interno. El con-
sejo y la alta dirección son quienes establecen la relevancia del control interno y códigos
de conducta dentro de la organización.

Todos los días surgen cuestiones y problemas en la gestión de una organización, En una
organización puede haber personas que no comprendan plenamente la naturaleza de
estas cuestiones y problemas o las alternativas que tienen a su disposición; puede que
no las comuniquen eficazmente, o que no las desarrollen de manera coherente. Cada
persona aporta a su organización un perlil único de capacidades y formación profesional
y cada una de ellas tiene por tanto prioridades y necesidades distintas. Estas diferencias
individuales pueden resultar enormemente valiosas y beneficiosas de cara a la innova-
ción y a la productividad, pero si no se alinean de forma adecuada con los objetivos de
la organización, pueden resultar contraproducentes. Sin embargo, cada profesional de
una organización debe conocer sus responsabilidades y el límite de su autoridad. Por
consiguiente, es necesario que exista un vínculo claro y estrecho entre las funciones y
responsabilidades de las personas y la forma en que estas obligaciones son comunica-
das, llevadas a cabo y son alineadas con los objetivos de la organización.

Proporciona asegu ramiento razonable

Un sistema de control interno efectivo proporciona un aseguramiento razonable a la di-
rección y al consejo de administración con respecto a la consecución de los objetivos de
la organización. El término "aseguramiento razonable" en contraposición a "asegura-
miento absoluto" reconoce que existen limitaciones en todos los sistemas de control in-
terno y que pueden existir incertidumbres y riesgos que nadie puede predecir con
seguridad ni precisión. La seguridad absoluta sencillamente es imposible de conseguir.

La seguridad razonable no implica que una organización siempre vaya a conseguir sus
objetivos. Un control interno efectivo incrementa la probabilidad de que una organiza-
ción consiga sus objetivos. Sin embargo, la probabilidad de consecución de dichos ob-
jetivos se ve afectada por las limitaciones inherentes a todos los sistemas de control
interno, tales como los errores humanos, las incertidumbres inherentes al criterio profe-
sional y el potencial impacto de acontecimientos externos ajenos al control de la direc-
ción. De igual manera, Ias personas pueden eludir un sistema de control interno si existe
connivencia o confabulación entre ellas. Además, si la dirección es capaz de eludir los

.
§ ffi ! ¡ Controllnterno-l,4arcolntesrado l4ayo2013
 Üe{iiii{¡dn de {ontro¡ lliternú

controles, la totalidad del sistema puede fallar. Y aunque que todo sistema de control in-
terno de una organización debe ser diseñado para evitar y detectar casos de conniven-
cia, error humano y elusión de los controles por pafte de la dirección, un sistema
efectivo de control interno puede fallar.

Adaptable a la estructura de la organización

Las organizaciones pueden estructurarse de acuerdo con diferentes dimensiones. El mo-
delo operativo adoptado por la dirección puede ajustarse a las líneas de productos o
servicios de la organización, y la información generada por la misma puede llevarse cabo
a nivel de organización consolidada, división o unidad operativa, altiempo que los distin-
tos mercados geográficos pueden generar subdivisiones o adiciones de resultados pos-
teriores. El modelo operativo adoptado por la dirección puede ufilizar además a
proveedores de servicios externalizados para respaldar la consecución de los objetivos.

La estructura jurídica de la organización suele estar diseñada para ajustarse a requeri-

mientos regulatorios de reporting, mitigar los riesgos o aprovechar posibles beneficios
fiscales. A menudo, la estructura jurídica de una organización varía en gran medida con
respecto al modelo operativo empleado por la dirección para gestionar las operaciones,
asignar los recursos, medir el desempeño e informar de los resultados.

El control interno puede por tanto aplicarse, en base a las decisiones de la dirección y en
el contexto de los requisitos legales o regulatorios, sobre el modelo operativo adoptado
por la dirección, la estructura de la organización jurídica o combinación de ambas.

. ltavozou
Control lnterno- l,4an0 lntesrado
§ |!II
2. Objetivos, componentes y
pnncrpros

lntroducción
Una organización adopta una misión y una visión, establece estrategias, fija objetivos a
conseguir y formula planes para lograrlos. Dichos objetivos pueden fijarse para una or-
ganización en su conjunto o bien pueden dirigirse a actividades específicas de Ia organi-
zación. Si bien existen objetivos específicos para cada organización, algunos de ellos
pueden considearse comunes. Por ejemplo, algunos objetivos que son comunes a la
mayoría de las organizaciones son la consecución del éxito como organización,la infor-
mación a las partes interesadas, la contratación y retención de empleados motivados y
competentes, la obtención y mantenimiento de una reputación corporativa positiva y el
cumplimiento de Ia normativa y regulación.

Para apoyar a la organización en sus esfuerzos por lograr sus objetivos, se dispone de
los cinco componentes del control interno:

¡ Entorno de control

. Evaluación de riesgos

¡ Actividades de control

. lnformación y comunicación

¡ Actividades de supervisión

Estos componentes son relevantes tanto para el conjunto de la organización como a

nivel organización, filiales, divisiones, o cualquiera de sus unidades operativas, funciones
o cualesquiera otras subdivisiones de la organización.

Relación entre objetivos, componentes y organizacion

Existe una relación directa entre los objetivos, que es lo que una organización se es-
fuerza por lograr, los componentes, que representan lo que se necesita para lograr los
objetivos, y la esfructura de la organización (las unidades operativas, organizaciones jurí-
dicas y demás). La relación puede ser representada en forma de cubo.

. Las tres categorÍas de objetivos están representadas por las columnas.

r Los cinco componentes están representados por las filas.

3. A lo largo del Marco,la expresión "la organización y sus subunidades" hace referencia de manera colec-
tiva al conjunto de la organización, divisiones, filiales, unidades operativas y funciones.

- .
$ ffi II tontrol lnterno l,4ar0 lntesrado li4ayo 20ll
 thltiis*s, í{it.:l|;*i1*fi i*: } Priiiri$irs

. La estructura de la organizactón, que incluye el conjunto de la organiza-

ción, las divisiones, filiales, unidades operativas o funciones, incluyendo
los procesos de negocio como ventas, compras, producción y marketing, y
aquellos a los que hace referencia el control interno, está presentada por la
tercera dimensión del cubo3.

Cada componente es aplicable a cada una de las tres categorías de objetivos.

Por ejemplo, atraer, desarrollar y retener a profesionales competentes que
sean capaces de llevar a cabo el control interno -parte del componente de en-
torno de contro- es relevante para las tres categorías de objetivos.

Las tres categorías de objetivos no son partes o unidades de la organización.

Por ejemplo, Ios objetivos operacionales hacen referencia a Ia eficiencia y efi-
cacia de las operaciones, y no a funciones o unidades operativas específicas
como ventas, marketing, compras o recursos humanos.

Por consiguiente, a la hora de considerar la categoría de objetivos relacionada, por

ejemplo, con la categoría de información, será necesario disponer de una amplia canti-
dad de datos sobre las operaciones de la organización. En ese caso, la atención deberá
dirigirse a la columna central del modelo -objetivos de información- en lugar de a la ca-
tegoría de objetivos operacionales.

El control interno es un proceso dinámico, iterativo e integrado. Por ejemplo, la evalua-

ción de riesgos no sólo influye en el entorno de control y en las actividades de control,
sino que también puede poner de manifiesto la necesidad de reconsiderar los requisitos
de información y comunicación de Ia organización o sus actividades de supervisión. Por
tanto, el control interno no es un proceso lineal en el que un componente afecte solo al
siguiente componente. Se trata de un proceso integrado en el que los componentes
pueden impactar (y de hecho así lo hacen) en el resto de componentes.

Cada organización debería tener un sistema de control interno específico y distinto al del
resto de organizaciones. Las organizaciones, objetivos y sistemas de control interno di-
fieren en función del sector y el entorno regulatorio asÍ como en función de factores in-
ternos tales como el tamaño, la naluraleza del modelo operativo adoptado por la
dirección, Ia tolerancia al riesgo, la dependencia en tecnología, la capacidad del perso-
nal y los recursos de personal disponible. Por tanto, si bien todas las organizaciones ne-
cesitan de cada uno de estos componentes para mantener un control interno efectivo
sobre sus actividades, el sistema de control interno de una organización siempre será di-
ferente al de cualquier otra organización.

Objetivos
La dirección, bajo supervisión del consejo de administración, establece objetivos a nivel
de organización que se alinean con la misión, visión y estrategias de la organización.
Estos objetivos de alto nivel reflejan las opciones elegidas por la dirección y el consejo
de administración con respecto a la manera en que la organización trata de crea¡ con-
servar y materializar el valor para sus grupos de interés. Estos objetivos pueden cen-
trarse en las necesidades específicas de las operaciones de la organización o bien
alinearse con las leyes, reglas, regulaciones y normas impuestas por los legisladores, or-

(ontrol Lnterno - . ZOr

l,lar(o lntesmdo Uavo 1¡¡
ffi § !I
Fiano I Ent*r*r de tontrai . Evaluari4n dc fti*s$as 'Artividades ile {üntr0i ' ¡nf*rrEfiti4il ? {emilfi¡{ii{l{ñ - ¿.tivid¡df$ {i8 5uperui§idii

ganismos reguladores y organismos de normalización, o bien ser el resultado de una

combinación de ambos. Establecer objetivos es un requisito previo del control interno y
una parte fundamental del proceso de gestión relacionado con la planificación estraté-
gica.

Las personas que forman parte del sistema de control interno deben comprender los
planes estrategicos y objetivos generales establecidos por la organizaciÓn. Como parte
del control interno, la dirección especifica objetivos adecuados de manera que puedan
identificarse y evaluarse los riesgos existentes para la consecución de dichos objetivos.
El establecimiento de estos objetivos incluye la articulación de unos objetivos que sean
especÍficos, medibles u observables, alcanzables, relevantes y limitados en el tiempo.

Sin embargo, puede haber casos en los que una organización no documente expresa-
mente un objetivo. Los objetivos especificados a un nivel de detalle adecuado podrán
ser comprendidos con mayor facilidad por aquellas personas que trabajen directamente
para conseguirlos.

Categorías de Objetivos
El Marco agrupa los objetivos de una organización en tres categorías: operativos, de in-
formación y de cumplimiento.

O bj etivo s O pe ra ci o n a I e s

Los objetivos operacionales hacen referencia a la consecución de la misión y visión bási-

cas de la organizaci ón, la razón fundamental de su existencia. Estos objetivos varían en
función de las opciones elegidas por la dirección en relación con el modelo operacional,
las características sectoriales y el desempeño. Los objetivos a nivel de organización se
desglosan a su vez en subobjetivos para las operaciones específicas dentro de las sub-
divisiones, filiales, unidades operativas y funciones, dirigidos a incrementar la eficiencia y
eficacia en la consecución de su objetivo principal.

Por tanto, los objetivos operacionales pueden estar relacionados con la mejora del des-
empeño financiero, la productividad (por ejemplo, reducir los desperdicios de materias
primas y la duplicidad de tareas), la calidad, las prácticas medioambientales, la innova-
ción y la satisfacción del cliente y de los empleados. Estos objetivos son aplicables a
todo tipo de organizaciones. Por ejemplo, una organización con ánimo de lucro puede
centrarse en la generación de ingresos, en Ia rentabilidad, en el retorno sobre los activos
y la liquidez. Por el contrario, una organización sin ánimo de lucro, si bien es evidente
que se preocupará por la generación de ingresos y los niveles de gasto, se centrará en
aumentar la participación de sus donantes. Por su parte, una administración pública
puede centrarse en conseguir la misión establecida por el correspondiente órgano de
gobierno o legislador, gestionando de manera eficiente y eficaz los programas específi-
cos del gobierno y su gasto en línea con los objetivos establecidos. Si los objetivos ope-
racionales de una organización no están bien definidos o claramente especificados, sus
recursos podrían ser utilizados de manera deficiente.

.
* IIII control lnterrro- l,larcolnteqrado lllayo2013
 übj*iisai, i*¡¡scnei:p5 I ÉIitli¡ili{:s

Protección de Activos

La categoría de objetivos operacionales incluye la protección de los activos, en otras pa-

labras, la salvaguarda y el mantenimiento de los bienes de una organización. Por ejem-
plo, una organización puede establecer objetivos en relación con la prevención de la
pérdida de activos así como con la detección y comunicación opoftuna de dichas pérdi-
das. Estos objetivos constituyen la base parala evaluación del riesgo relacionado con la
protección de los activos y sobre la que seleccionar e implementar controles necesarios
para mitigar tales riesgos.

EI uso eficiente de los activos de la organización y la prevención de pérdidas por el uso

inadecuado de los recursos, ineficiencia o decisiones de negocio deficientes (por ejem-
plo, la venta de un producto a un precio demasiado bajo, la concesión de un crédito a
un alto riesgo, la incapacidad de retener a empleados clave, Ia incapacidad para defen-
der los derechos sobre sus patentes, o la asunción de pasivos imprevistos), guarda rela-
ción con los objetivos operacionales más amplios de una organización y por tanto no
constituye una consideración específica de la protección de los activos.

Las leyes, reglas, regulaciones y normas externas han creado la expectativa de que la in-
formación proporcionada por la dirección sobre el control interno debe incluir los contro-
les relativos a la prevención y detección de adquisiciones, usos o ventas no autorizados
de los activos de la organización. De igual manera, algunas organizaciones consideran la
protección de los activos como una categoría aparte de objetivos, y de hecho esta visión
tiene cabida también en la aplicación del Marco.

Objetivos de nformación
I

Los objetivos de información hacen referencia a la preparación de informes útiles para

uso de las organizaciones y las paftes interesadas. Pueden estar relacionados tanto con
información financiera como con información no financiera así como con información ex-
terna o interna. Los objetivos de información interna vienen motivados por las necesida-
des internas de información como respuesta a una serie de necesidades potenciales,
tales como decisiones estratégicas de la organización, planes operativos y parámetros
de desempeño a distintos niveles. Los objetivos de información externa están motivados
fundamentalmente por la regulación y/o las normas establecidas por los reguladores y
organismos de normalización.

. Objetivos de información financiera externa-Las organizaciones deben lograr sus ob-

jetivos de información financiera externa para cumplir con obligaciones y expectati-
vas de las parles interesadas. Los estados financieros son necesarios para acceder a
los mercados de capital y pueden resultar críticos a la hora de optar a la concesión
de determinados contratos o en la negociación con proveedores y vendedores. Los
inversores, analistas y acreedores a menudo se basan en los estados financieros ex-
ternos de una organización a la hora de valorar el desempeño de la misma con res-
pecio a sus competidores y evaluar inversiones alternativas. De igual manera, puede
que la dirección se vea obligada a publicar sus estados financieros utilizando una
serie de objetivos establecidos por las reglas, regulaciones y normas externas.

.
tontrol lnterno - lfarco lnteqrailo lvlayo 2013 ':.
ffi ffi II
 Objetivos de información no financiera externa-La dirección puede presentar su infor-
mación no financiera externa de acuerdo con las leyes, reglas, regulaciones. normas
u otros marcos de trabajo. Los requisitos de información no financiera que vienen es-
tablecidos por las regulaciones y las normas relativas a la información de gestión en
materia de eficacia del control interno sobre la información financiera son parte de los
objetivos de información no financiera externa. A los efectos del presente Marco, la
información externa en ausencia de una ley, regla, regulación, norma o marco repre-
senta la comunicación externa.

Objetivos de información financiera y no financiera interna-La información interna

para la dirección y el consejo de administración incluye aquella información que se
considera necesaria para gestionar laorganización. Dicha información apoya la toma
de decisiones y la evaluación de las actividades y el desempeño de la organización.
Los objetivos de información interna se basan en las preferencias y en el criterio pro-
fesional de la dirección y del consejo. Los objetivos de información interna varían de
una organización a otra dado que las diferentes organizaciones tienen diferentes di-
recciones estratégicas, planes operacionales y expectativas.

Relación dentro de la categoría de objetivos de información

La relación general entre las cuatro subcategorías de objetivos de información se mues-
tra en el gráfico incluido a continuación.

Financiera/No Financiera CaracterÍsticas

Los objetivos de información Se ulilizan para cumplir

linanciera exlerna pueden requisitos regulatorios y
hacer referencia a: de grupos externos de
inlerés
Estados Financieros Anuales
Se preparan de acuerdo
Estados Financieros
con normas exlernas
Intermedios
Pueden ser exigidos por
G Publicaciones de Resultados reguiadores, contralos,
o acuerdos
ux
6
q)
Los obfetivos de inlormación
Iinanciera interna pueden
hacet relerencia a: t Pueden utilizarse para
lnformes Financieros de gesiionar el negocio y Ia
Divisiones, ,' .r. litlf.*fl,iEE:o toma de decisiones
fllxr.,r'"
Análisis de Rentabilidad de Establecidos por la
dirección y el consejo
Cálculos de Covenants
Bancarios

Los objetivos de información son distintos al componente de información y comunica-

ción del control interno. La dirección establece, bajo supervisión del consejo, los objeti-
vos de información cuando la organización necesita una seguridad razonable con
respecto a la consecución de un objetivo de información en particular. En estas situacio-
nes, se requieren los cinco componentes del control interno. Por ejemplo, a la hora de
preparar para el consejo la información no financiera interna sobre la situación de los es-

tontrol Interno - lvlar(o lnteqrado .

§§ II lulayo 2011
 $hjetivrs, {ornponentes y Frineipios

fuerzos de integración efectuados con respecto a una fusión ,la organización debe espe-
cificar objetivos de información interna (por ejemplo, preparar informes confiables, rele-
vantes y de utilidad), asignar responsabilidades a personas competentes, evaluar los
riesgos relacionados con determinados objetivos, seleccionar y desarrollar los controles
dentro de los cinco componentes necesarios para mitigar dichos riesgos y supervisar los
componentes del control interno que asisten en la consecución del objetivo de informa-
ción no financiera especificado

Por el contrario, el componente de información y comunicación refuerza el funciona-

miento de todos los componentes de los objetivos de información, así como los objeti-
vos operacionales y de cumplimiento. Por ejemplo, los controles dentro del componente
de información y comunicación respaldarán la preparación de los informes anteriormente
indicados, contribuyendo a proporcionar información relevante y de calidad subyacente
en el informe, pero estos controles sólo serán parte del sistema general de control in-
terno.

O bjetivos de Cu m p I i m i ento
Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de definir sus
objetivos de cumplimiento, la organización debe comprender qué leyes, reglas y regula-
ciones son aplicables transversalmente a la organización. Muchas leyes y regulaciones
son, en general bien conocidas, como por ejemplo aquellas que guardan relación con
los recursos humanos, la fiscalidad y el cumplimiento de la legislación medioambiental;
pero otras pueden resultar menos conocidas, como por ejemplo aquellas aplicables a
una organización que quiera llevar a cabo sus operaciones en una jurisdicción o territorio
extranjero remoto.

Las leyes y las regulaciones establecen unas normas mínimas de conducta esperables
de una organización. La organización debe incorporar estas normas a los objetivos esta-
blecidos para la organización. Algunas organizaciones fijarán objetivos a un nivel de
desempeño superior al requerido por las leyes y regulaciones. A la hora de fijar estos ob-
jetivos, la dirección puede ejercer prudencia en relación a la actividad de la organización.
Por ejemplo, una ley en pafticular podría limitar el número de horas que un menor de
edad pueda trabajar fuera del horario escolar hasta un máximo de 18 horas a la semana.
Sin embargo, una cadena de restaurantes podría optar por limitar dicho máximo de
horas para menores de edad a 15 horas a la semana.

Para efectos del Marco, el cumplimiento de las políticas y procedimientos internos de

una organización, en contraposición al cumplimiento de las leyes y regulaciones exter-
nas tales como las descritas anteriormente, hace referencia a los ob.jetivos operaciona-
Ies.

Áreas comunes en las categorías de objetivos

Un objetivo de una categoría puede solaparse o apoyarse en un objetivo de una catego-
ría distinta. Por ejemplo, "realizar el proceso de cierre sobre Ia información financiera en
un plazo de cinco días hábiles" puede ser una meta que respalde fundamentalmente un

(ontrottnterno-tlarcotntesrado. lvlatlo20tl
*ffi §I
ft¡r{ü | É¡¡t*rñ* 4s {+i:tr*i , ili!Li¿{ldr ** liia¡;;*c: - Ai!ivid;iir-q rj¿ {*¡¡ti*l " i*fr¡tir¡;¿¡4* r {*,Eilni{et!óft ",4it!.g¡ii;d4: ds Stt+¿r!¡s;é!'1

objetivo operacional -apoyar a la dirección a la hora de revisar el desempeño de la orga-

nización. Pero también respalda la generación y presentación puntual de dichos infor-
mes ante las correspondientes agencias regulatorias.

La categoría en la que un objetivo recaiga variará dependiendo de las circunstancias.

Por ejemplo, los controles para evitar el robo de activos -tales como mantener ade-
cuado cerramiento en el almacén o disponer de un poftero que verifique la autorización
pertinente para las solicitudes de tránsito de mercancías- recaen en la categoría de ob-
jetivos operacionales. Estos controles pueden no ser relevantes para los objetivos de in-
formación cuando las pérdidas de existencias se detecten tras la realización de
inspecciones físicas periódicas y se registren en los estados financieros. Sin embargo, si
la dirección se basa únicamente en los registros de inventario permanente a efectos de
generar sus informes, como pueda ser para el caso de los estados financieros interme-
dios o la información interna, los controles de seguridad física podrían entonces consi-
derarse también dentro de la categoría de objetivos de información. Estos controles de
seguridad física, junto con los controles sobre los registros de inventario permanente,
serán necesarios para cumplir los objetivos de información. Por tanto, es necesario con-
tar con un claro entendimiento de los procesos de negocio de la organización, de sus
políticas y de sus procedimientos, así como de sus respectivos impactos en cada una
de las categorías de objetivos.

Fundamentos de las categorías de objetivos

Algunos objetivos se derivan del entorno regulatorio o del entorno sectorial en el que
opera la organización Por ejemplo:

¡ Algunas organizaciones están obligadas a presentar informes a agencias medioam-

bientales.

. Las organizaciones que cotizan en el mercado de valores están obligadas a presen-

tar informes ante los correspondientes organismos reguladores.

. Las universidades están obligadas a presentar informes sobre el uso de subvencio-

nes públicas a determinadas agencias del gobierno.

Estos objetivos vienen establecidos en su mayor parte por Ia legislación o la regulación,

y se consideran dentro de la categoría de objetivos de cumplimiento, de información ex-
terna o, como en estos ejemplos, en ambos.

Sin embargo, los objetivos operacionales y de información interna se basan en mayor

medida en las preferencias, juicio y criterio de la organización. Estos objetivos varían en
gran medida de una organización a otra sencillamente porque profesionales debida-
mente informados y competentes pueden seleccionar objetivos muy diferentes. Por
ejemplo, una organización podría optar por convefiirse en un "adoptante temprano" de
Ias últimas tecnologías en el desarrollo de nuevos productos mientras que otra podría
contentarse en ser un "seguidor inmediato" y a otra, a su vez, le bastaría con ser un
"adoptante tardío". Estas opciones reflejan las estrategias de la organización así como
las capacidades, tecnologías y controles dentro de su función de investigación y

(ontrollnterno-l4arcolntesrado .
ffi ffi § I 1,1ay02011
 Sb;etivo5, {om$oneilt* y Frincipios

desarrollo. En consecuencia, no puede existir una única formulación de objetivos que

sea óptima para todas las organizaciones.

Objetivos y Subobjetivos
La dirección vincula los objetivos definidos a nivel de organización con subobjetivos más
específicos que se trasladan a todos los niveles de la organización. Los subobjetivos
también se establecen como parte o resultado del proceso de definición de la estrategia,
afectando ala organización y sus unidades de negocio y a sus actividades tales como
ventas, producción, ingeniería, marketing, productividad, recursos humanos, innovación
y tecnologías de la información. La dirección alinea estos subobjetivos con los objetivos
definidos a nivel de organización y los coordina a todos los niveles de la organización.

Cuando los objetivos a nivel de organización son coherentes con el desempeño y las
prácticas anteriores, la conexión entre estas actividades suele ser evidente. Cuando los
objetivos se distancian de las prácticas anteriores de la organización, la dirección debe
abordar estas conexiones o aceptar el correspondiente incremento de los riesgos. Por
ejemplo, un objetivo a nivel de organización relacionado con la satisfacción del cliente
dependerá de los objetivos específicos relacionados con la introducción de servicios
que utilicen una infraestructura tecnológica más nueva y menos probada. Puede que
sea necesario cambiar significativamente estos subobjetivos si las prácticas anteriores
utilizaban tecnologías más maduras y probadas.

Los objetivos específicos para unidades operacionales y actividades funcionales tamr

bién deben ser específicos, medibles u observables, alcanzables, peftinentes y limita-
dos en el tiempo. De igual manera, estos objetivos específicos deben ser comprendidos
con facilidad por aquellas personas que trabajen para conseguirlos. La dirección y el
resto del personal deberán contar con un entendimiento mutuo de lo que deben cumplir
y de los medios a su disposición para determinar hasta qué punto se ha cumplido, con
el fin de que puedan asumir su responsabilidad a nivel individual y de equipo.

Las organizaciones pueden establecer múltiples subobjetivos para cada actividad, deri-
vados tanto de los objetivos establecidos a nivel de organización como de las normas
existentes en relación con los objetivos de cumplimiento y de información, segÚn se
considere perlinente de acuerdo con las circunstancias. Por ejemplo, los objetivos ope-
racionales en el área de compras de una organización pueden hacer referencia a:

. La compra de bienes y productos que cumplan las especificaciones técnicas corres-

pondientes.

. La compra de bienes y productos de terceros que cumplan las regulaciones me-

dioambientales y de salud y seguridad correspondientes (por ejemplo, que en sus fá-
bricas no trabajen menores de edad, que existan buenas condiciones laborales).

. La negociación de precios y condiciones aceptables.

.
controt tnterno-Marro tntesrado tvtayo20B i§
§§ II
Pl¿r(o I [iltcrn0 de (0nlt0i " Evalua(!dn de niesgos . Actividades de (ontrol . informacidn y (0rpu0itatión . Attividades de Supetvísión

Puede observarse otro ejemplo similar cuando al establecer objetivos adecuados de in-
formación externa relativos a la preparación de los estados financieros externos, la di-
recc¡ón tiene en cuenta las normas contables, las afirmaciones realizadas en los estados
financieros y las características cualitativas que son aplicables ala organización y a sus
unidades de negocio. Por ejemplo, la dirección puede establecer un objetivo de informa-
ción financiera externa a nivel de organización de la siguiente manera: "Nuestra compa-
ñía prepara estados financieros confiables que reflejan las operaciones y aconteci-
mientos de acuerdo con los principios contables generalmente aceptados."

La dirección también especifica subobjetivos adecuados para las divisiones, filiales, uni-
dades operativas y funciones con suficiente claridad para respaldar sus objetivos a nivel
de organización. Por ejemplo, la dirección especifica subobjetivos para las transacciones
de ventas sobre los que se aplican las normas contables pertinentes de acuerdo con las
circunstancias y que abordan las afirmaciones relevantes efectuadas en los estados fi-
nancieros y sus características cualitativas, tales como:

. Todas las transacciones de ventas que se realizan se registran de manera oportuna.

. Las transaciones de ventas se registran con base en los importes correctos en las
cuentas correctas

. Las transacciones de ventas se resumen de manera íntegra y precisa en los libros y

los registros contables de Ia organización.

. La presentación y los desgloses relacionados con las ventas se describen, organizan

y clasifican de manera adecuada.

Componentes y Principios del Control Interno

El Marco establece un total de cinco componentes de sistema de control interno y 17
principios que representan los conceptos fundamentales asociados a los componentes.
Estos componentes y principios del sistema control interno son aplicables para todas las
organizaciones. Los diecisiete principios son aplicables a cada una de las categorías de
objetivos así como a los objetivos y subobjetivos de cada categoría. Por ejemplo, una
organización puede aplicar el Marco en relación con el cumplimiento de una ley especÉ
fica relativa a los acuerdos comerciales con organizaciones en el extranjero, una subca-
tegoría de la categoría de objetivos de cumplimiento.

A continuación se incluye un resumen de cada uno de los cinco componentes del sis-
tema control interno y de los principios relativos a cada componente. Cada principio es
analizado dentro del capítulo sobre el componente correspondiente4.

Entorno de Control
EI entorno de control es el conjunto de normas, procesos y estructuras que constituyen
la base sobre la que llevar a cabo el sistema de control interno de la organización. El

4 A los efectos del Marco, cuando se describen los principios, se utiliza el término "organización" para cap-
turar (colectivamente) el significado del consejo de administración, la dirección y el resto del personal.
Normalmente el consejo de administración actúa en su calidad supervisora de acuerdo con este término.

(ontrol lnterno .
§ !tII - l'4arro lntesrado Ilayo 2013
 $i¡i*tivas, {omÍcn*nÉ$ '{ FrillcÉriss

consejo y la alta dirección son quienes establecen el "Tone at the top" con respecto a la
importancia del control interno y las normas de conducta esperables.

Existen un total de cinco principios relat¡vos al entorno de control:

1 . .-r-g..s.Lg..sl,.i=g.gign.9.e.T.9-"..:lr:s..9.9!rpr.9n!p..s..egl..le..illg..9ti9.?9..y-.19..:.yel.qr.q:..Élrg.e-=..

2- -El..sgn.:-"i.s.9.9.39.T.it!.9Jr3.9ri-1.-9.eny.s-"-Ir'.?.r99-p.9r-q.g§is.9.9.1?.9rr9..99.i.o..1.y.9i91'.99.13
_s_l.lp_e_ry_i:iet..9.el.9s:p_np..si.-o_ 9.9!..9i9!err.e.9.g.g.e$Lg]..||.l1-".11.9.

3. .le.91ls-g-"-iÉ..r..9:l?.91.99.9:..99-r..1s..:y.p.gryi:i-QL.9.el..g.el.:e-j9r..ls:.9.:lfy.glylg.:,..1e:..1ÍLsg.:..9p-
IgP9*.e-.v.lgp-.Livp-ls:..9.e..ey.19ti-q.?9..y-.f9:p.o-r.:?.qil!.qs9..enr.g.eieg.ep..p.lle..l?..99t9-e..9y.9¡-qt
.99-.!9..:..eF-ip-t!.,..e-"-,

4- -r-e..g.Ls_e.tiregiel..9.g.T.9p..:lt?..9.9Ipt9lIi_"..g.p.eLe..eÍg.gl,..9.g.s..ellgllgl..y.|.919l,.9t.3
pl.919-s-i.o..rs.19-s-.9..9.n.p919-rl.e..q
9-r..?!i.r.9..?9-iÉn...egl..lp..:.ePjpJiy..e9..9.e.l.e..9r.g.?tire.ei9.l:

5. .Le...o.l.s..eniregi-Ql9plim.l.ep..f9-:p-o-rp-?.qil9e-9.e:.-9.e.1e9.p.9r.:9-rs:..?.riy..9!.-q-e-.e..9.t1r9.1
i lle r g. p e re. e s r :e g \1 sre
l
-" 9 s_. g: s PjpJ ys
l l ! t
Evaluación de Riesgos
La evaluación de riesgos implica un proceso dinámico e iterativo para identificar y anali-
zar los riesgos asociados a la consecución de los objetivos de la organización, constitu-
yendo así la base sobre la que determinar cómo se deben gestionar dichos riesgos. La
dirección considera los posibles cambios que se puedan producir en el entorno externo
así como aquellos dentro de su propio modelo de negocio y que puedan impedir su ca-
pacidad para lograr los objetivos.

Existen un total de cuatro principios relativos a la evaluación de riesgos:

6. Le..g-l-s-enirsgi-fl 9-"Jil.g.ls-s-.9-p.igllyg:..991.:yjigi9..tLg..qle.l9s.9.p..el?.p.gtr.ilir.lg
i-Qs.l1ili.e+si9.n..y.9y..?l!].?9.t9..t.99.19:..19:.q-o..:..f.e_r.e9_i.9ns_qs.s_,

7. !e..g.l-s..er.i=eglÉli9.s.lll:tis..e.l.q:-.r.*.s-o-:.pef.?.!s.e..9.1p.e9..y9.i9..r.99..-s..y9..9..q¡91!.y9..:.9.r..199.9.:
l$ lryele: 991? grgerir?p-i9r y lg: erelile ggn-o- Pe:e :o-pfe- l? eyil gelerrir?r.
.q9-n.e..: 9..9.s P9..r..9 -e..:I.9.?.1':

8.

e. Le..g.'.-s-e.?.rregi-QL.i9."..rlilig-e..y.gysli.?.!.9p-.9.?lr.p-19..r.9y.9.p.99.íl?t.pj-e..gLer.
p.is.r!I.qeliy..e[]_e_ri9..?l..iiplg.n.e.g9_.9.9t11'.9l..ilIp.ll,..o_,

Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y procedi-
mientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la direc-
ción para mitigar los riesgos que incidan en Ia consecución de los objetivos. Las
actividades de control se llevan a efecto a los niveles de la organización, en las diferen-
tes etapas de los procesos de negocio y sobre el entorno tecnológico.

(ontrol lnterno - Intesrado . 2013 i. & §

I4arco l'lavo
¡I
Existen tres principios relativos a las actividades de control:

10.

11.

12. ls..o.¡p.v.Li=eglgL.9.e.Lp-rts.s-e..1e.:..estiYi99-q9:..q.9.-c..9.11f9-1.3..1I3yÉ..: 9,e-.pslilis..e¡-.g.tlg

establecen las líneas generales del control interno y proced!mlentos qy...............9
Jl.9y-q¡L
grine: üelriiñ e !i ñi#lre?.,

lnformación y Comunicación
La información es necesariapara que la organización pueda Ilevar a cabo sus responsa-
bilidades de control interno en aras de conseguir sus objetivos. La comunicación ocurre
tanto interna como externamente y proporciona ala organización la información necesa-
ria para llevar a cabo los controles necesarios en su día a día. La comunicación permite
a las personas comprender sus responsabilidades dentro del sistema de control interno
y su importancia con respecto a la consecución de los objetivos.

Existen un total de tres principios relativos a la información y comunicación:

13. .-t4..9..r.g_qni:eet_Qt.s-FJ!p-ng.g..s-."..tgre.y-.ylrl!r.e.inlsrns9i9-1..f-e-Lgv..?l:Jg.v-.9.9..93.1i9.?9.P313
.?p..9v9t.-e-1.19!.9!.9Lar!.9119-.9.91..99$lel..ill-eJl.r.,o-:

I ¿. -!3..g.f-s..?ni=egtgL.-c..g.T.ytig.e.l.?.i.!.lgrn?-c-t-o..t.i.t.llglt.?!It9.tl9,..iLgl.Yi9s..:.1.$-.9-9i.e!.v.o..:.v
1."..1.p..91.:eP.i1r9.e9.-"..:.gyg..qg.l .ll999:31.9P-.P-?l?..?P9..y3.19!.ly.l9-i9..13T.i9..11.9.-q.91 -s-L:Lsne
g.g
I g-.
l-tlg-1..i 1,1 -"I 1,..o-,

I s. -Le..9t-s.e.ryf99j9t.P..9.99.T.1.1.ry9..?..99.t..1e-.-.p-e.tl*..illg.I-e..:g939..gl:!-e-f.!9. :.-s-9.qt9.
19.9
g gt tllgl
sepeele? 91?ve -q y9- ?l Iv l ei gn ?n e-lig- 9 el
{eel?l ! ill.en g:

Actividades de Supervisión
Las evaluaciones continuas, las evaluaciones separadas o una combinación de ambas
son utilizadas para determinar si cada uno de los cinco componentes del sistema de
control interno -incluidos los controles para cumplir los principios de cada componente-
están presentes y funcionan adecuadamente. Los hallazgos se evalúan y las deficien-
cias se comunican de forma oporluna, al tiempo que los asuntos más graves se reportan
a la alta dirección y al consejo.

Existen un total de dos principios relativos a las actividades de supervisión:

16.

I z _19..9..,.9?.ti=sgi-ql.,.-e..ys.li.e.y-.g.eny.liqe.!e.:.99J!9.19.19.i.?-s-.9.9..g-o-llLql.illgflg.-9.e.ls.lne
9pg_tt!1.t3..?..19p_.p?.t199..f-e..:p9-tp..?P!-e..9.99-.?pl!.93I..T.99.t9.e:..."..e11p-gllvg:, .ll.q!l].vp-l9g.l*
elLe.9!Lg-"..gielt.v..9!..99-tP-ei9:..:9.9v.1..991'.f9..9P-9..119.3:

,' ffi § ¡I
(ontiol lnterno - l,1ar(0 lrltesrado ' l'1av0 20ll
 *bjetiua:, {*;irfi il¡flrtr:'¡ Prt*eipiul

El Control lnterno y el proceso de gestión

Dado que el sistema de control interno es una parte de la responsabilidad general de la
dirección, Ios cinco componentes se analizan en el contexto de la dirección de la organi-
zación. Sin embargo, no todas las decisiones o medidas de la dirección son pade del
control interno:

. El hecho de contar con un consejo de administración que incluya a miembros con in-
dependencia suficiente de la dirección y que Ileven a cabo su función de supervisión
es parte del control interno. No obstante, muchas decisiones alcanzadas por el con-
sejo no son parte del control interno; por ejemplo, la aprobación de una visión o mi-
sión en particular. El consejo también desempeña una serie de responsabilidades de
gobierno además de sus responsabilidades de supervisión del control interno.
. Muchas decisiones estratégicas que inciden en los objetivos de la organización no
son pafte del control interno. Una organización puede aplicar enfoques de gestión de
riesgos corporativos u otros enfoques de cara al establecimiento de sus objetivos.
. El establecimiento del nivel general de riesgo aceptable y el apetito de riesgos rela-
cionado forma parte de la planificación estratégica y de Ia gestión de riesgos corpo-
rativos, y no forma parte del control interno. De igual manera, el establecimiento de
los niveles de tolerancia al riesgo en relación con los objetivos específicos tampoco
forman parle del control interno.
. El diseño de controles destinados a mitigar riesgos en base al proceso de evaluación
de riesgos de la organización sí forma pañe del control interno; sin embargo, la elec-
ción de una respuesta concreta para abordar, mitigar riesgos específicos no forma
pade del control interno.

EI Control lnterno y la fijación de objetivos

No resulta práctico diseñar e implementar un sistema de control interno a menos que se
hayan establecido, fijado y especificado los objetivos de la organización con respecto a
la organización. El establecimiento y fijación de objetivos asícomo de los subobjetivos
relacionados forman parte o son derivados del proceso de planificación estratégica, el
cual tiene en consideración las leyes, reglas, regulaciones y normas así como las alterna-
tivas elegidas por la propia dirección. No obstante, el control interno no puede dictar ni
establecer cuáles deben ser los objetivos de una organización.

Como parle del sistema de control interno, una organización especifica sus objetivos:

¡ Arliculando y codificando objetivos que sean especÍficos, medibles u observables, al-

canzables, pertinentes y limitados en el tiempo.
¡ Evaluando la idoneidad de los objetivos y de los subobjetivos en relación al control
interno en base a hechos y circunstancias, así como leyes, reglas, regulaciones y nor-
mas establecidas.
. Comunicando objetivos y subobjetivos a todos los niveles de la organización.

5 "Apetl.io de riesgo" se define como la cantidad de riesgo, a nivel general, que una organización está dis
puesta a aceptar en su intento por cumplir su misión/visión.

(ontrol tnterno , 2013

- t4ar(o tntegraclo l,layo
§& II
 .l
ÍÉr{i} i li-!iÉffi* tl{ {ü¡tti*i , Esait¡ñr¡+ir dc Fiesr¡r¡ , Actiyid¡des *e {rl¡rir"*i " !¡:f::rx!ri41i {$*iii1;{i{id¡t " Áii¡',"i*¡ü*5 tiq 5*¡:1rri:;¿j*

EI siguiente diagrama ilustra el establecimiento y fijación de objetivos como parle del

proceso de gestión ajeno al control interno así como la especificación y uso de los obje-
tivos como parte del control interno en el contexto de un objetivo de información finan-
ciera externa y de un objetivo operacional.

}§:,'r*,'.. :]lia,.ii.:llr:ii:: >

Las partes externas esta-
blecen leyes, reglas y nor-
mas (en caso aplicable)
relativas a los objetivos de
cumplimiento y de infor-
mación f inanciera externa.
Se fijan objetivos estraté-
gicos y se selecciona la
estrategia en el contexto
de la visión o misión esta-
blecida por Ia organiza-
cr 0n.
Se fijan los objetivos a
nivel de organización y se
desarrollan las tolerancias
al riesgo en base a requisi-
tos de la organización ade-
cuados a las
ci rc u nstancias.
Se articulan objetivos y Se utilizan los objetivos y
subobjetivos específ icos, sus objetivos especif ica-
medibles u observables, dos como base para la
alcanzables, pertinentes y evaluación de riesgos.
limitados en el tiempo.
Se evalúa y se confirma la
idoneidad de los objetivos
y de los subobjetivos de
cara al sistema de control
interno en base a hechos y
circunstancias, asÍ com
leyes, reglas, regulaciones
y normas establecidas.

Se alinean los objetivos Se comunican los objeti-

con la estrategia de la or- vos y subobjetivos a todos
ganización y el apetito al los niveles de la organiza-
riesgo general. ción y de sus unidades de
neg0cr0.
Se fijan objetivos y sub-
objetivos para la organiza-
ción y sus unidades de
negocio adecuados a las
ci rcu nstancias.

El Financial Accounting
Standards Board (FASB)
estableció principios con-
tables generalmente acep-
tados en Estados Unidos
(us GAAP).
Un organismo regulatorio
establece una norma con-
table sobre el reconoci-
miento de ingresos.
Nuestra compañía prepara
estados f inancieros conf ia-
bles que reflejan las opera-
ciones y acontecimientos
de acuerdo con los US
GAAP
Nuestra compañía reco-
noce los ingresos por ven-
tas en el momento de la
instalación de los equipos
en el caso de los arrenda-
mientos de capital en mo-
dalidad de venta o
reconoce los ingresos por
alquileres durante el pe-
riodo del arrendamiento
operativo.
. ll
La dirección evalúa y con-
firma que los US GAAP
son adecuados a las cir-
cunstancias. En caso con-
trario, la dirección aporta
sus comentarios con res-
pecto al proceso de fija-
ción de objetivos.
La dirección financiera de
la unidad operativa evalúa
y confirma la idoneidad de
las normas contables apli-
cables en relación con
todas las ventas de equi-
pos. En caso contrario, la
dirección financiera de la
unidad operativa apofia
sus comentarios con res-
pecto al proceso de fija-
ción de objetivos.
La dirección identifica y
evalúa los riesgos relati-
vos a la preparación de es-
-tados financieros
confiables que reflejan las
actividades de acuerdo
con los US GAAP
La dirección financiera de
la unidad operativa identi-
fica y evalúa los riesgos
relativos al registro de Ios
ingresos relacionados con
Ias ventas de equipos de
acuerdo con los US GAAP

No aplicable para objetivos Nuestra compañia trata de
o pe racionales mejorar los resultados in-
crementando la ratio de
rotación de existencias a
1 2 veces al añ0, al tiempo
que es consciente de que
unos menores niveles de
existencias pueden derivar
en un mayor número de
productos no disponibles
en stock para los clientes.
La dirección de la unidad La dirección de la unidad
operativa evalúa la idonei- operativa identifica y eva-
dad de los objetivos ope- lúa los riesgos existentes
racionales en relación con de cara al cumplimiento de
las metas establecidas de una ratio de rotación de
rotación de existencias y existencias de I 2 veces al
productos no disponibles añ o.
en stock. En caso contra-
rio, la dirección financiera
de la unidad operativa
aporta sus comentarios
con respecto al proceso de
fijación de objetivos.

(ontrollnterno-¡1aÍc0lntesraclo .
# §Il lvlayo2013
 thieiiv*s, Iur*fcrentes v pristif iss

Limitaciones del control interno

El Marco reconoce que, si bien un sistema efectivo de control interno proporciona una
seguridad razonable acerca de la consecución de los objetivos de la organización, exis-
ten limitaciones inherentes. lncluso un sistema de control interno efectivo puede experi-
mentar fallos. Estas limitaciones pueden ser el resultado de:

. La idoneidad de los objetivos establecidos como condición previa para el control in-
terno.

La realidad de que el criterio profesional de las personas en la toma de decisiones

puede ser defectuoso y estar sujeto a sesgos.

Incidencias que se pueden producir por fallos humanos, tales como el producto de
errores.

o La capacidad de la dirección de eludir los controles internos.

¡ La capacidad de Ia dirección y demás miembros del personal y/o de terceros, para

eludir los controles previa connivencia entre ellos.

¡ Eventos externos que escapan al control de la organización.

Estas limitaciones impiden que el consejo y la dirección tengan la seguridad absoluta de

la consecución de los objetivos de la organización, es decir, el sistema de control interno
proporciona una seguridad razonable, pero no absoluta.

(ontrol lnterno - . z0B

l,larco lntesrado l¡al,o
;il §§ II
 §rar(0r tüt0n0.dr.túll'ti.!l"fy:li9l.9f¡i9:99:"}jliYll¡!.l:9J.!:l.YÍl'1ry:f:l9lI.!lTy.T¡:fi{l".ryIl'flf::g:¡}qfl':':l

3. Efectividad del Control lnterno

Requisitos para un Control lnterno Efectivo
a
Un sistema efectivo de control interno proporciona una seguridad razonable respecto
que el control interno es rele-
la consecución de los objetivos de la organización. Dado
vante tanto para la organización como para sus unidades de negocio, un sistema efec-
tivo de control interno puede hacer referencia a una parte específica de la estructura de
la organización. Un sistema de control interno efectivo reduce, hasta un nivel aceptable,
el riesgo de no alcanzar un objetivo, el cual puede hacer referencia a una, a dos o a
las

tres categorías de objetivos. Para ello, es necesario que:

o Cada uno de los cinco componentes del control interno y los principios relevantes
estén presentes y en funcionamiento6'

o Los cinco componentes funcionan juntos de forma integrada'

A la hora de determinar si un sistema de control interno es efectivo, la dirección ejerce

su criterio profesional para evaluar si cada uno de los componentes y principios relevan-
juntos'
tes están presentes y en funcionamiento y si los componentes funcionan

En el momento en el cual se determine que el sistema de control interno es efectivo, la

alta dirección y el consejo de administración tendrán una seguridad razonable en rela-
ción a las siguientes categorías de objetivos:

. Operacionales-la organización:

- Consigue llevar a cabo operaciones eficaces y eficientes cuando se considera

poco probable que los eventos externos tienen un impacto significativo en la con-
secución de los objetivos o cuand o la organización puede prever razonablemente
la naturaleza y la duración de dichos eventos externos y mitigar su impacto a un
nivelacePtable.

- Entiende en qué medida las operaciones se gestionan con eficacia y eficiencia

cuando los eventos externos pueden tener un impacto significativo en la consecu-
ción de los objetivos o cuando la organización no puede mitigar su impacto a un
nivel aceptable.

. De información-laorganización prepara informes en conformidad con las leyes, re-

gulaciones y normas aplicables establecidas por legisladores, reguladores y organis-
mos de normalización o con objetivos de información específicos de la organizacién
y sus políticas relacionadas.

. De cumptimiento-laorganización cumple las leyes, reglas y regulaciones aplicables.

El Marco establece que los componentes y los principios son requisitos

para un sistema
de control interno efectivo. No establece, sin embargo, el proceso sobre cómo la direc-
ción debe evaluar su eficacia.

que constitu-
61" Capftüo 4, Consideraciones adicionales, se introducen una serie de puntos de interés
El Marco no requiere que la dirección evalÚe por sepa-
yen"limportantes características de los principios.
iado si estos puntos de inierés se encuentran presentes'

ZO elllt tontrollnterno-Marcolntesrado' l,lavo2013

 :i.r¡ix¡4;i í:iii í.rnrtr¡ irrl+i!*

ldoneidad y relevancia de los componentes y prin-

cipios
tlMarco considera que todos los componentes del control interno son adecuados y re-
evantes para todas las organizaciones.

Los principios son conceptos fundamentales asociados con los componentes. Como
tales, el Marco considera que los '1 7 principios son adecuados para todas las organiza-
ciones. El Marco considera que los principios son relevantes porque tienen una influen-
cia significativa en la presencia y el funcionamiento de un componente asociado. Por
consiguiente, si un principio relevante no se encuentra presenie y en funcionamiento, el
componente asociado no puede estar presente y en funcionamiento.

Pueden existir situaciones sectoriales, operacionales o regulatorias particulares en las

que la dirección haya determinado que un principio no sea relevante para un compo-
'rente. Las consideraciones que se pueden tener en cuenta a la hora de aplicar este cri-
terio pueden incluir que la estructura de la organización reconozca cualquier requisito
egal, regulatorio, sectorial o contractual sobre el gobierno de la organización, y el nivel
de uso y dependencia de la tecnología utilizado por la organización. La dirección debe
respaldar su determinación de que un principio no sea relevante, bajo el razonamiento
Ce cómo, en ausencia de dicho principio, el componente asociado puede estar presente
y'en funcionamiento.

Presente y en funcionamiento
La expresión "presente y en funcionamiento" es aplicable tanto a componentes como a
principios.

. "Presente" se refiere a la determinación de que los componentes y principios relevan-

tes existen en el diseño e implementación del sistema de control interno para alcan-
zar los objetivos especificados.

. "En funcionamiento" se refiere a la determinación de que los componentes y princi-

pios relevantes siguen existiendo en el manejo del sistema de control interno para la
consecución de los objetivos especificados.

A la hora de determinar si un componente está presente y en funcionamiento, la alta di-

rección, bajo supervisión del consejo de administración, debe determinar hasta qué
punto los principios relevantes están presentes y en funcionamiento. Sin embargo, el
hecho de que un principio esté presente y en funcionamiento no implica que la organiza-
ción esté realizando todos los esfuerzos posibles por conseguir el mayor nivel de resul-
:ados posibles en la aplicación de un principio en concreto. Por el contrario, la dirección
aplicará su criterio profesional para sopesar el coste y el beneficio de diseñar, imple-
mentar y llevar a cabo el sistema de control interno.

Funcionar juntos
El Marco requiere que los cinco componentes funcionen juntos de forma integrada.
''Funcionar juntos" se refiere a la determinación de que los cinco componentes de ma-
nena conjunta reducen, a un nivel aceptable, el riesgo de no alcanzar un objetivo.

tontrot Interno - t1arro trrtesracto . t'4ayo 20tl §&§ I

 ,t:.tt!:.a¿í_t ;:;, i1.,.a-a!:,*aú4a 4i,1:*a,.: ;:,i.:

Los componentes son interdependientes, existiendo una gran cantidad de interrelacio-

nes y vínculos entre ellos, en pafticular, en la manera en que los principios interactúan
dentro de los componentes y entre los propios componentes. Los componentes que
están presentes y en funcionamiento capturan las interdependencias inherentes y los
vínculos existentes entre ellos. Entre los ejemplos de componentes que operan juntos se
incluyen los siguientes:

. La organización establece unas normas de conducta esperadas y fija unos paráme-

tros de desempeño e incentivos dentro del entorno de control para reducir las posibi-
lidades de que se produzca un comportamiento fraudulento, lo cual puede impactar
en el nivel de riesgo de fraude obtenido en el proceso de evaluación de riesgos.

o El desarrollo e implantación de políticas y procedimientos como parte de las activida-

des de control contribuyen a la mitigación de riesgos identificados y analizados en la
evaluación de riesgos.

. El procesam¡ento de información relevante y de calidad dentro de Ia Información y

Comunicación respalda el despliegue de un proceso de negocio y controles transac-
cionales dentro de las Actividades de Control, así como el desarrollo de evaluaciones
continuas y separadas de dichos controles en el marco de las actividades de supervi-
sión.

. La comunicación de las deficiencias de control interno a aquellas personas responsa-

bles de adoptar medidas correctivas como parte de las actividades de supervisión,
requiere que se disponga de un pleno entendimiento de las estructuras de la organi-
zación, de sus líneas de comunicación de la información, facultades y responsabili-
dades según hayan sido fijados en el entorno de control y según se haya
comunicado en el marco de la información y comunicación.

Por consiguiente, la dirección puede demostrar qué componentes funcionan juntos

cuando:

Los componentes estén presentes y en funcionamiento.

El conjunto de las deficiencias de control interno en todos los componentes no den

como resultado la determinación de que existen una o más deficiencias graves.

Deficiencias en el Control lnterno

Existen muchas fuentes potenciales parala identificación de deficiencias de control in-
terno, incluyendo las actividades de supervisión de la organización, otros componentes
y partes externas que realicen contribuciones relativas a la presencia y funcionamiento
de los componentes y los principios relacionados.

La expresión "deficiencia de control interno" hace referencia a cualquier falta de un com-

ponente o componentes y sus principios relevantes que reducen la probabilidad de que
una organización cumpla sus objetivos. Una deficiencia de control interno o una combi-
nación de deficiencias que reduzcan de forma severa la probabilidad de que una organi-
zación consiga lograr sus objetivos se denomina una "deficiencia grave". Tal y como se
ilustra a continuación, una deficiencia grave es un subconjunto de deficiencias del con-

(ontrol lnterno - .
I §I I l,4arro lntesrado f4ay0 20tl
 íI*tutiNi,::i i 4*\ i iilii*\ ií11**ii

trol interno. Como tal, una deficiencia grave es también por definición una deficiencia del
control interno.

Deficiencias de Control Interno

Deficiencias Graves \
rs

Cuando existe una deficiencia grave, la organización no puede concluir que haya cum-
clido los requisitos de un sistema de control interno efectivo. Existe una deficiencia
grave en el sistema de control interno cuando la dirección determina que un compo-
rente y uno o más principios relevantes no están presentes o en funcionamiento, o que
ios componentes no funcionan juntos.

Una deficiencia grave en un componente no se puede mitigar hasta un nivel aceptable a

iravés de la presencia y el funcionamiento de otro componente. De igual manera, una
deficiencia grave de un principio relevante no se puede mitigar hasta un nivel aceptable
a través de la presencia y el funcionamiento de otros principios.

Para determinar si los componentes y los principios relevantes están presentes y en fun-
cionamiento, Ia dirección puede tener en cuenta controles que lleven a cabo los princi-
pios7. Por ejemplo, a la hora de evaluar si el principio Evaluar el riesgo de fraude se
encuentra o no presente y en funcionamiento, la organización puede considerar determi-
nados controles para llevar a cabo otros principios, tales como aquellos que guardan re-
ación con Establece estructuras, autoridad, responsabilidades hace cumplir la
responsabilidad por la rendición de cuentas. Al tener en cuenta controles inicialmente
considerados en el contexto de otros principios, la dirección puede determinar que el
principio Evalúa el riesgo de fraude está presente y en funcionamiento.

En base a su criterio profesional la dirección evalúa la gravedad de una deficiencia de

control interno, o una combinación de deficiencias, a la hora de determinar si los com-
ponentes y los principios relevantes están presentes y en funcionamiento, si los compo-
nentes están funcionando juntos y, en último término, para determinar la eficacia del
sistema de control interno de la organización. De igual manera, este criterio profesional
puede variar en función de la categoría de objetivos que se trate.

Los reguladores, organismos de normalización y demás terceras pañes relevantes pue-

den establecer criterios para definir la gravedad de las deficiencias de control interno,
cara evaluarlas y para comunicarlas. El Marco reconoce y adapta sus facultades y res-
consabilidades según lo establecido en las leyes, reglas, regulaciones y normas exter-
td¡.

papel de los con-

=n el Capítulo 4, Consideraciones adicionales, se describe con mayor detenimiento eL
troles y cómo llevan a cabo los principios.

.
t0ntr0ltnterrro-l,larcolntegrad0 1,14y02013
ii|ffi It 23
En aquellos casos en los que una organización aplique una ley, regla, regulación o norma
externa, la dirección deberá ulilizar únicamente los criterios relevantes contenidos en di-
chos documentos para clasificar la gravedad de las deficiencias de control interno, en
lugar de basarse en las clasificaciones establecidas en el Marco. El Marco reconoce que
cualquier deficiencia de control interno que dé como resultado un sistema de control in-
terno no efectivo en virtud de tales criterios, también impedirá que la dirección pueda
concluir que la organización ha cumplido los requisitos de un sistema de control interno
efectivo de acuerdo con el Marco (por ejemplo, un incumplimiento importante relacio-
nado con objetivos operacionales o de cumplimiento, o una debilidad material relativa a
objetivos de cumplimiento o de información externa)'

En el caso de objetivos operacionales y de información interna, la alta direcciÓn, bajo su-

pervisión del consejo de administración, podrá establecer criterios objetivos para evaluar
las deficiencias de control interno y para determinar cómo se deben comunicar dichas
deficiencias a las personas responsables de alcanzar estos objetivos.

Otras considerac¡ones
Aunque la organización puede confiar en un proveedor de servicios externalizados para
llevar a cabo procesos de negocio, políticas y procedimientos en nombre de la organiza-
ción, la dirección mantendrá la responsabilidad última sobre el cumplimiento de los re-
quisitos correspondientes a un sistema efectivo de control interno.

La evaluación de la eficacia del control interno realizada por la dirección se realizará

dentro del sistema de control interno de la organización. El resto de partes que interac-
túen con la organización, como puedan ser los auditores externos y los reguladores, no
son parte del sistema de control interno de la organización y por tanto, no pueden for-
mar pafte del proceso de evaluación de un control interno efectivo por parte de la
dirección.

§ * III
(ontrol lnterno - l,4ar(o lntesrado ' MaYo 20ll
4. Consideraciones adicionales
Criterio profesiona I

El Marco requiere la aplicación del criterio profesional a la hora de diseñar, implementar

y ejecutar el sistema de control interno y evaluar su eficacia. El uso de dicho criterio pro-
fesional mejora la capacidad de la dirección para tomar mejores decisiones sobre el sis-
tema de control interno, pero no puede garantizar resultados perfectos.

Dentro de los límites establecidos por las leyes, reglas, regulaciones y normas, la direc-
ción ejercita su criterio profesional en áreas importantes tales como:

. La aplicación de los componentes del control interno en relación con las categorías
de objetivos.

. La aplicación de los componentes del control interno y los principios dentro de la es-
tructura de la organización.

. La especificación de objetivos y subobjeiivos idóneos y la evaluación de los riesgos

parala consecución de dichos objetivos.

. La selección, desarrollo y despliegue de controles necesarios para llevar a cabo los

principios.

. La evaluación de sí los componentes están presentes, en funcionamiento y funcionan

juntos.

. La evaluación de sí los principios son relevantes paralaorganización, y están presen-

tes y en funcionamiento.

. La evaluación de la gravedad de una o más deficiencias del control interno de

acuerdo con las leyes, reglas, regulaciones y normas externas aplicables, o con arre-
glo al Marco.

Por ejemplo, durante la preparación de los estados financieros, la dirección ejercita su

criterio profesional para cumplir los requisitos de información financiera externa. La di-
rección considerará cómo deben gestionarse los riesgos identificados que pueden afec-
tar a los objetivos y subobjetivos de información financiera establecidos. Las alternativas
de la dirección para responder ante estos riesgos pueden ser limitadas en comparación
con algunas otras categorías de objetivos. Esto significa que es menos probable que la
dirección acepte un riesgo a que lo mitigue. En el caso de los objetivos de información
financiera externa relativos a los estados financieros preparados a efectos externos, la
aceptación de riesgos sólo debe producirse cuando los riesgos identificados no puedan
superar, ni individualmente ni de forma combinada, el umbral de riesgo, ni puedan dar
como resultado un error u omisión material.

La dirección también ejercita su criterio profesional a la hora de especificar y utilizar prin-

cipios contables adecuados, especialmente aquellos que hagan referencia a parámetros
subjetivos y transacciones complejas. Por ejemplo, la dirección ejercita su criterio profe-
sional a la hora de adoptar hipótesis y utilizar datos para el desarrollo de estimaciones

(0ntr0 tnterno-l4ar(0 ntesrado. t4ayo20t3

$§ll
 l{*rco i [rt*r¡le ile {criirs¡ - tr'{*¡ü§{id!i {ia Blei**i ' &rliyid*des de iontr*l ' l*iarmaeidn I {s*¡¡¡¡ti¡*cidr " fltti'J¡dade: de §t¡P*ivis¡rin

contables, a la hora de aplicar los principios contables a transacciones complejas, y a la

hora de preparar presentaciones e informes confiables y transparentes. El control interno
sobre la información financiera externa aborda el potencial sesgo que puede producirse
a la hora de ejercitar el criterio profesional, lo cual podría derivar en un error u omisión
material sobre la información financiera externa.

Puntos de interés
El Marco describe una serie de puntos de interés que son características importantes de
los principios. La dirección puede determinar que algunos de estos puntos de interés no
son adecuados o relevantes y puede identificar y tener en cuenta otros puntos de interés
Con base en las circunstancias específicas de la organización. Estos puntos de interés
pueden ayudar a la dirección a la hora de diseñar, implementar y llevar a cabo el control
interno así como al evaluar si los principios relevantes están de hecho presentes y en
funcionamiento. El Marco no requiere que la dirección evalúe por separado si estos pun-
tos de interés se encuentran presentes.

Controles para llevar a cabo los princip¡os

Dentro del proceso de control interno se encuentran incorporados los controles, que
constan a su vez de polÍticas y procedimientos. Las políticas reflejan la visión de la direc-
ción o del consejo sobre Io que debe hacerse para llevar a cabo el control. Los procedi-
mientos se componen de medidas que implantan las políticas. Las organizaciones
seleccionan y desarrollan controles dentro de cada componente para llevar a cabo los
principios relevantes. Los controles están interrelacionados y pueden respaldar múltiples
objetivos y principios.

El Marco no determina qué serie de controles específicos se deben seleccionar, desarro-

Ilar o desplegar para que un sistema de control interno sea efectivo. Esa determina-
ción debe ser el resultado del criterio profesional adoptado por la dirección de
acuerdo con factores específicos de cada organización tales como:

Las leyes, reglas, regulaciones y normas aplicables a la organización.

La naturaleza del negocio de la organización y de los mercados en los que opera.

El alcance y la naturaleza del modelo operativo adoptado por la dirección.

. La capacidad del personal responsable del control interno.

EI uso y Ia dependencia de las tecnologías.

Las respuestas adoptadas por la dirección ante los riesgos evaluados'

Existe la expectativa de que la dirección obtenga pruebas convincentes que respalden

su determinación de que los componentes y principios relevantes están presentes y en
funcionamiento. La dirección considerará los controles junto con su evaluación de los
componentes y de los principios relevantes. El entendimiento de cómo los controles lle-
van a cabo los principios a través de su selección, desarrollo y despliegue, proporciona

controllnterno-lvlarcolntesrado' t,tatloi0l3
76 3§ § ll
 ¡:r;¡: i.it:-i;*¿,¡:l
{.:¡ t'¡t:+-1* I ¿ t-;

evidencias que respaldan la evaluación realizada por la dirección acerca de si el sistema

de control interno de la organización es efectivo. La ausencia de controles necesarios
para llevar a cabo los principios relevantes representaría una deficiencia del control in-
terno. El Marco contempla el uso del criterio profesional a la hora de evaluar el impacto
potencial de una deficiencia de control en la presencia y el funcionamiento de un princi-
pio relevante. La dirección puede tener en cuenta otros controles (que pueden estar o no
relacionados con un componente o principio en pafticular) que compensen una deficien-
cia del control interno.

Los límites de Ia organización

Muchas organizaciones optan por externalizar determinados procesos y actividades de
negocio a proveedores de servicios externalizados. Este enfoque ha cobrado gran popu-
laridad debido a las ventajas que conlleva conseguir acceso a recursos humanos de
cajo coste, reducir costes en la gestión diaria de determinadas funciones, obtener ac-
ceso a mejores procesos y sistemas y permitir a la dirección centrarse en mayor medida
en la misión de la organización.

Los proveedores de servicios externalizados pueden ayudar a las organizaciones a llevar

a cabo procesos de negocio tales como compras, gestión de cuentas a pagar, nóminas,
gestión de pensiones y prestaciones a empleados, gestión de inversiones y programas
de retribución basados en acciones. Estos proveedores externos pueden además llevar
a cabo actividades tecnológicas que respalden los procesos de negocio, prestando ser-
'',lcios para abastecer, gestionar y mantener sistemas tecnológicos que anteriormente se
gestionaban internamente. Los avances conseguidos en el ámbito tecnológico han cre-
ado opodunidades de ahorro en costes a través del acceso a complejas arquitecturas
que proporcionan tecnologías compartidas escalables y bajo demanda que respaldan
actividades más complejas y operaciones de negocio en constante cambio, cuyo coste
codría ser prohibitivo para la dirección en caso de que constituyeran una inversión in-
i3rna.

Esta dependencia de proveedores de servicios externalizados modifica los riesgos de

as actividades del negocio, incrementa la imporlancia de la calidad de Ia información y
le las comunicaciones con el exterior de Ia organización, y genera mayores desafíos a la
rora de supervisar sus actividades y los controles relacionados. Si bien la dirección
¡uede recurrir a terceros para que lleven a cabo determinados procesos de negocio, ac-
tividades y controles en nombre de la organización, en último término, la dirección es
quien asume la responsabilidad del sistema de control interno. Así por ejemplo, la direc-
ción es quien asume la responsabilidad a la hora de definir objetivos, gestionar los ries-
gos asociados y seleccionar, desarrollar y desplegar el control para llevar a cabo los
componentes y los principios relevantes.

El Marco puede aplicarse al conjunto de la organización con independencia de las alter-

nativas que la dirección haya adoptado sobre cómo llevar a cabo las actividades de ne-
gocio para respaldar sus objetivos, bien sea directamente o a través de relaciones
externas.

(ontrol lnterno - 11arc0 lntesrado . l4ay0 20ll i §§ I

 Tecn olog ía
La tecnología puede resultar esencial para apoyar a la dirección en la consecución de
los objetivos de Ia organización y mejorar el control sobre las actividades de la organiza-
ción. El número de organizaciones que recurren a la tecnologÍa no deja de crecer, y lo
mismo sucede con el alcance de las tecnologías que se utilizan.

A menudo nos referimos a la tecnología a través de otros términos y expresiones tales

como "los sistemas de información de gestión" o "las tecnologías de la información".
Estas expresiones o términos comparten la idea de utilizar una combinación de proce-
sos manuales y automatizados, así como hardware y software informatizado, y metodo-
logías y procesos informáticos. El Marco utiliza el término "tecnología" para referirse a
todos los sistemas informatizados, incluidas aplicaciones informáticas que funcionen en
un sistema informático o en sistemas de control operacional.

Los entornos tecnológicos varían en gran medida en función del tamaño, la complejidad
y el grado de integración. Dichos entornos pueden incluir desde grandes sistemas cen-
tralizados e integrados hasta sistemas descentralizados que operen de manera indepen-
diente dentro de una unidad operativa específica. Entre estos sistemas se pueden incluir
entornos de procesamiento en tiempo real que permitan un acceso inmediato a la infor-
mación, incluidas aplicaciones informáticas móviles que puedan ser aplicables a múlti-
ples sistemas, organizaciones y geografías. La tecnología hace posible que las
organizaciones puedan procesar grandes volúmenes de transacciones, transformar
datos en información para apoyar una sólida toma de decisiones, compartir información
de manera eficiente a todos los niveles de la organización así como con sus socios co-
merciales, garanlizar la confidencialidad de la información y evitar un uso inapropiado de
la misma. De igual manera, la tecnología puede permitir a una organización compartir
sus datos operacionales y de desempeño con interés las partes interesadas.

La innovación tecnológica crea oportunidades y riesgos. Puede hacer posible el desarro-

llo de nuevos modelos de negocio y nuevos mercados empresariales, generar eficiencias
a través de la automatización y permitir a las organizaciones llevar a cabo actividades
que anteriormente hubieran sido difíciles de imaginar. La tecnología puede incrementar
la complejidad, lo cual dificulta la identificación y la gestión de los riesgos.

Los principios presentados en el Marco no cambian con la aplicación de la tecnología.

Esto no quiere decir que la tecnología no haya cambiado el entorno del control interno.
Sin duda alguna, afecta a cómo una organización es capaz de diseñar, implementar y
Ilevar a cabo el control interno, teniendo en cuenta la mayor disponibilidad de informa-
ción y el uso de procedimientos automatizados, pero los mismos principios siguen
siendo adecuados y relevantess.

B. Dado que se trata de un marco basado en principios y dado que la tecnología está constantemente evo-
lucionando, el Marco no aborda tecnologías específicas tales como el cloud computing o las redes socia-
les.

- .
28
§ f §I t tontrol lnterno llarco lntesrado l,layo 2013
 {i:l:,ii:*1,:li*¡:*i l*i;i+¡:¡1q:

Entidades de mayor tamaño frente a

organizaciones de menor tamaño
Los principios que subyacen a los componentes del control interno son aplicables tanto
a las organizaciones de mayor tamaño como a las de menor tamaño. Sin embargo, los
modelos utilizados para su implementación pueden variar en el caso de las organizacio-
nes de menor tamaño, con independencia de si la organización cotiza en un mercado de
valores, es de propiedad privada, es un organismo público o una organización sin ánimo
de lucro. Por ejemplo, todas las organizaciones cotizadas cuentan con un consejo de
administración u otro órgano de gobierno similar con responsabilbidades de supervisión
sobre la información de la organización. Una organización de menor tamaño puede tener
una estructura societaria y un modelo operativo de gestión menos complejos así como
una comunicación con los administradores más frecuente, lo cual permita adoptar un
enfoque diferente de supervisión por parte del consejo. De igual manera, de la misma
manera que muchas organizaciones cotizadas a menudo están obligadas a contar con
un canal de denuncias, este tipo de procedimientos de comunicación pueden variar en
el caso de organizaciones de menor tamaño u otro tipo de grandes compañías no coti-
zadas. En una organización de grandes dimensiones, por ejemplo, el volumen de even-
tos comunicados puede exigir que inicialmente se comunique un incidente a un
deparlamento interno de personal previamente identificado, mientras que en una organi-
zación de menor tamaño puede que se comunique directamente al presidente del co-
mité de auditoría.

Las organizaciones de menor tamaño suelen tener una serie de ventajas diferenciadas
que pueden contribuir a conseguir un sistema de control ¡nterno efectivo. Estas ventajas
pueden incluir un mayor alcance del control ejercido por la alta dirección y una mayor
interacción directa con el personal. Por ejemplo, las organizaciones de menor tamaño
puede que encuentren que las reuniones informales con los miembros del personal re-
sultan enormemente eficaces para comunicar información relevante para el desempeño
operacional de la organización, mientras que las compañías de mayor tamaño puede
que requieran de mecanismos más formales tales como la preparación de informes por
escrito, portales en la intranet, reuniones formales periódicas o teleconferencias para co-
municar asuntos similares.

Por el contrario, las organizaciones de mayor tamaño pueden aprovechar determinadas

economías de escala que a menudo afectan a los equipos de apoyo. Por ejemplo, esta-
blecer un equipo o función de auditoría interna dentro de una organización nacional de
pequeño tamaño, probablemente exigiría destinar una mayor proporción de los recursos
económicos de la organización que en el caso de una organización multinacional de
mayor tamaño. Una organización de menores dimensiones puede que no disponga de
un equipo o función de auditoría interna o puede que externalice dicha función, mientras
que una organización de mayor tamaño sí que dispondrá de esta función, la cual tendrá
una mayor gama de conocimientos y experiencias entre su personal interno. En cual-
quier caso y casi con toda probabilidad, el coste relativo de dicha función será superior
en el caso de la organización de menor tamaño que en el caso de una organización de
mayores dimensiones.

tontrot tnterno - tular(o tntesraclo . t'4ay0 20tl *j ffi !I

Flaffs ¡ intorlls de i*fi{r*! " Íyalueiiiifi de E¡e§$l:: " Sitirid*des d* {*fiircl " l*fcrm¡cirÍn y {c¡n¡:ritarió¡r " Aitl?idr¿ies d+ S¡Frrvisirn

Beneficios y costes del Control lnterno

Beneficios
El control interno proporciona muchos beneficios a una organización. Ofrece a la direc-
ción y al consejo de administración un nivel de confianza adicional en relación con la
consecución de sus objetivos, apoftándoles feedback sobre cómo funciona el negocio y
ayudándoles a reducir las probabilidades de que se produzcan sorpresas. Entre las ven-
tajas o beneficios más significativos de un sistema de control interno efectivo para la
mayoría de las organizaciones se encuentran la capacidad de cumplir determinados re-
quisitos para acceder a los mercados de capitales, proporcionándoles un mayor creci-
miento económico e innovación gracias a dicha aportación de capital. El acceso a los
mercados de capitales, por supuesto, conlleva responsabilidades para llevar a cabo de
manera confiable y puntual una adecuada información para los accionistas, acreedores,
proveedores de capital, reguladores y demás terceras partes con las que la organización
pueda tener una relación contractual directa. Por ejemplo, un sistema de control interno
efectivo apoya la información financiera externa fiable, la cual a su vez potencia la con-
fianza de los inversores a Ia hora de aportar el capital necesario.

Otros beneficios del sistema de control interno efectivo incluyen los siguientes aspectos:

o Una información fiable que apoye a la dirección y al consejo en la toma de decisiones

sobre aspectos tales como la fijación de precios de los productos, las inversiones de
capital y Ia asignación de recursos.

. Un uso sistemático de determinados mecanismos para procesar transacciones, apo-

yar la calidad de la información y de las comunicaciones a todos los niveles de la or-
ganización, mejorar la velocidad y la fiabilidad a la que se inician y se liquidan las
transacciones y proporcionar un mantenimiento fiable de registros documentales y la
integridad continuada de los datos.

. El aumento de la eficiencia dentro de las funciones y procesos

. Una base para aquellas decisiones en las que sea necesario hacer uso del criterio
profesional en aspectos altamente subjetivos y significativos.

. La capacidad y confianza para comunicar con precisión el desempeño del negocio a

los socios comerciales y clientes, reforzando así la continuidad de la relación con los
mismos.

De igual manera, el Marco permite a la dirección mejorar Ia eficiencia en el diseño, im-

plementación y ejecución de un sistema de control interno. Por ejemplo:

. Comprender la imporlancia de especificar objetivos adecuados puede centrar la

atención de Ia dirección en aquellos riesgos y controles que sean más imporlantes
para lograr estos objetivos.

¡ Centrarse en aquellas áreas de riesgo que superen los niveles aceptables y deban ser
gestionados a todos los niveles de la organización puede reducir los esfuerzos desti-
nados a la mitigación de riesgos en áreas de menor impoftancia.

tontrollnterno-Marrolntesrado .
?§§ II Mayo2013
 i* i'¡:! ii,.r*i ie ¡re'. Éf ricc¡
i !*:

. Coordinar esfuerzos para identificar y evaluar riesgos a través de múltiples objetivos

puede reducir el número de riesgos aislados que se evalúen y mitiguen.

. Seleccionar, desarrollar y desplegar controles que lleven a cabo múltiples principios

también puede reducir el número de controles aislados o redundantes.

. Aplicar un lenguaje común -el Marco- que aborde los procesos y controles operacio-
nales, de información y de cumplimiento puede reducir el número de lenguajes utili-
zados para describir el control interno a todos los niveles de organización.

Las organizaciones siempre tienen Iimitaciones en sus recursos humanos, de capital y

Ce gasto y por tanto suelen considerar los costes con relación a los beneficios que po-
drían derivarse de enfoques alternativos a la hora de gestionar las distintas opciones del
control interno.

Costes
Generalmente, es más fácil abordar el aspecto de los costes a la hora de realizar una va-
loración coste/beneficio dado que en la mayoría de los casos los costes financieros se
pueden cuantificar de manera más precisa. Por lo general, se suelen considerar todos
los costes directos asociados a la implementación de medidas y respuestas de control
nterno, más los costes indirectos cuando sea viable cuantificarlos. Algunas organizacio-
nes también incluyen los costes de oporlunidad asociados al uso de los recursos.

En líneas generales, la dirección considera una amplia gama de factores de costes en re-
lación con los beneficios previstos a la hora de seleccionar y desarrollar los controles in-
ternos. Estos factores pueden incluir los siguientes:

. Considerar los pros y contras de contratar y retener empleados con un mayor nivel
de capacidades y los mayores costes de retribución que esto lleve aparejados. Por
ejemplo, una empresa privada, estable y de pequeñas dimensiones puede que no
quiera o pueda contratar a un director financiero que tenga experiencia trabajando
para empresas cotizadas.

. Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo activida-
des de control; el posible incremento de esfuerzos que dicha actividad añada al pro-
ceso de negocio; y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.

Evaluar los efectos del aumento de la dependencia en las tecnologías. Si bien el es-
fuerzo requerido para llevar a cabo el control y el impacto que puedan tener los nue-
vos controles basados en tecnologías sobre el proceso de negocio puede que sean
pequeños, el coste relacionado con la selección, desarrollo, mantenimiento y actuali-
zación de la tecnología podría ser significativo.

Comprender cómo los cambios en los requisitos de información pueden exigir una
mayor recopilación, procesamiento y almacenam¡ento de datos, lo cual podría impul-
sar de manera exponencial el volumen de datos necesarios. Con un mayor volumen
de datos a disposición de la organización, ésta afrontará el reto de evitar la sobre-
carga de información asegurándose un flujo de información adecuado, en el formato

(ontrottnterno-ttariolntegrado . tvlayo201l
§ffi tl
 adecuado, en base al nivel apropiado de detalle, para las personas adecuadas y el
momento opoftuno. Para establecer un sistema de información que sopese los cos-
tes y los beneficios será necesario realizar una valoración meditada de los requisitos
de información.

Otras consideraciones para determinar los beneficios y costes

En toda valoración coste/beneficio, el lado de los beneficios a menudo incluye una eva-
luación más subjetiva. Por ejemplo, los beneficios o ventajas de un programa de forma-
ción efectivo normalmente suelen ser evidentes pero también difíciles de cuantificar. Los
programas de formación a menudo no están diseñados para medir o cuantificar los be-
neficios o para capturar los datos necesarios que permitan evaluarlos. Los programas de
formación de ventas puede que no estén estructurados para cuantificar los resultados
de ventas de los empleados antes y después de asistir a la formación, lo cual dificulta la
determinación de si dicha formación ha sido eficazy si se han cumplido los objetivos.
De igual manera, valorar los beneficios en relación con las expectativas de las partes in-
teresadas puede resultar aún más difícil de evaluar. No obstante, en muchos casos, el
beneficio de desarrollar medidas dentro de cualquiera de los cinco componentes del
control interno, se puede evaluar en el contexto del beneficio asociado a la consecución
del objetivo al que hace referencia.

La complejidad de las valoraciones coste/beneficio, se ve a su vez incrementada por la

interrelación existente de los controles con las operaciones del negocio. Cuando los
controles se integran con los procesos de negocio y de gestión, resulta difícil aislar sus
costes o beneficios.

Depende por tanto de la dirección cómo evaluar en una organización los costes frente a
los beneficios derivados de planteamientos alternativos a la implementación de un sis-
tema de control, y qué medidas adoptar en último término. No obstante, el coste por sí
solo no es una razÓn aceptable para no implementar el sistema de control interno. Las
valoraciones coste./beneficio respaldan Ia capacidad de la dirección para desarrollar y
mantener un sistema de control interno que sopese la asignación de recursos humanos
en relación con las áreas de mayor riesgo, complejidad u otros factores relevantes para
los objetivos de la organización.

Docu mentación
Las organizaciones desarrollan y mantienen una determinada documentación para su
sistema de control interno por diferentes de razones. Una de ellas consiste en apoftar
claridad a las funciones y responsabilidades, lo cual favorece la coherencia a la hora de
cumplir las prácticas, políticas y procedimientos de la organización en Ia gestión del ne-
gocio. Una documentación eficaz ayuda a capturar el diseño del control interno y a co-
municar aspectos como el quién, qué, cuándo, dónde y por qué de la ejecución del
control interno, y a generar normas y expectativas de desempeño y de conducta. otro
propósito de la documentación consiste en ayudar en Ia formación de personal nuevo y
en ofrecer información actualizada o de referencia para el resto de empleados. La docu-
mentación también apofta pruebas de la ejecución del control interno, permite su ade-

tontrollntuno-l4ar(olntesrado .
; §§ Il l4ay020li
 i-l ;:!¡ i¡.:: ¡: :-i ; t:¡*i i¡tli :-i;¡:: :¿i *l

ouada supervisión y respalda la información sobre la eficacia del control interno, espe-
olalmente cuando es evaluada por terceras paftes que interactúan con la organización
lales como los reguladores, auditores o clientes. De igual manera, la documentación
oonstituye un medio para conservar el conocimiento de laorganización y mitigar el
riesgo de que los conocimientos residan únicamente en un limitado número de
empleados.

La dirección también debe determinar cuánta documentación se necesita para evaluar la

eficacia del control interno. Siempre es necesario un cierto nivel de documentación para
asegurar a la dirección que cada uno de los componentes y principios relevantes están
oresentes y en funcionamiento y que los componentes funcionan juntos. Esto puede in-
clui¡ por ejemplo, documentos que muestren que todos los envíos han sido facturados o
que se han llevado a cabo todas las conciliaciones periódicas. Es necesario tener en
cuenta dos niveles específicos de requisitos de documentación en relación con la infor-
mación financiera y no financiera externa:

. En aquellos casos en los que la dirección deba rendir cuentas a reguladores, accio-
nistas u otras terceras partes con respecto al diseño y a la ejecución eficaz de su sis-
tema de control interno, la dirección tendrá un mayor grado de responsabilidad. Por
lo general, esto conlleva un cierto nivel de documentación para garanlizar que cada
uno de los componentes y principios relevantes están presentes y en funcionamiento
y que los componentes funcionan juntos. La naturaleza y el grado de documentación
necesarios podrán estar influidos por los requisitos regulatorios de la organización.
Esto no significa necesariamente que toda la documentación sea o deba ser más for-
mal, pero sí que se disponga de pruebas convincentes que muestren que los compo-
nentes y los principios relevantes están presentes y en funcionamiento, y que los
componentes funcionan juntos y que son apropiados para satisfacer los objetivos de
la organización.

. En casos en los que un auditor externo verifique la eficacia del sistema de control in-
terno, es probable que la dirección deba proporcionar al auditor el apoyo necesario
para llevar a cabo dicha verificación sobre la eficacia del control interno. Este apoyo
incluirá la generación de pruebas que muestren el sistema de control interno ha sido
diseñado adecuadamente y funciona de manera eficaz para proporcionar una seguri-
dad razonable de cara a Ia consecución de los objetivos de la organización. A la hora
de considerar la naturaleza y el grado de documentación necesarios, la dirección de-
berá tomar en cuenta que la documentación para respaldar dicha verificación proba-
blemente sea utilizada por el auditor externo en el marco de su auditoría, lo cual
incluirá valorar la suficiencia de dicha documentación. De igual manera, la dirección
necesitará documentar aquellos casos significativos en los que se utilice el criterio
profesional, cómo se han valorado dichas decisiones y cómo se alcanzaron las deci-
siones finales.

Puede que siga habiendo casos en los que los controles sean informales o estén implíci-
tos en las decisiones y medidas adoptadas por la dirección. Esto puede ser adecuado
cuando la dirección sea capaz de obtener pruebas a través del desarrollo ordinario de
as actividades del negocio que indiquen que el personal ha llevado a cabo de manera
ordinaria dichos controles. Sin embargo, es importante tener en cuenta que los contro-
les, tales como aquellos que se encuentran incorporados a las actividades de supervi-
sión o a las evaluaciones de riesqos, no pueden ser eiecutados en su totalidad sin que la
alta dirección tenga acceso a algún tipo de documentación sobre los análisis y procesos
de reflexión llevados a cabo por la dirección.

La naturaleza y el grado de documentación también variarán en función del tamaño de la

organización y de la complejidad del control. Las organizaciones de mayor tamaño nor-
malmente cuentan con un sistema de control interno mayor y con unos procesos de ne-
gocio de mayor complejidad, y por tanto estas organizaciones suelen requerir un mayor
volumen de documentación, lo cual incluirá manuales detallados de políticas y procedi-
mientos, flujogramas de procesos, organigramas y descripciones de puestos de trabajo.
En el caso de organizaciones de menor tamaño, la necesidad de documentación formal
será inferior. En estas últimas, suele haber menos personas y menos niveles directivos, al
tiempo que existen relaciones profesionales más estrechas y una interacción más fre-
cuente, lo cual potencia la comunicación sobre las expectativas y las metas alcanzadas.
En consecuencia, la dirección de la organización de menores dimensiones podrá con-
cluir a menudo que dispone de los controles adecuados a través de la mera observación
directa.

La documentación del sistema de control interno deberá satisfacer las necesidades del
negocio y ser proporcional a las circunstancias. El grado de documentación que res-
palde la presencia y el funcionamiento de cada uno de los componentes y los principios
relevantes del control interno, así como que los componentes funcionan juntos es una
cuestión de criterio profesional, y deberá llevarse a cabo teniendo en cuenta una ade-
cuada valoración de los costes que conlleve. De igual manera, la organización podrá be-
neficiarse de algún tipo de documentación formal que permita a la dirección reflexionar
sobre la lógica de los criterios profesionales aplicados y su alineación con los objetivos
de Ia organización.

- .
1i §§ II control lnt€rno l,1arro lntesrado ¡4ay0 2013
 5. Entorno de Control

Resumen del capítulo

= entorno de control es el conjunto de normas, procesos y estructuras que

::.stituyen la base sobre la que llevar a cabo el control interno de la organi-
:::ión. El consejo y la alta dirección son quienes establecen el "Tone at the
-.ro" con respecto a la impoftancia delcontrol interno, incluidas las normas de
::rducta que se espera de todos ellos. La dirección retuerza las expectativas
=, stentes en los distintos niveles de la organización. El entorno de control in-
: -,,'e la integridad y los valores éticos de la organización; Ios parámetros que
::'niten al consejo llevar a cabo sus responsabilidades de supervisión; la es-
.--:tura organizacional y Ia asignación de facultades y responsabilidades; el
:'lceso de atraer, desarrollar y retener a profesionales competentes; y el rigor
:: cado a los parámetros de desempeño, incentivos y recompensas para im-
: - sar la responsabilidad por rendir cuentas de cara al desempeño. El entorno
:: oontrol resultante tiene un importanie impacto en el conjunto del sistema
:: control interno.

¡rincipios relatívos al componente del entorno de control:

I, r-+ qrg-?nr?-c-iÉn 9eny-e-:l!:e
-q9-nprgni:e psn le illsgr!9sq.y lgp. yelgls:
et!-q-o-q,

2, El e9nini:lr-qrÉLQ-e-nqeelr-e lng-e-p-e-Neneis-qe !e 9iÍegg!-Qr y

q-s1-q-ei-o- 9-e
ejergg le sgpgtyigign qg! 99_s--e-np_p-lp- 9_e_lg!s!e_n-q 99 g-9-n_trol !llgrng,

3' la 9lrgggrgr gp-1-ep-199-9-, 9-9n F 9yp9ly!9i9n qgl

-c-qnp-.e-ig, !e:
p-:llyglyr?§,
trr !Ínee: -9e- !'spg(e y lgp- ri-vsl-"-q 9e estgl!-Q?-q y re-qp-o-l-q?p-tli-Q-q-Q
apfgp-teggP per.? !? 9_9t9_9_.c_v.c_ign _9g J_o-t_
ggipji-r_g-q.

4. rq spetiz-e-c-iQn -9.e-n-rt-eslle ggnpr-erni9g psr-? elle% qgper-ollet y.t9l9lt9t:

a ptgl-q-q!-o-n-e199- 99np9l-e-f-tes 99n Qg le
-e-t elin-e-q-ei9n 199- 9p-ip-I-v-o-q
crganización.

5, Lu qrg-eli=e.c_iÉn _9-efinp_ !ff 9g lg-s_ pglpgm9_ ?

re:pgt_qeb_ili9_e_9_e_q -Qs
control interno para Ia consecución de los objetivos.
 'At'.t'¡itj¡:*i:.':
, i'j'*1'";,iai!:l' irt i;.1+.:::i3, ' Í.,-!.iliriit.l!x l't: ?,:J,":-:a:i
' ittii:;:!,:til:;",'; l-::¡';l:lit:t::;,ii+¡z ' it"r: j',,1:a:{1,'.r;i.j

El entorno de control se ve influen-

ciado por una serie de factores inter- .-"".-""" .."-"-
nos y externos, entre los que se
incluyen la trayectoria histórica de la
Entorno de Cantrol
organización, sus valores, el mercado
en el que opera y su entorno competi-
tivo y regulatorio. El entorno de con-
trol está definido por las normas,
procesos y estructuras que guían al
personal de la organización, en todos
los niveles de la organización, en el
desempeño de sus responsabilidades
de cara al control interno y a la toma
de decisiones. El entorno de control
establece la disciplina que soporta la evaluación de los riesgos que inciden en la conse-
cución de los objetivos de la organización, la ejecución de las actividades de control, el
uso de los sistemas de información y comunicación y el desarrollo de las actividades de
supervisión.

Una organización que establezca y mantenga un sólido entorno de control se posiciona

como una organización más resistente a la hora de afrontar presiones internas y exter-
nas. Para conseguirlo, debe demostrar un comportamiento coherente con el compro-
miso de la organización con respecto a la iniegridad y los valores éticos de la
organización, unos adecuados procesos y estructuras de supervisión, un diseño de la or-
ganización que permita la consecución de los objetivos de la organización con una ade-
cuada asignación de facultades y responsabilidades, con un elevado grado de
capacidad entre sus profesionales y una firme capacidad de responsabilidad por rendir
cuentas de cara a la consecución de los objetivos.

La cultura de la organización refuerza el entorno de control ya que establece una serie

de expectativas de comporlamiento que reflejan su compromiso de cara a la integridad y
a los valores éticos de la organización, a su supervisión, responsabilidad por rendir
cuentas y su capacidad de evaluación del desempeño. El establecimiento de una sólida
cultura deberá tener en cuenta, por ejemplo, en qué medida se comunican con claridad
y de forma sistemática las normas éticas y de comportamienio y en qué modo se refuer-
zan en la práctica. Como tal, la culiura forma pade del entorno de control de la organiza-
ción pero también incluye elementos de otros componentes del control interno, tales
como las políticas y procedimientos, la facilidad del acceso a la información y la capaci-
dad de respuesta ante los resultados de las actividades de supervisión. Por tanto, la cul-
tura se ve influenciada por el entorno de control y por otros componentes del control
interno y viceversa.

36 l, ia & II (ontrol lnterno - l'4arco ntesraclo ' l'1atlo 2013

 (0mpsneites dei (ür¡k0l iflterno I Eütorno de (ofitrol

Demuestra compromrso con la integridad y

los valores éticos

1: La organizacién demuestra compromiso con la

lerinciOio
lr':::o:d y l:: y:l:::::::::
Puntos de lnterés
Lm siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
ristft:as relativas a este principio:

o Establece el "Tone at the top"-El consejo de administración y la direccién a todos

los niveles de la organización demuestran a través de sus instrucciones, medidas y
comportamiento la importancia de la integridad y de los valores éticos a la hora de
apoyar el funcionamiento del sistema de control interno.

¡ Estableee las nonmas de conducta-Las expectativas del consejo de administra-

ción y de la alta dirección en relacién con la integridad y los valores éticos se defi-
nen en las normas de conducta de la organización y son compréndidas a todos los
niveles de la organización así como por parte de los proveedores de servicios exter-
nalizados y socios comerciales.

o Evalúa el cumplimiento de las norrnas de conducta-Se dispone de procesos para

evaluar el desempeño de profesionales y equipos con respecto a las normas de
conducta que se esperan de la organización.

¡ Aborda cualquier desviación de forrna oportuna-Las desviaciones que se puedan

producir con respecto a las normas de conducta que se esperan de la organización
se identifican y se solucionan de forma oportuna y sistemática.

Establecen el "Tone at the top"

Se espera de la dirección y del consejo de administracióne que den ejemplo a la hora de
porter en práctica los valores, la filosofía y el modo de actuacién de la organización.
Anüos órganos deben tener en cuenta las expectativas que los diversos grupos de inte-
És taies como los empleados, proveedores, clientes, inversores y la comunidad en ge-
mrd han depositado en la organización. De igual manera, se ven influenciados por las
lnrnÍrs sociales y éticas de los mercados en los que opera la organización. Además de
Forriover el entendimiento y el cumplimiento de los requisitos legales y regulatorios, la
úección y el consejo adoptan medidas específicas para marcar la pauta en lo referente
a los aspectos morales, sociales, medioambientales y demás formas de conducta res-
ponsable, entre los que se incluyen por ejemplo, actuaciones relativas a la informaciÓn
5obre Ias emisiones de gases de efecto invernadero de la organización, o la responsabili-

9 E Marco usa el término "consejo de adrninistración" para referjrse al máximo órgano de gobierno, inclui-
dm los consejeros, los socios generales, los propietarios o el consejo de supervisión o vigilancia.

. zorl
tontrollnterno - Ilarcolntesrado Navo
§ Itt I
 se producen desastres
dad por mantener procesos de producción sostenibles, o cuando
expresan a través de
naturales en su comunidad local. Las expectativas resultantes se
diversos grados de formalidad mediante:
. Las declaraciones expresadas en la misión y en los valores de
la organización'

. Las normas o códigos de conducta'

. Las políticas Y Prácticas.
. Los principios oPeracionales'
. Las instrucciones, orientaciones y demás comunicaciones de sopode.
. niveles y por el
Las medidas y decisiones adoptadas por la dirección a distintos
consejo de administración.
. Las actitudes y respuestas ante las desviaciones que se
puedan producir con res-
pecto a las normas de conducta que se esperan de la organización'
r de los máximos res-
Las medidas informales y rutinarias así como la comunicación
ponsables a todos los niveles de la organización'
valores éticos así como
Estos elementos reflejan las expectativas de integridad y de los
adoptadas a todos los niveles de la orga-
el grado en el que se aplican en las decisiones
externalizados y de los so-
nización, asÍ como por pafle de los proveedores de servicios
cioscomerciales(pore¡emplo,conlossociosdenegociosconjuntosodealianzas
de actuar de manera
estratégicas). Estos elementos articulan y refuerzan el compromiso
leyes y regulaciones, de ma-
correcta, y no limitarse Únicamente al cumplimiento de las
y a todos los niveles de la or-
nera que estas prioridades sean comprendidas adoptadas
sino
ganización. El grado en el que estas expectativas no sólo sean comunicadas
así como al resto de
también pUeStaS en práctica por la alta dirección y por el consejo,
niveles de gestión dentro de la organización, se caraclerizará sin
duda por el "Tone at
the top" de la organización.
por el estilo de ac-
Esta pauta marcada por la alta dirección se ve sin duda influenciada
por su
tuación y la conducta personal de la dirección y del consejo de administración,
o agresivo (por
actitud frente al riesgo y por su posición, que podrá ser conservador
o elegir políticas) y por el grado
ejemplo, su posición a la hora de realizar estimaciones
tamaño, los controles
de formalidad (por ejemplo, en las compañías familiares de menor
a la orga-
podrán ser más informales), lo cual sirve sin duda para transmitir un mensaje
malas noticias o las
nización. La falta de objetividad, la falta de receptividad ante las
prácticas de compensación injustas podrían impactar en la cultura y en último término
o fraudulentas' Por el
constituir un incentivo para llevar a cabo conductas inapropiadas
por parle de la dirección y el
contrario, un historial de comportamiento ético responsable
los casos
consejo de administración y un compromiso demostrado a la hora de abordar
en apoyo de la integridad' De igual
de conductas inapropiadas envía un sólido mensaje
actitudes sobre lo que
manera, es probable que los empleados desarrollen las mismas
a los demostrados por la
está bien y lo que no está bien y sobre los riesgos y controles
se ve influenciado
dirección. El comporlamiento individual de las personas a menudo
por el conocimiento de que la alta dirección se ha comportado con la mayor ética y
y empresariales difíciles de
moral a Ia hora de enfrentarse ante decisiones personales
las medidas opodunas
tomar, y por el hecho de que todos los directivos hayan tomado
para abordar dichos casos de conductas irregulares'

controttntemo-uar(olntesrado' lfat,o2013
)ó ... I §Il
TI
 i+n*¡*+¡:it-! ¡Éi a!n!;;:a i¡¡i.¡rii¡: :

El hecho de que el consejo y la alta dirección marquen la pauta de manera sistemática a

:ravés de los distintos niveles de gestión de las unidades operacionales establece un en-
;endimiento común de los valores, motores del negocio y comportamiento que se espera
de los empleados y socios de la organización. Esto incluye sin duda los distintos niveles
'r, divisiones que a menudo se denomina como "marcar la pauta entre los mandos inter-

medios" en el caso de las grandes organizaciones. El hecho de que esta actitud se lleve
a cabo de manera sistemática contribuye aunir a la organización en sus esfuerzos por
conseguir los objetivos de la organización. Sin embargo, poner en práctica esta actitud
de manera sistemática no está exento de dificultades. Por ejemplo, las motivaciones, los
grados de evaluación de los proveedores y los niveles de atención al cliente puede que
,,¿aríen en gran medida de un mercado a otro, y la manera en que la dirección responda

ante dichas presiones puede marcar la pauta de manera diferente en los distintos niveles
ce la organización. De igual manera, los mensajes lanzados desde la dirección con res-
cecto a lo que es o no es aceptable pueden variar a la hora de abordar problemas espe-
:ificos en los diferentes niveles de la organización; sin embargo, cuanto más coherentes
sean con la pauta marcada en las altas esferas de la organización, más homogénea será
a forma de llevar a cabo las responsabilidades de control interno de cara a la consecu-
:,ón de los objetivos de la organización.

En algunos casos, la pauta que marque el director general de Ia organización puede

:ener como resultado consecuencias inesperadas. Por ejemplo, puede darse el caso de
-n equipo de dirección que no tenga problema en cambiar las condiciones contractuales
:e la organización para competir en el entorno de negocio local. Si bien este tipo de mo-
:ificación puede ser considerado como algo positivo a los efectos de satisfacer las ne-
:esidades de los clientes y generar ingresos por ejemplo, para hacer llegar los
¡roductos al cliente con mayor rapidez puede tener consecuencias negativas a los efec-
:os de lograr otros objetivos, tales como el cumplimiento de las normas de seguridad de
:s productos, prácticas comerciales no abusivas y demás requisitos. El hecho de que la
aL:a dirección apofte instrucciones y pautas claras, y que demuestre coherencia a todos
:s niveles de gestión, facilitará la consecución de los objetivos de la organización.

= "Tone at the iop" es fundamental para el funcionamiento del sistema de control in-
::rno. Sin dicho "Tone at the top" que refuerce una sólida cultura de control inierno, se
:.rede terminar reduciendo la conciencia hacia el riesgo, adoptándose respuestas in-
:Cecuadas, definiendo actividades de control de manera deficiente o con escasa acep-
:ación por parte de los empleados, al tiempo que la comunicación y la información
;;ede resultar inadecuada, haciendo caso omiso al feedback obtenido de las activida-
:es supervisión. Por tanto, "marcar la pauta" puede servir como detonante o como obs-
:aculo del control interno.

-as normas de conducta guían a la organización a través de su comportamiento, sus ac-

: , idades y sus decisiones de cara a la consecución de los objetivos:
. Estableciendo lo que se debe y no se debe hacer.

. Proporcionando orientación para permitir a los profesionales leer entre líneas y tener
en cuenta los riesgos asociados.

(0ntr0 tnterno-t4ar(0 ntegrado. ttayo20tl

$ffi Il
 ¡i¿rr; r ** i*ll::Í " :;li¡ii!i:i:{;,ri1 } í.¡iri:it'i t. ¡.i-;it " l ?l; tiai*3 {tq :x*srrisií::

. Tomando en consideraclón las leyes, reglas, regulaciones, normas y demás expec-

tativas que las partes interesadas de la organización puedan tene¡ tales como la
responsabilidad social corporativa.

Las expectativas éticas, normas y costumbres pueden variar de un país a otro. La direc-
ción y el consejo de administración o el órgano de supervisión equivalente establecen
las normas y mecanismos que la organización debe comprender y cumplir, y definen los
procesos y recursos para interpretar y abordar el potencial de desviación existente.
Estas expectativas se traducen en una declaración de creencias, valores y normas de
conducta para la organización.

La organizaciÓn demuestra su compromiso de cara a la integridad y los valores éticos

aplicando las normas de conducta y formulando continuamente preguntas desafiantes,
especialmente cuando sea necesario adoptar decisiones difíciles. Por ejemplo, la organi-
zación se puede preguntar: ¿Esto infringe las normas de conducta de la organización?
¿Esto es legal? ¿Tendríamos un problema si nuestros accionistas, clientes, reguladores,
proveedores u otros grupos de interés se enteran de esto? ¿Daría esto una imagen ne-
gativa de esta persona o de la organización en general?

La integridad de los valores éticos son clave en las comunicaciones y en la formación de

la organización. Por ejemplo, una compañía que reciba habitualmente premios y galardo-
nes como "mejor lugar en el que trabajar" y consiga unos elevados niveles de retención
de empleados normalmente proporciona la formación a sus empleados sobre la cultura
de la organización y los valores éticos corporativos, con el apoyo de la alta dirección y
del consejo de administración. Las sesiones de formación se llevan a cabo trimestral o
semestralmente dependiendo del número de empleados contratados. Durante dicha for-
mación, los empleados aprenden cómo el entorno ético se ha desarrollado dentro de la
organización. De igual manera, se proporciona a los empleados una serie de ejemplos
de cómo la integridad y los valores éticos han contribuido a identificar y solucionar pro-
blemas y la importancia que tiene comunicar y plantear las preocupaciones que un em-
pleado pueda tener.

Las normas de conducta de la organización se comunican y se refuerzan regularmente

no sólo a todos los niveles de la organización sino también con los proveedores de servi-
cios externalizados. Por ejemplo, la aplicación del control interno en el ámbito del cum-
plimiento de las normas de seguridad de los productos se aplica más allá de la
organización para incluir a los socios de alianzas comerciales estratégicas conjuntos, a
proveedores, distribuidores comerciales y otros proveedores de servicios externalizados
en todas las ubicaciones.

La dirección tiene la responsabilidad última sobre las actividades que delega mediante
acuerdos contractuales o legales con proveedores de servicios externalizados. Entre las
variables que pueden afectar al alcance de las comunicaciones, de la supervisión y de
otras actividades necesarias para garanlizar que los proveedores servicios externos y
socios comerciales cumplen las normas de conducta de la organización se incluyen:

. La nafuraleza de los servicios externalizados.

El grado de alineación entre las normas de conducta de los proveedores de servi-

cios y las normas de conducta de la organización.

40 contrlInterno-tvtar(otntesraclo .
$§ §II tvtayo2013
 l+*i:*ltrllr: d¡i il¡::liti iili*illri i,.:'l

o La calidad y la frecuencia con la que los proveedores de servicios refuerzan y super-

visan el cumplimiento de las normas de conducta por parle de su personal.

. El volumen y el grado de complejidad de la cadena de suministro y del modelo de

negocio de la organización.

El incumplimiento de las normas de conducta por parte de los proveedores de servicios

externalizados y de los socios comerciales puede repercutir negativamente en la alta di-
.ección y afectar a la propia organización perjudicando a los propios clientes, a otros
gr"upos de interés o a la propia reputación de la organización, lo cual puede exigir costo-
sas medidas correctivas. Por tanto, la dirección conserva la responsabilidad sobre la eje-
:ución de los procesos que ha delegado a proveedores de servicios externalizados o
socios comerciales.

ls normas de conducta establecidas constituyen la base para evaluar el cumplimiento

:e la integridad de los valores éticos a todos los niveles de la organización y por parte
:e los proveedores de servicios externalizados. LaS normas de conducta se comunican
a iravés de las políticas y prácticas de la organización así como a través de los contratos
:e empleo y de servicios. Algunas organizaciones exigen un documento de entrega for-
*al que demuestre la recepción y el cumplimiento de dichas normas. Con el fin de ga-
.antizar que se cumplan las normas en la práctica, las medidas, decisiones y actitudes
:= los profesionales de la organización son evaluados por la dirección o por un tercero
^Cependiente.

- incumplimiento de las normas de conducta en ocasiones procede de situaciones tales

:af'no;

. El
,Tone at the top" no transmite adecuadamente las expectativas que se tiene en lo
relativo al cumplimiento de las normas.

' EI consejo de administración no proporciona una supervisión imparcial sobre el

cumplimiento de las normas por parte de la alta dirección'

. Existe una elevada descentralización sin una adecuada supervisión, lo cual conlleva
que la alta dirección no sea consciente de las medidas adoptadas en los niveles in-
feriores de la organización.

, Los superiores, compañeros de trabajo o paftes externas ejercen presión para dejar
de lado el cumplimiento estricto de las normas o para desarrollar comportamientos
iraudulentos o ilícitos.

. Los objetivos de desempeño fomentan incentivos o presiones para dejar de lado los
comportamientos éticos.

. No existen canales adecuados para que los empleados puedan comunicar sus
pre-
ocupaciones y cuestiones con total seguridad.

. No se aborda Ia inexistencia o ineficacia de los controles, lo cual genera oportunida-

des para ocultar los malos resultados.

::::.: -.!-¡-I'il:(0lte,cr¿do. l'1aYt2013

EIII
§tt."'
Los procesos para investigar y resolver supuestas conductas irregulares son inade-
cuados.

La función de auditoría interna es débil y no tiene capacidad para detectar comuni-

car las conductas irregulares.

Las sanciones relacionadas con los casos de conductas inapropiadas se aplican de

manera incoherente, insignificante o poco transparente, o no se dan a conocer a la
organización perdiendo así su efecto disuasivo.

Por ejemplo, las normas de conducta pueden prohibir las prácticas que podrían ser in-
terpretadas como prácticas de connivencia para fijar precios pero la organización debe
establecer mecanismos para llevar a cabo las normas tales como formación y comunica-
ción de sensibilización, análisis de la actividad de fijación de precios de mercado para
identificar potenciales problemas y demás medidas para evitar detectar desviaciones
con respecto a las normas de conducta de la organización. La organización comunica
los niveles de tolerancia establecidos con respecto a posibles desviaciones. En función
de la importancia del impacto en Ia organización, el nivel de medidas correctivas puede
variar pero se aplican de manera coherente a todos los niveles de la organización. Las
evaluaciones sobre el cumplimiento de las normas de conducta por parle de profesiona-
les individuales y equipos forman parle de un proceso sistemático de comunicación y re-
solución de incidencias. Este proceso exige que la dirección:

Defina una serie de indicadores (por ejemplo, porcentaje de empleados que com-
pletan Ia formación, resultados de las actividades de supervisión, incumplimientos
de la confidencialidad, connivencia con otros pafticipantes del mercado, casos de
acoso), para identificar problemas y tendencias relativas a las normas de conducta
de la organización, incluidos los proveedores de servicios externalizados. Tales indi-
cadores se revisan periódicamente y se redefinen en caso necesario para contribuir
a identificar problemas potenciales con antelación o antes de que se repitan.

Establezca procedimientos continuos y periódicos de cumplimiento para confirmar

que se cumplen las expectativas y los requisitos tanto internamente como por pafte
de los proveedores de servicios externalizados.

ldentifique, analice y comunique problemas y tendencias de conducta empresarial a

la alta dirección y al consejo de administración. Establezca mecanismos para identi-
ficar problemas, entre los que se incluyen líneas directas de comunicación de infor-
mación, funciones de recursos humanos y líneas éticas. La realización de un buen
análisis a menudo exige que participen equipos de múltiples departamentos y fun-
ciones para determinar la causa raíz del problema y las medidas correctivas nece-
sarias.

Considere la solidez de la alta dirección a la hora de demostrar la integridad y los

valores éticos como un comportamiento que ha de ser objeto de evaluación en las
revisiones de desempeño, así como en las decisiones de compensación y promo-
ción profesional.

Recabe cualesquiera tipo de acusaciones de manera centralizada y se asegure de

que dichas acusaciones son evaluadas por profesionales independientes a la acu-
sación en cuestión.

- .
42
ffi ffi § II tontrol lnt€Íno l,1arro Intesrado lr4ayo 20ll
 {oms0ne$tes del tüntr0l lBterr¡o i htorflo de (0nlr0l

. Lleve a cabo y documente investigaciones en base a protocolos de investigacién

definidos.

o Efectúe un seguimiento de las medidas correctivas implantadas de manera que los

problemas,sean solucionados de manera oportuna y coherente.

o Analice periódicamente los problemas para identificar tendencias y causas raíz,lo

cual puede conllevar en ocasioñes la modificación de las políticas, comunicaciones,
formación o controles.

I as evaluaciones pueden ser desarrolladas por un proceso de gestión continua ylo atra-
vÉs de un tercero independiente. Los profesionales de la organización también pueden
emluar y comunicar las irregularidades que observen a través de canales de comunica-
ción formales e informales tales como un canal de denuncias, procesos de feedback as-
oendente y reuniones habituales con los empleados,

Q¡ando se producen desviaciones con respecto a las normas de conducta esperadas,

ástas se abordan de manera oportuna y coherente. En función de la gravedad de la des-
riación determinada mediante el proceso de evaluación, la dirección puede adoptar dife-
Entes medidas y también puede que tenga que valorar las leyes locales, pero las
frrmas a las que están sujetos los empleados seguirán siendo coherentes. En función
de Ia gravedad de la incidencia, se podrá realizar una advertencia al empleado y facili-
He servicios de coaching, ser objeto de un periodo de prueba, o en último término
poner fin a la relación laboral.

(ontrollnterno . ZOi:
- t4arcolntesrado uav,
I||tt 43
ffi
*§
ñri;'rcrpi* Í; El consejo de administración demuestra
ffi independencia de la dirección y ejerce la supervisión del
§*
&
§t;
ffi desempeño del sistema de control interno.
§
§

L'lilli*§ *j§ !illüfúI

Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rÍsticas relativas a este principio:

Lste*i**s i¡t*,*s!:r¡¡:sei*:i:rrta**s üe supern"risitirr-El consejo de administración

identifica y acepta sus responsabilidades de supervisión en relación con los requisi-
tos y las expectativas establecidas.

;.1*i!*a i*:¡ e*n*tl*-ll*r"¡i*:i *s;,:*'*lelira*** rclsv*.ir1**-El consejo de administración

define, mantiene y evalúa periódicamente las habilidades y los conocimientos nece-
sarios entre sus miembros para poder formular preguntas incisivas a la alta direc-
ción y adoptar medidas proporcionadas.

**u¡re ci:r: i*il*p**tj*qi:!n-El consejo de administración cuenta con suficientes

miembros independientes de la dirección, objetivos a la hora de efectuar evaluacio-
nes y en la toma de decisiones.

Fr,;i:r:iili*fta suJ:a:-,;!x!*n i]§lá Éi slsi*;::;e d* **rlir*i rr¡i*r'r*-El consejo de admi-

nistración tiene Ia responsabilidad de la supervisión con respecto al diseño, imple-
mentación y ejecución del control interno por parte de la dirección:

- Entorno de control-Establece la integridad de los valores éticos, las estructuras

de supervisión, las facultades y responsabilidades, las expectativas de capacidad
y de responsabilidad por rendir cuentas frente al consejo de administración.

- Evaluación de nesgos-La supervisión de la evaluación de riesgos para la conse-

cución de los objetivos efectuada por Ia dirección, incluido el potencial impacto
de que se produzcan cambios significativos, casos de fraude y anulaciones del
control interno por parte de la dirección.

- Actividades de control-Proporcionan supervisión a la alta dirección en el

desarrollo y ejecución de las actividades de control.

- lnformación y comunicación-Analizan y comentan la información relacionada con

la consecución de los objetivos por parte de la organización.

- Actividades de supervlsión-La evaluación y supervisión de la naturaleza y el al-

cance de las actividades de supervisión así como de Ia evaluación efectuada por
la dirección y de la solución de deficiencias.

- .
ffi §§ II tontrol Interno f4ar(0lntesrado lvlatlo 2013
 {0mpú¡¡efites del {0fttrsl ifitsrnü I §riamo de i*ntvt¡i

A,;tc.rdad y respüfi snbi id*d I

tsunejo de administración u órgano de supervisión equivalente (el "consejo") com-

Ffrde el negocio y las expectativas de las parles interesadas, incluidos clientes, em-
rc, inversores y el público general, así como los requisitos legales y regulatorios y
üÉs riasgos relacionados. Estas expectativas y requisitos contribuyen a definir los ob-
rtIrc de la organización, las responsabilidades de supervisión desarrolladas por el con-
llir y hs necesidades de recursos.
Esrs$o tiene facultades para contratar al CEO (Chief Executive Officer, director gene-
do equivalente), para rescindir su contrato, así como para establecer el plan de suce-
úr de dicho puesto, según sea necesario; a este profesional se le encomienda la
iu.rdirn general de Ia estrategia de la organización, ia consecución de sus objetivos y
l¡*acia del sistema de control interno. El consejo es responsable de proporcionar su-
pui*ón y desafiar de manera constructiva a Ia dirección.

Qendiendo de la jurisdicción de la que se trate, las estructuras de supervisión se pue-

ün desanollar voluntariamente o ajustándose a Ia ley, regulación, normas pertinentes,
[rts como las normas de cotización en el correspondiente mercado de valores. Si bien
&reqr-risitos para las organizaciones de propiedad privada, organizaciones sin ánimo de
bo u otras organizaciones pueden variar, las organizaciones cotizadas en muchas ju-
*ltccir:ngs exigen que se disponga de comités a nivel del consejo de administración
{Gse centren en determinados temas específicos, tales como:

. C.ornités de nombramientos / buen gobierno corporativo que dirigen la selección de

h consejeros y supervisan la evaluación de la alta dirección y del consejo de admi-
rÉSación.

! Gornités de compensación que supervisan las políticas y prácticas de retribución de

h alta dirección, motivando determinados comportamientos, sopesando los incenti-
vre de la consecución de resultados a corto y largo plazo, vinculando el desempeño
a los objetivos estratégicos y asociando la compensación del riesgo.

o Cornits de auditoría que supervisan el control interno sobre la información finan-

dera así como la integridad y la transparencia de la información externa, incluidos
h ir¡formes financieros.

- Otros comités del consejo dedicados a abordar asuntos especÍficos que sean críti-
oos para la consecución de los objetivos de la organización (por ejemplo, comités
de riesgos para las instituciones de servicios financieros o comités de cumplimiento
pra las organizaciones farmacéuticas).

["esrpervisión llevada a cabo por el consejo se ve apoyada por estructuras y procesos

qre h dirección establece a nivel ejecutivo. Por ejemplo, los comités de dirección pue-
ür centrarse en asuntos tales como las tecnologías de la información, los
pú¡ctos/servicios, los procesos u otros aspectos del negocio que requieran una aten-
cih pormenorizada. La dirección evalúa continuamente los riesgos que ejercen los cam-
tis dd entorno operativo (por ejemplo, la aparición de nuevas tecnologías, el

.
(onrrot lnterno - tlarco tniesrado Mayo zot3 $
§§ It
w Heri* I irr*$i) ,, i'::t:l " l:.fly.tii*.f:l¡t:§:: ' t!l1yif"a1?ltt
ltTiiti " ilf iH1iH 1.!lTiTi*1,fl".4:lii"{t§:tf:.Ltr:yi:,f I

incremento de los requisitos regulatorios y Ia evolución del modelo de negocio) y aborda

las implicaciones que puedan tener para el sistema de control interno.

Si bien el consejo mantiene la responsabilidad sobre la supervisión, el CEO y la alta di-

rección asumen Ia responsabilidad directa del desarrollo e implementación del sistema
de control ¡nterno. Dependiendo del tipo de organización y de su estrategia, estructura y
objetivos, las unidades operatlvas pueden tener mayor o menor grado de autonomía a la
hora de diseñar los procesos y estructuras que hagan posible el control interno. Por
ejemplo, si bien una organización puede implementar un sistema ERP (planificación de
recursos corporativos) que estandarice todos los principales procesos y controles de la
organización, olra organización podría optar por que cada división decida e implemente
aquellos procesos que sean más adecuados para sus actividades de negocio.

..- -,..... . "'i -r . -'' .,- ..-.. . ¡l-. ",). .': .-'-., ! r'¡,¡1.
-. i
El consejo de administración es independiente de la dirección y debe demostrar las co-
rrespondientes habilidades y conocimientos especializados para el desempeño de sus
responsabilidades de supervisión. La independencia se demuestra a través de la objeti-
vidad de pensamiento, actuación, apariencia y ejecución por parte de los miembros del
consejo. Por Io general, una organización cotizada deberá contar con una mayoría de
consejeros independientes, que no tendrán ninguna relación actual ni reciente de tipo
personal o profesional con la organización (en algunas jurisdicciones, esto también es un
requisito para todos los miembros de los comités del consejo tales como los comités de
auditoría). El factor de independencia y conocimientos especializados relevantes tam-
bién tiene en cuenta los distintos cargos en el consejo ocupados por cada uno de los
miembros del consejo con el fin de limitar cualquier tipo de sesgo o conflicto de intere-
ses que pueda derivarse de aquellos miembros del consejo que ocupen un cargo similar
en consejos de administración de otras compañías.

Dado que el consejo debe participar activamente en todo momento y debe estar prepa-
rado para cuestionar y analizar las actividades llevadas a cabo por la dirección, presen-
tar puntos de vista alternativos y tener Ia valentía de actuar en caso de que existan
sospechas o evidencias de conductas irregulares, es necesario que el consejo Incluya
consejeros independientes. Sin duda alguna, los directivos y empleados aportan unos
sólidos conocimientos de la organización pero los consejeros independientes con los
conocimientos especializados adecuados aportan valor a través de su imparcialidad,
sano escepticismo y evaluaciones objetivas.

A las organizaciones privadas, organizaciones sin ánimo de lucro y demás organizacio-

nes puede que les resulte costoso o difícil atraer a miembros del consejo independien-
tes y competentes. Dependiendo de los requisitos aplicables (algunas de ellas puede
que no estén obligadas a contar con un consejo de administración), puede que estas or-
ganizaciones tengan que identificar una serie de características y cualidades profesiona-
les y personales entre los candidatos que resulten importantes para la organización (por
ejemplo, comprender las perspectivas de los distintos grupos de interés, estar orientado
hacia el control interno) y establezcan por tanto un consejo de administración com-
puesto por miembros que demuestren estas características. En circunstancias tan ex-

- .
46
ffi §§ II tontrol lnterno iqarro lnteqraclo [4ayo 2013
 {rmponenl*s del {ontre! ¡flterilfl I Entomo dc (§nh0l

Sionales como éstas, en las que una organización no dispone de un consejo inde-
prCente, es necesario reconocer este hecho y poner en práctica determinados proce-
Gy controles diferentes que den como resultado una supervisión adecuada.
launposición del consejo se establece en función de la misión, valores y diversos ob-
ifu66 de la organización así como de las capacidades y conocimientos especializados
Eesarios para supervisar, cuestionar y evaluar al equipo de la alta dirección de la forma
É apropiada. El tamaño del consejo se determina teniendo en cuenta el número ade-
3¡do de miembros que permitirá llevar a cabo análisis críticos y constructivos, entablar
urversaciones productivas y adoptar decisiones. Las capacidades que se esperan de
[5, miembros del consejo incluirán sin duda integridad y principios éticos, liderazgo, ca-
frdad de análisis crítico y de resolución de problemas. De igual manera, se espera que
dgorrsejo incluya un espectro de habilidades y conocimientos especializados y comu-
¡-s a todos ellos que les permita entablar conversaciones y deliberaciones, tales como:
. Mentalidad del control interno (por ejemplo, escepticismo profesional, perspectivas
sobre los enfoques para identificar y responder ante los riesgos, evaluaciÓn de la
eficacia del sistema de control interno).

. Conocimientos sobre la organización y sobre el mercado (por ejemplo, conoci-

miento de los productos/servicios, de la cadena de suministro, de la base de clien-
tes y de los competidores).

o Conocimientos financieros, que incluirán conocimientos sobre la información finan-

dera (por ejemplo, normas contables y requisitos de información financiera).

o Conocimientos jurídicos y regulatorios (por ejemplo, entendimiento de las leyes, re-

glas, regulaciones y normas vigentes).

. Conocimientos sociales y medioambientales (por ejemplo, entendimiento de las ex-

pectativas y actividades sociales y medioambientales).

o lncentivos y compensación (por ejemplo, conocimientos de las prácticas y niveles

de compensación del mercado).

r Sistemas y tecnologías relevantes (por ejemplo, entendimiento de los desafíos y

oportunidades en el ámbito de las tecnologías y sistemas críticos para la organiza-
ción).

l-c conocimientos avanzados y la independencia del consejo de administración serán

tratuados periódicamente en relación con las necesidades en constante cambio de la
qanización. Los consejeros participarán en sesiones de formación según sea oportuno
pa actualizar sus habilidades y conocimientos relevantes.

. UrvrZOfl
tontrol lnterno-Mar(olntegrado
§ llll 47
 I r,,t¿'ru rr* {*::ltl '
Iy.llyfliT.!:.li1:.99"1 ' {{iitilll?1g!.ilTiiti '
r'larco
lr.tT:tiH !1T[111f:iy" {:ly]Ít*:3:.lyliT,:i?1

5up*r"vtsi*R p*r üñfte S*l f*n:;*jo ** ¡\ei*,:¡inlstr*¡:i,:i:

El consejo de administración participa en el ejercicio de supervisión del desarrollo y eje-
cución del control interno a través de cada uno de los cinco componentes del Marco,lal
y como se muestra en la tabla siguiente:

Componentes del control interno Actividades de supervisión por parte del consejo de administración

Entorno de control Supervisar Ia definición y aplicación de las normas de conducta de la orga-

n ización.

Establecer las expectativas y evaluar el desempeño del CE0 o puesto equi-

valente.

Establecer las estructuras y procesos de supervisión en lÍnea con los obje-

tivos de la organización (por ejemplo, consejos y comités según se estime
oportuno de acuerdo con los conocimientos y capacidades requeridos).

Encargar revisiones sobre la eficacia de la supervisión llevada a cabo por el

consejo y abordar las opoftunidades de mejora.

Ejercer las responsabilidades fiduciarias c0rrespondientes a los accionistas

y demás propietarios (en caso aplicable) y Ia atención oportuna de cara a
la supervisión (por ejemplo, preparación previa y asistencia a reuniones,
revisión de los estados financieros de la organización y demás revelacio-
nes de información).

Cuestionar a la alta dirección mediante Ia formulación de preguntas com-

plejas sobre los planes de la organización y su desempeñ0, y exigiéndoles
medidas correctivas y de seguim¡ento en caso necesario (por ejemplo,
cuestionando transacciones que se produzcan repetidamente al cierre de
los periodos anuales o intermedios).

Evaluación de riesgos Tener en cuenta factores internos y externos que representan riesgos sig-
nificativos de cara a la consecución de los objetivos; identificar problemas
y tendencias (por ejemplo, implicaciones de sostenibilidad de las activida-
des empresariales de la organización).

Supervisar la evaluación realizada por la dirección sobre riesgos relaciona-

dos con la consecución de los objetivos, incluyendo el impacto potencial
de cambios significativos (por ejemplo, riesgos asociados a la introduc-
ción en un nuevo mercado), casos de fraude y corrupción.

Evaluar en qué medida la organización evalúa de forma proactiva los ries-

gos relativos a las innovaciones y cambios tales como aquellos cambios
que vienen motivados por grandes desarrollos tecnológicos, económicos o
geo políticos.

Actividades de control . Llevar a cabo investigaciones especificas en el entorno de la dirección con

respecto a la selección, desarrollo y despliegue de las actividades de con-
trol en áreas de riesgos significativas así como acciones correctivas en
caso necesario (por ejemplo, como respuesta a riesgos significativos re-
sultantes de factores internos o externos).
. Supervisar a la alta dirección en su ejercicio de las actividades de control.

tontrol lnterno-lvlarco lntesrado

4B
§§§ I! 14ayo 2013
 iornponentes dei tonh0l l'lt€rr¡s I E:}torn$ ri* [olltr0l

del control interno Actividades de supervisión por parte del consejo de administración
FF*r,-r
Snnción y comunicación Comunicar instrucciones y el "Tone at the top".

0btener, revisar y analizar la información relativa a la consecución de los

objetivos de la organización.

Custionar la información proporcionada y presentar opiniones alternativas.

Revisar la divulgación de información para los grupos externos de interés

en términos de su integridad, relevancia y precisión.

Permitir y abordar la comunicación ascendente de problemas y cuestiones

identificadas.

lEihdes de supervisión Evaluación y supervisión de la naturaleza y el alcance de las actividades de

supervisión, anulaciones de controles por parte de la dirección, de la eva-
luación efectuada por la dirección y de la solución de deficiencias.

lnteractuar con la dirección, auditores internos y externos y demás partes,

según sea opofiun0, para evaluar el nivel de conocimiento sobre las estra-
tegias de la organización, los objetivos especificados, riesgos e implicacio'
nes en materia de control asociados con la evolución del negocio, sus
inf raestructuras, regulaciones y demás factores.

!.s ól(¡aciones de transparencia refuerzan la responsabilidad por rendir cuentas tanto

ü h dta dirección como del consejo de administración. Si bien los requisitos y expecta-
h en materia de divulgación de información pueden variar en función de la jurisdic-
difL d sector de actividad u otros aspectos, el consejo de administración supervisará
qndcfras necesidades son comprendidas y satisfechas en todo momento. La comuni-
cúih de información al consejo de administración se producirá tanto de forma perió-
¡}¿ como de manera puntual e informal, según sea necesario, para ayudar al consejo a
¡Fvisar los aspectos relacionados eon el sistema de control interno.

. urvrzor
tontrollnterno-Mar(olntesrado
ffi ll !l
 ffi*Lmhi*** *strLJütL¡rñ§, *,*t*ri**d y
| É'5 l]fi i^r i.,f: l] I r-i': C c: ;
: I

ffiñr§*:*r*i* §: La dirección establece,

con la supervisión del
y
fficonsejo, las estructuras, las líneas de reporte los niveles de
para la consecución
ffiautoridad y responsabilidad apropiados
ffiOe
tos objet ivos.

üL*ni*r ** ;n'r'*rcr
Los siguientes puntos de interés ponen de manifiesto una serie de impoftantes caracte-
rísticas relativas a este principio:

Tlc** e* *u**ta t*c**s ias **tru*txras e{* la *rgar:}:ar:ión-La dirección y el con-

sejo de administración tienen en cuenta las múltiples estructuras utilizadas (inclui-
das sus unidades operativas, organizaciones jurídicas, distribución geográfica y
proveedores de servicios externalizados) para respaldar la consecución de los obje-
tivos.

§*t*{:i*** ií¡^r*s* rl* **¡"r:xn!***i*n ¡** !nf*rn"¡xe,i**-La dirección designa y evalúa

las líneas de comunicación de información para cada estructura de la organización,
haciendo posible la ejecución de las facultades y responsabilidades correspondien-
tes y el flujo de información para gestionar las actividades de la organización.

*ai!n*, asig*a y iimita f*q:*ltadex 3r re*tp**sxbiik*xtJ*s-La dirección y el consejo

de administración delegan facultades, definen responsabilidades y utilizan tecnolo-
gías y procesos apropiados para asignar responsabilidades y segregar funciones
en caso necesario a los distintos niveles de Ia organización:

- Consejo de administración-Manliene la autoridad sobre las decisiones más sig-

nificativas y revisa las asignaciones encomendadas a la dirección y las limitacio-
nes de facultades y responsabilidades.

- Alta direccón-Establece instrucciones, orientaciones y control para permitir a la

dirección y al resto del personal comprender y llevar a cabo sus responsabilida-
des de control interno.

- Dirección-Guía y facilita la ejecución de las instrucciones proporcionadas por Ia

alta dirección dentro de la organización y sus unidades de negocio.

- Personal-Comprende las normas de conducta de la organización, los riesgos

evaluados asociados a los objetivos y las actividades de control relacionadas en
su respectivo nivel de la organización, el flujo de información y comunicación que
se espera de ellos y las actividades de supervisión relevantes para su cumpli-
miento de objetivos.

- Proveedores de servicios externalizados-Cumplen la definición adoptada por la

dirección sobre el alcance de las facultades y responsabilidades asignadas a ter-
ceros involucrados con la organización que no son empleados de la misma.

.
50
ffi §§ lt controllnterrro-l4arcolnteqrado l,layo2013
La alta dirección y el consejo de administración establecen la estructura de la organiza-
ción y las líneas de comunicación de información necesarias para planificar, ejecutar,
controlar y evaluar periódicamente las actividades de la organización; en otras palabras,
para llevar a cabo sus responsabilidades de supervisión. Para ello, se soportan en los
procesos y tecnologías requeridos para proporcionar una clara responsabilidad por ren-
dir cuentas y flujos de información dentro de la organización y sus unidades de negocio.

Las organizaciones a menudo se estructuran de acuerdo con diferentes dimensiones. En

particular:

. El modelo operativo adoptado por la dirección puede seguir las líneas de productos
o servicios para facilitar el desarrollo de los productos y servicios, optimizar activi-
dades de marketing , racionalizar la producción y mejorar Ia atención al cliente u
otros aspectos operativos.

. Las estructuras jurídicas a menudo se diseñan para gestionar los riesgos del nego-
cio, crear estructuras fiscales favorables y conferir una mayor capacidad de actua-
ción a los directivos que operen en actividades en el extranjero.

. Los mercados geográficos pueden proporcionar subdivisiones adicionales o agre-

gaciones de los resultados.

. De igual manera, las organizaciones formalizan una amplia gama de relaciones con
los proveedores de servicios externalizados para apoyar la consecución de sus ob-
jetivos, lo cual crea estructuras y líneas de comunicación de información adicional.

Cada una de estas visiones puede proporcionar una evaluación diferente del sistema de
control interno. Si bien la agregación de los riesgos en una única dimensión puede que
no genere ningún problema, la perspectiva sobre el negocio que se consiga a través de
una dimensión diferente puede mostrar un determinado riesgo de concentración en
torno a un tipo de clientes determinados, un exceso de dependencia de un único pro-
veedor u otras vulnerabilidades. La propiedad y responsabilidad por rendir cuentas en
cada nivel de agregación permitirá además este tipo de análisis y revisión en base a mÚl-
tiples dimensiones.

Las estructuras de las organizaciones evolucionan a medida que la naturaleza del nego-
cio evoluciona. Por lo tanto, la dirección revisa y evalúa las estructuras para comprobar
su relevancia, eficacia y eficiencia como apoyo al sistema de control interno. Véase
como ejemplo el caso de un banco que comunique los resultados de su desempeño y la
eficacia del control interno en base a sus entidades legales, unidades de negocios o
geografías. Si este banco no revisa con frecuencia su información para verificar que re-
fleja adecuadamente su modelo de negocio actual, puede que fracase a la hora de reco-
nocer la aparición de determinados riesgos, la ausencia de controles apropiados y la
deficiente generación de información.

Para cada tipo de estructura que dispong a la organización (por ejemplo, estructura de
mercados geográficos, estructura de segmentos de negocio, estructura de organización
legal), la dirección diseña y evalúa las líneas de comunicación de información pertinentes

. 2013
iontrol lnterno - 1,44rc0 lnteskdo llaYo
* ffi tI
 .L,::,:1a.::',::.': , ::::i\.1:'.a.?::.at:.1t:.:.::.:.::.ta:
.i:.:1,::t'i,,:{.^,i,

de manera que se lleven a cabo las responsabilidades y los flujos de información según
se requiera. De igual manera, verifica que no existen conflictos de intereses inherentes
en la ejecución de responsabilidades a todos los niveles de la organización y en sus pro-
veedores de servicios externalizados. Las variables que se deben tener en cuenta a la
hora de establecer y evaluar las estructuras de la organización pueden incluir las siguien-
tes:

o Naturaleza, famaño y distribución geográfica del negocio de la organización.

r Riesgos relacionados con los objetivos y procesos de negocio de la organización,

que podrán ser mantenidos internamente o bien podrán ser externalizados, e inter-
conexiones con los proveedores de servicios externalizados y socios comerciales;
naturaleza de la asignación de las facultades y responsabilidades ante la alta direc-
ción, unidad operativa, dirección funcional y geográfica.

' Definición de las líneas de comunicación de información (por ejemplo, líneas direc-
tas/continuas vs. líneas secundarias/discontinuas) y canales de comunicación.

' Requisitos financieros, fiscales, regulatorios y otro tipo de requisitos de información

de las jurisdicciones correspondientes.

Con independencia de la estructura de la organización, las definiciones y asignaciones

de facultades y responsabilidades, las líneas de comunicación de información y los ca-
nales de comunicación deben estar claros para permitir una adecuada responsabilidad
por la rendición de cuentas respecto a las unidades operativas y a las áreas funcionales.
Por ejemplo, el consejo determinará qué funciones de la alta dirección tendrán al menos
una "línea discontinua" de comunicación de información ante el consejo de administra-
ción para permitir una comunicación abierla con el consejo sobre todas las cuestiones
de impoftancia. De igual manera, se definirán las líneas de comunicación de información
directas y las líneas meramente informativas a todos los niveles de la organización.

En líneas generales, las responsabilidades se pueden clasificar dentro de tres líneas de

defensa con relación al cumplimiento de los objetivos de Ia organización, previa supervi-
sión del consejo de administración:

' La dirección y el resto del personal se sitúan al frente, constituyendo así la primera
línea de defensa en las actividades del día a día. Serán responsables de mantener
un control interno efectivo en el día a día; serán retribuidos en base a los resultados
conseguidos en relación con todos los objetivos aplicables.

¡ Las funciones de del soporte negocio (también denominadas funciones de soporte)

proporcionan orientación con respecto a los requisitos de control interno y evalúan
el cumplimiento de las normas definidas; si bien están alineadas a nivel funcional
con el negocio, su retribución no está directamente asociada al desempeño del área
al que prestan asesoramiento externo.

o Los auditores internos constituirán la tercera línea de defensa evaluando y comuni-

cando ínformación sobre el sistema de control interno y recomendando medidas
correctivas o mejoras que serán tomadas en consideración por la dirección e im-
plantadas en su caso; su posición y su compensación serán independientes y dife-
renciadas de las áreas de negocio que serán objeto de su análisis.

crrtrr .
l.
ffi II nterno - r,larco lntesrado tlayo 2013
 t'j-1nl'l.ti 'fl,:,i+: { t'":, ;il '.r'a i

La evaluación periódica de las estructuras existentes en relación con la consecución de

los objetivos de la organización permitirá llevar a cabo una realineación con las priorida-
des que vayan surgiendo (por ejemplo, nuevas regulaciones) y ejecutar medidas de ra-
cionalización (por ejemplo, a través de diferentes áreas y unidades operativas) para
proporcionar una visión integral y detallada del control interno.

El consejo de administración delega autoridad y define y asigna responsabilidades en la

alta dirección. A su vez,la alta dirección delega facultades y define y asigna responsabi-
lidades en la organización y sus unidades de negocio. La autoridad y responsabilidad
se delega en base a las capacidades demostradas, y las funciones se definen de
acuerdo con quien sea responsable de tomar las decisiones o quien deba ser informado
al respecto. El consejo y/o la alta dirección definirán hasta qué punto se aulorizará, ani-
mará o limitará a los distintos profesionales y equipos a avanzar en la consecución de
los objetivos o abordar problemas o cuestiones cuando surjan.

Las principales funciones y responsabilidades asignadas a todos los niveles de la organi-

zación suelen incluir las siguientes:

. El consejo de administración se mantiene informado y cuestiona de manera objetiva

a la alta dirección en caso necesario para aportar orientaciones con respecto a las
decisiones más significativas.

¡ La alta dirección, que incluirá al CEO o equivalente, será el último responsable,

frente al consejo de administración y al resto de grupos de interés, en establecer las
instrucciones, orientaciones y control que permitirán ala dirección y al resto del per-
sonal comprender y llevar a cabo sus responsabilidades.

. La dirección, que incluirá puestos de supervisión y de toma de decisiones, ejecutará

las instrucciones proporcionadas por la alta dirección en la organización y en sus
unidades de negocio.

. Se espera que el personal, que incluirá a todos los empleados de la organización,

comprendan las normas de conducta de la organización, sus objetivos según sean
definidos en relación con su área de responsabilidad, los riesgos evaluados de cara
a dichos objetivos, las actividades de control relacionadas en sus respectivos nive-
les de la organización, el flujo de información y comunicación y cualesquiera activi-
dades de supervisión relevantes para la consecución de sus objetivos.

. La dirección y el personal tiene responsabilidad directa sobre los procesos externa-

lizados llevados a cabo por proveedores de servicios externos. Se proporcionará a
los proveedores de servicios externalizados unas condiciones contractuales claras y
concisas en relación con los objetivos y expectativas de conducta y de desempeño
de la organización, sus niveles de competencia técnica y los flujos de información y
comunicación que se espera de ellos. Dichos proveedores podrán ejecutar proce-
sos de negocio en nombre de la organización o en colaboración con ella, pero será
esta última quien siga siendo responsable del control interno.

(orltrol lnterno - 14arc0 lntesrado . l'1ay0 20ll # ffi § t 53

li¡rr;: i
' ,'r;¡iJa{:r* iq Íirig*s " Ári¡!;üJds: ** {ijr:r{i¡ " i11:rr*E{;*Í.J i+::u¡:!c¿¿ii;': ' i¿l!r!*;**: I* :uF+r'.J¡si*:r

Las organizaciones delegan autoridad y responsabilidad para permitir a la dirección y al

resto del personal la toma de decisiones de acuerdo con las instrucciones de la direc-
ción de cara al cumplimiento de los objetivos de la organización. Una organización
puede definir o reconsiderar sus estructuras reduciendo niveles de gestión, delegando
más facultades y responsabilidades en los niveles inferiores o estableciendo alianzas
con otras organizaciones. Por ejemplo, una organización comercial puede dar mayor ca-
pacidad de actuación a sus directivos para vender de acuerdo con mayores descuentos
con el fin de conseguir más participación en el mercado. Sin embargo, la autoridad se
delegara y las responsabilidades se asignarán únicamente aquellos profesionales que
demuestren tener las competencias para tomar decisiones adecuadas; para cumplir de
manera sistemática las normas de conducta de la organización, sus políticas y sus pro-
cedimientos; y para comprender las consecuencias de los riesgos que asumen.

La delegación de autoridad proporciona una mayor agilidad pero también incrementa la

complejidad de los riesgos a gestionar. La alta dirección, previa orientación del consejo
de administración, proporcionará la base sobre la que poder determinar qué es acepta-
ble y qué no lo es, tales como incumplimientos de las obligaciones contractuales o regu-
latorias de la organización.

La asignación de autoridad apofta capacidad a las personas para actuar según sea ne-
cesario en un puesto determinado, pero también es necesario definir las limitaciones de
dicha autoridad, de manera que:

¡ Esta delegación solamente ocurra en la medida necesaria para lograr los objetivos
de la organización (por ejemplo, revisión y aprobación de nuevos productos que im-
plique a las funciones de negocio y de soporte necesarias, separadas del equipo
de ventas).

o No se acepten riesgos inapropiados (por ejemplo, que no se incorpore a un nuevo

proveedor sin haber efectuado la peftinente revisión de due diligence).

. Se segreguen las responsabilidades para reducir el riesgo de conducta irregular a la

hora de lograr los objetivos y se lleven a cabo las comprobaciones necesarias de
manera descendente, desde los niveles más altos a los más bajos de la organiza-
ción (por ejemplo, definición de puestos, responsabilidades y parámetros de de-
sempeño con el fin de reducir cualesquiera potenciales conflictos de interés).

. Se aprovechen las tecnologías de forma oporluna para facilitar la definición y limita-

ción de puestos y responsabilidades dentro del flujo de trabajo de los procesos de
negocio (por ejemplo, diferentes niveles de acceso a los sistemas ERP a nivel cor-
porativo y de filial; concesión de privilegios de acceso a clientes online, socios co-
merciales y demás).

. Los proveedores de servicios externos a los que se les encomienda que lleven a
cabo actividades en nombre de la organización comprenden el alcance de sus dere-
chos en Ia toma de decisiones.
 (omnonentes dei {onkol ,nte¡no I Entorno de {ontr0l

Demuestra compromiso con la cornpetencia de

sus profesionales
Principio 4: La organización demuestra compromiso para
atraer, desarrollar y retener a profesionales competentes en
alineación con los objetivos de Ia organización.

Puntos de interés
!-e siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
Ésticas relativas a este principio:

o Establece políticas y prácticas Las políticas y prácticas reflejan las expectativas

y
-
para respaldar la consecución de los objetivos.
competencias necesarias

o Evalúa las competencias disponibles y aborda la falta de las mismas El con-

-
sejo de administración y la dirección evalúan las competencias existentes en la or-
ganización y en los proveedores de servicios externalizados en relación con las
políticas y prácticas establecidas, y actúan según sea necesario para abordar la
falta de competencias identificadas.

o Atrae, desarrolla y retiene a profesionales La organización proporciona mento-

-
res y formación a sus profesionales para atraer, desarrollar y retener a personal y
proveedores de servicios externalizados competentes y suficientes para respaldar la
consecución de los objetivos.

o Planifica y prepara la sucesión La alta dirección y el consejo de administración

-
dqsarrollan planes de contingencia en la asignación de responsabilidades ¡mportan-
tes para el control interno.

Políticas y práct¡cas
[.e políticas y prácticas son orientaciones y comportamientos a nivel de organización
q"c reflejan las expectativas y requisitos de los inversores, reguladores y demás grupos
& interés. Constituyen la base sobre Ia que definir las competencias necesarias dentro
& la organización y proporcionar los fundamentos sobre los que desarrollar procedi-
füiefitos más detallados para ejecutar y evaluar el desempeño así como para determinar
rredidas correctivas en caso de ser necesario. Dichas políticas y prácticas aportan:

. Requisitos y racionalización (por ejemplo, implicaciones de las leyes de seguridad

de productos, de sus reglas, regulaciones y normas aplicables a la organización).

¡ Habilidades y conductas necesarias para respaldar el control interno en la consecu-

ción de los objetivos de la organización (por ejemplo, conocimiento del funciona-
miento de las plataformas tecnológicas en las que se basan los procesos de
negocio).

lnterno- Ilarco lntegrado . mrVrzOr

Control
§ tt I I
 Definen la responsabilidad por la rendición de cuentas de cara al desempeño de las
principales funciones de negocio (por ejemplo, propietarios/responsables definidos
de la seguridad de los productos y áreas de aplicabilidad dentro de la organización).

Bases sobre las que evaluar las deficiencias identificadas y definir medidas correcti-
vas en caso necesario (por ejemplo, corregir un proceso o reforzar habilidades de la
dirección o de otros miembros del personal).

Soportes para reaccionar de manera dinámica ante los cambios (por ejemplo, vin-
culación con procedimientos operativos aplicables para reflejar nuevos requisitos
regulatorios, nuevos riesgos identificados, decisiones internas para modificar los
procesos de negocio).

Las políticas y prácticas permiten que se centre Ia atención en las competencias a

todos los niveles de la organización, empezando por el consejo de administración en re-
lación con el CEO, el CEO en relación con la alta dirección, y así de manera descendente
hacia los distintos niveles de la dirección. El compromiso resultante con la capacidad de
los profesionales de la organización facilita la medición de la consecución de objetivos a
todos los niveles de la organización y por parte de los proveedores de servicios externa-
lizados, determinando cómo se han llevado a cabo los procesos y qué habilidades y
comportam ientos deben aplicarse.

' , ,.
-t :, , ¡'. ''-,, " lj. '1
. :r' i.' ti. ,: i

Se entiende por competencia la cualificación para desempeñar las responsabilidades

asignadas. Para ello, se requiere disponer de las habilidades y conocimientos peñinen-
tes, los cuales se obtienen fundamentalmente a través de la experiencia profesional, de
la formación y de las certificaciones. Las competencias se expresan a través de la acti-
tud, el conocimiento y el comportamiento de los profesionales en el desempeño de sus
responsabilidades.

La función de recursos humanos de una organización a menudo puede ayudar a definir

Ias competencias y los niveles de personal necesarios por puesto de trabajo, facilitando
la formación y manteniendo registros documentales acerca de la realización de los cur-
sos correspondientes y evaluando la relevancia e idoneidad del desarrollo profesional de
los empleados en relación con las necesidades de la organización.

La organización define sus requisitos en materia de competencias según sean necesa-

rios para respaldar la consecución de objetivos, teniendo en cuenta, por ejemplo:

Los conocimientos, habilidades y experiencias necesarios.

La naturaleza y el grado de criterio profesional que debe aplicarse así como las limi-
taciones que deben establecerse en la autoridad asignada a un puesto en particular.

Un análisis coste/beneficio de los diferentes niveles de habilidades y experiencias.

El consejo de administración evalúa las capacidades del CEO y, a su vez, la dirección

evalúa las capacidades existentes en la organización y en los proveedores de servicios
externalizados en relación con las políticas y prácticas establecidas, y actúan según sea

contrr lnterno - .
ffi §§ II l4arco lntesÍado l4ayo 20ll
 í'J!:ti*iisriiÉ: *s! ii:i:¡r*i iniri:1,; i

---cesario para abordar la falta o exceso de capacidades identificadas. En pafticular, un

:erfil de riesgos en constante cambio puede provocar que la organización destine sus
"3cursos hacia unas áreas u otras del negocio que requieran una mayor atención. Por
:_emplo, cuando una organización lanza un nuevo producto al mercado, puede optar
:,cr incrementar el número de personal en los equipos de venta y marketing, o cuando
se emitan nuevas regulaciones aplicables, puede que opte por centrarse en determina-
::s profesionales para que sean los responsables de su implementación. La falta de
::mpetencias puede hacer referencia al número de empleados, a sus conocimientos es-
::cializados o una combinación de factores. La dirección será responsable de actuar
:ara mitigar este tipo de falta de competencias de forma opoftuna.

= compromiso con la competencia de sus profesionales se ve respaldada por los pro-

:esos de gestión de recursos humanos, y se incorpora a dichos procesos, paraatraer,
::sarrollar, evaluar y retener al perfil adecuado de directivos y demás miembros del per-
El número adecuado de re-
=:nal, así como a proveedores de servicios externalizados.
:Jrsos se determina y se reajusta periódicamente teniendo en cuenta la importancia
-: aiiva de los riesgos a mitigar para respaldar la consecución de los objetivos de la or-
,tntzación. La dirección, a los diferentes niveles dentro de la organización, establece las
=s:ructuras y procesos para:

' Atraer ldentificar candidatos que demuestren que encajan con la cultura de la or-
-
ganización, con su modo de actuación, con las necesidades de la organización y
que tengan las competencias requeridas para los puestós propuestos.

. pertinentes a
Formar
- Permitir que los profesionales desarrollen las competencias
las funciones y responsabilidades que les han sldo asignadas, reforzar las normas
de conducta y los niveles esperados de capacidad de cara al desarrollo de determi-
nadas funciones asignadas, adaptar la formación en función de los puestos y las
necesidades, y tener en cuenta un adecuado mix de técnicas de prestación de la
formación, que incluirán formación presencial, autoestudio y formación en el puesto
de trabajo.

. Tutelar Aporta asesoramiento al profesional sobre su desempeño de cara a las

-
normas de conducta y competencias que Se esperan de su desempeño, alinea las
habilidades y conocimientos especializados del individuo con los objetivos de la or-
ganización y ayuda al personal a adaptarse a un entorno en constante evolución.

. Evaluar Mide el desempeño de los profesionales en relación con consecución la

-
de los objetivos y la demostración de la conducta que se espera del profesional,
contrastándolos con los acuerdos de nivel de servicio y otro tipo de normas con-
tractuales establecidas para la contratación y retribución de proveedores de servi-
cios externalizados.

. Retener y
Proporciona incentivos para motivar reforzar los niveles esperados de
-
desempeño y de conducta, incluida su formación y la consecución de credenciales
en caso oportuno.

(ontrol Inrerno - t4arco tntesrado . tvldyo Z0tj § ffi II

 Mediante este proceso, cualquier comportamiento que no sea coherente con las normas
de conducta, las políticas y prácticas, y con las responsabilidades de control interno
será identificado, evaluado y corregido de manera opoftuna o de lo contrario será abor-
dado a todos los niveles de la organización. De este modo, la organización es capaz de
abordar activamente las competencias que son necesarias para respaldar la consecu-
ción de los objetivos de las organizaciones sopesando de forma opoftuna los costes y
benef icios relacionados.

ñl*niÍl;* v tlr*iiürü i¡ s¡..:e**i*n

La dirección identifica y evalúa continuamente aquellos puestos que se consideran
esenciales para lograr los objetivos de la organización. La impoftancia de cada puesto
se determina evaluando cuál sería el impacto si dicho puesto quedara temporalmente o
permanentemente vacante. Por ejemplo, el CEO y demás miembros de la alta dirección,
los proveedores estratégicos y los principales socios comerciales son funciones que nor-
malmente exigen que se disponga de planes paragarantizar que se siguen logrando di-
chos objetivos aún en caso de que dicho puesto específico quede vacante.

La alta dirección y el consejo de administración desarrollan planes de contingencia en la

asignación de responsabilidades importantes para el control interno. En particular, se de-
finirán los planes de sucesión para los principales ejecutivos y los candidatos a la suce-
sión contarán con la formación y el coaching oportuno para asumir el correspondiente
puesto potencial.

De igual manera, se llevarán a cabo planes de sucesión cuando se deleguen funciones

significativas a través de mecanismos,eontractuales a proveedores de servicios externa-
lizados. Cuando una organización tenga una dependencia considerable de un proveedor
externo y la organización haya evaluado el riesgo del impacto directo que una disfunción
o avería en los procesos y sistemas de dicho proveedor en la capacidad de la organiza-
ción para lograr sus objetivos, será necesario adoptar algún tipo de plan de sucesión.
Las medidas que incluyan Ia puesta en común de conocimientos y documentación facili-
tarán la sucesión a nuevo proveedor cuando sea necesario.

crntrr lnteÍno-l,larro lntesrado .

5B
§§§ II 1,1ay02011
 (omprnenter del trrlr$l lnlerrio i Ent0rno de funttol

Aplica la responsabilidad por la rendición de

cuentas
Principio La organización define las responsabilidades de
Ias personas a nivel de control interno para la consecucién
de los objetivos,

Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
dsticas relativas a este principio:

. Aplica la responsabilidad por la rendición de cuentas a través de estructura§, au-

toridad y responsabilidad
- La direccién y el consejo de administración estable-
cen mecanismos para favorecer la comunicación y la responsabilidad por la
rendieión de cuentas por parte de los profesionales correspondientes con respecto
al desempeño de sus responsabilidades de control interno a todos los niveles de la
organización e implementan medidas correctivas en caso de ser necesario.

¡ Establece parámetros de desempeño, incentivos y recompensas

- La dirección y
el consejo de administración establecen parámetros de desempeño, incentivos y
otras recompensas opoftunas con respecto a las responsabilidades adoptadas a
todos los niveles de la organización, reflejando las dimensiones adecuadas de
desempeño y las normas de conducta esperadas, y tomando en cuenta la consecu-
ción de los objetivos a corto y largo plazo.

o Evalúa los parárnetros de desempeño, incentivos y recomper¡sas para mantener

su relevancia La dirección y el consejo de administración alinean los incentivos y
-
recompensas con el desempeño de las responsabilidades de control interno de
cataa la consecución de los objetivos.
o Tiene en cuentas las presiones excesivas
- La dirección y el consejo de adminis-
tración evalúan y ajustan las presiones asociadas a la consecución de los objetivos
a medida que asignan responsabilidades, desarrollan parámetros de desempeño y
evalúan el desempeño,

o Evalúa el desempeño y recompensa o aplica medidas disciplinarias a los profe-

sionales oportunos La dirección y el consejo de administración evalúan el
-
desempeño de las responsabilidades de control interno, incluido el cumplimiento de
las normas de conducta y los niveles de competencias esperados y proporcionan
recompensas o apl¡can medidas disciplinarias según se requiera.

. urvozor
tontrol lnterno-Marcolntesrado
! lIl ! 59
 Itesp*nsahilidad por la rendicién de cuenras en el ámbito det
c*ntr*i int*rr:c
El consejo de administración insta al CEO a que asuma la responsabilidad última de
comprender los riesgos a los que se enfrenta la organización y de establecer los siste-
mas de control interno necesarios para respaldar la consecución de los objetivos de la
organización. El CEO y la alta dirección, a su vez, son responsables de diseñar, imple-
mentar, ejecutar y evaluar periódicamente las estructuras, facultades y responsabilida-
des necesarias para establecer una adecuada responsabilidad por la rendición de
cuentas de cara al control interno a todos los niveles de la organización.

La responsabilidad por la rendición de cuentas hace referencia a la toma de responsabi-

lidad que ha sido delegada con respecto al desempeño del control interno en aras de lo-
grar los objetivos y teniendo en cuenta los riesgos a los que se enfrenta la organización.
Puede que se recurra a proveedores de servicios externalizados para desempeñar res-
ponsabilidades junto con la dirección o en representación de Ia misma, en cuyo caso la
dirección establecerá los niveles requeridos de desempeño y los mecanismos de super-
visión, y mantendrá la responsabilidad última sobre el control interno. La dirección pro-
porcionará asesoramiento para permitir la comprensión de los riesgos a los que se
enfrenta la organización, para comunicar las expectativas de conducta de las responsa-
bilidades de control interno en aras de soportar la consecución de los objetivos de la or- l

ganización y para que el personal correspondiente asuma las responsabilidades

oportunas al respecto.

La asunción de responsabilidad con respecto al control interno se demuestra a través de

cada una de las formas de estructura organizacional utilizadas por Ia organización. Por
ejemplo, un directivo cuyas responsabilidades incluyan el mantenimiento de unas prácti-
cas comerciales justas será responsable de cara a la organización jurídica, unidad ope-
rativa, región geográfica o cualquier ofra organización estructural existente para
demostrar la puesta en práctica de un entorno de control adecuado y efectivo, y una
evaluación de riesgos, actividades de control y prácticas de información y comunicación
y actividades de supervisión que cumplan las políticas de la organización y las leyes y
regulaciones correspondientes.

La responsabilidad por la rendición de cuentas está interconectada con el liderazgo, en

la medida en que, el "Tone at the top" contribuye a garantizar que tales responsabilida-
des sobre el control interno se comprendan, se lleven a cabo y se refuercen continua-
mente a todos los niveles de la organización. EI "Tone at the top" contribuye a establecer
y refozar la responsabilidad por la rendición de cuentas, la moral de los empleados y un
propósito común mediante:

o La claridad de las expectativas de Ia alta dirección y del consejo de administración,

abordando cuestiones como la integridad y la ética, los conflictos de interés, las ac-
tividades ilegales o irregulares y mecanismos para prevenir prácticas de competen-
cia desleal (por ejemplo, un código de conducta se desarrolla y se comunica a
todos los empleados y proveedores de servicios externalizados, y se aplica).

¡ La dirección proporciona asesoramiento a través de su filosofía y su modo de ac-

tuación, y dicho asesoramiento y orientación se expresan a través de su mentali-
dad, formalidad, persistencia y demás actitudes de la dirección con respecto al

- .
60
§§§ It control lnterno !1arc0 lntesrado lvlayo 2013
 (omponentes dcl [sntl(}¡ iirt*ifiÉ ! lni*¡*,r dr i*rtr¡i

control interno (por ejemplo, una organización que haya tenido éxito a la hora de
asumir determinados riesgos significativos puede tener una perspectiva diferente
sobre el control interno que otra organización que haya tenido que hacer frente a di-
ficultades económicas o regulatorias como resultado de la asunción de áreas de
elevado riesgo).

. El flujo de control y de información (por ejemplo, comunicando cómo se adoptan las

decisiones y solicitando y proporcionando feedback de 360" con respecto al
desem peño conseguido).

o Los canales de comunicación ascendente y de otro tipo para empleados y provee-

dores de servicios externalizados que les permita sentirse cómodos a la hora de co-
municar infracciones de las normas éticas (por ejemplo, a través de canales de
comunicación anónimos o confidenciales).

o El compromiso de los empleados con la consecución de los objetivos colectivos

(por ejemplo, a través de la alineación del desempeño y los objetivos individuales
con los objetivos de la organización).

o La respuesta de la dirección ante desviaciones de las normas y comportamientos

esperados (por ejemplo, las notificaciones, despidos y/o demás medidas correcti-
vas que se derivan del incumplimiento de las normas de la organización, de la eva-
luación del desempeño y de las estructuras de recompensa son, proporcionales a la
consecución de los objetivos de la organización).

La responsabilidad por la rendición de cuentas viene motivada por el "Tone at the top" y
se ve respaldada por el compromiso hacia la integridad y los valores éticos, las compe-
üencias, estructuras, procesos y tecnologías, que colectivamente influyen en la cultura
de control de Ia organización. Se adoptan medidas correctivas cuando es necesario para
restablecer la responsabilidad por la rendición de cuentas de cara al control interno.

I : ra i-n Éi i ü: i"i e ffi Éd i { i r; ¡'r r'i * i':J *s*, n s* n ü" i n cent v,: s. I

.:^-'TrnA¡f (':rC
_ r !L/\-.! i;ru-l
-vi

B desempeño se ven influenciado en gran medida por el grado en el que los profesiona-
les asumen sus responsabilidades y cómo se ven recompensados al respecto.

l-a dirección y el consejo de administración establecen parámetros de desempeño, in-

ertivos y otras recompensas oportunas con respecto a las responsabilidades adopta-
rtae ¿ 16¿o= los niveles de la organización, teniendo en cuenta la consecución de los
objetivos a cofto y largo plazo. Al tener en cuenta que, el hecho de recompensar resulta-
dm futuros en el presente puede derivar en consecuencias no previstas, la organización
deberá establecer una combinación de parámetros de desempeño cuantitativos y cuali-
tativos, que deberán ser equilibrados para recompensar los éxitos y aplicar medidas dis-
ciplinarias en los comportamientos indebidos según sea necesario y en línea con los
objetivos establecidos. Considérese el ejemplo de una compañía que esté tratando de
conseguir una mayor fidelización de sus clientes mediante productos de calidad. Para
dlo, puede involucrar a su plantilla para que reduzcan las ratios de defectos de produc-
cion y alinear sus parámetros de desempeño, incentivos y recompensas con los objeti-

. 208 §
[ontrot tnterno - tvtarco tnteqraclo ¡4ayo
§§ II
 :rir:'::'!:.fir:fi1"r.f:§:9t3ri"111i:iy.f11:l.t!11.{"':1-::l3lTiitylJ
i:ty.Yrtl".t:]jl*:lf:.ql:1it3,:111

vos de producción de su unidad operativa y con las expectativas de cumplir con las nor-
mas de calidad y de seguridad de los productos, con las leyes de seguridad en el tra-
bajo, con los programas de fidelización de clientes y mediante una precisa comunicación
de revisión de productos defectuosos.

Los parámetros de desempeño, incentivos y recompensas respaldarán un sistema efec-

tivo de control interno en la medida en que se adapten a los objetivos de la organización
y evolucionen de forman dinámica con sus necesidades. La tabla siguiente ilustra los
principales parámetros de desempeño y algunas consideraciones que se deben tener en
cuenta a la hora de motivar, medir y recompensar un alto desempeño.

Parámetros de éxito Consideraciones

Objetivos claros Tener en cuenta todos los niveles del personal a Ia hora de
respaldar los objetivos de la organización.

Tener en cuenta Ias múltiples dimensiones de la conducta es-

perada y del desempeño de la organización, de los proveedo-
res de servicios externalizados y de los socios comerciales
(por ejemplo, mediante contratos de nivel de servicio) y definir
objetivos e incentivos y presiones relacionados.

lmplicaciones definidas Comunicar/reforzar los objetivos de la organización y cómo se

espera que cada área y nivel de Ia organización respalde la
consecución de los objetivos.

ldentificar y analizar eventos que el mercado haya recompen-

sado en el pasado y aquellos que el mercado haya penalizado.

Comunicar consecuencias (positivas y negativas) de no con-

seguir o de conseguir en parte/en su totalidad los objetivos
específicos de la organización.

Parámetros significativos Definir parámetros que transformen datos dispares en infor-

mación significativa sobre el desempeño.

Medir valores esperados frente a valores reales en el ámbito

del impacto de las desviaciones, tanto positivas como negati-
VAS,

Evaluar el impacto esperado de los objetivos de la organiza-

ción.

Ajustes a cambios o Ajustar los parámetros de desempeño con regularidad en base

a una evaluación sistemática y continua de los impactos po-
tenciales de riesgos a medida que evolucionan con el paso del
tiempo, así como la cuantificación de los riesgos asociados.

Los incentivos aportan motivación a la dirección y al resto del personal para que su de-
sempeño sea el adecuado. Es habitual el uso de los aumentos de sueldo o la consecu-
ción de bonus o primas, pero también pueden utilizarse otros incentivos como la
asignación de mayores responsabilidades, mayor visibilidad, reconocimiento y otras for-

.
62
ffi ffi § I I controt tnterno - t'tarco lntesrado l4ayo 2013
 i*i':¡É*l]ei:i*-s dei i*fitrÉi !:;ier4* |

mas de recompensa no monetarias. La dirección aplica de manera coherente y revisa

:on regularidad las estructuras de recompensa y la medición de resultados de la organi-
zación para asegurarse de que no motiva el desarrollo de conductas inapropiadas (por
la falta de equilibrio entre los objetivos de ventas y otros objetivos clave para la
=jemplo,
, iabilidad del negocio puede generar conductas que no estén alineadas con las normas

crevistas). De igual manera, las estructuras de retribución y recompensa, incluidas las

estructuras de contratación y promoción, incorporan la revisión de las conductas históri-
:as frente a las expectativas de comportamiento ético. Los profesionales que no cum-
clan las normas de conducta de la organización serán sancionados y no se les
ascenderá ni recompensará de ningún otro modo.

Con independencia de la forma en que se lleven a cabo, los incentivos motivan los com-
codamientos. Una organización que limite su atención únicamente a incrementar los be-
tales como la
"eficios es más probable que experimente compodamientos no deseados,
^tanipulación de los estados financieros o los registros contables, prácticas comerciales
casadas en la alta presión ejercida, negociaciones dirigidas a incrementar las ventas o
ceneficios trimestrales a cualquier precio o mediante ofedas implícitas de sobornos.

a dirección y el consejo de administración evalúan con regularidad el desempeño de

cs profesionales y de sus equipos en relación con los parámetros de desempeño defini-
Jos, que incluyen factores del desempeño del negocio así como el cumplimiento y so-
sorte de las normas de conducta y de las competencias demostradas.

-os parámetros de desempeño se revisan periódicamente para garanlizar que son siem-
rre relevantes y adecuados con relación a los incentivos y recompensas. En caso nece-
sario, los factores internos o externos se vuelven a alinear con los objetivos y demás
:xpectativas de la dirección, del personal y de los proveedores externos.

-a dirección y el consejo de administración establecen objetivos y metas con respecto a

a consecución de los objetivos que, por su propia nafuraleza, generan presiones dentro
Ce la organización. Las presiones también se pueden derivar de las variaciones ciclicas
le determinadas actividades, que las organizaciones tienen capacidad de influir me-
liante la redistribución de las cargas de trabajo o incrementando los niveles de recur-
sos, según se considere opoftuno, para reducir el riesgo de que los empleados "sigan
atajos" en aquellos casos en los que, de hacerlo, podría Ser muy desfavorable para la
:onsecución de los objetivos.

Estas presiones, que también se ven afectadas por el entorno interno y externo, pueden
rtotivar positivamente a profesionales específicos para que satisfagan sus expectativas
ie conducta y desempeño, tanto a codo plazo como a largo. Sin embargo, si se ejercen
cresiones indebidas, esto puede provocar que los empleados tengan miedo a las conse-
cuencias de no lograr los objetivos y procesos relacionados o para participar en activi-
Cades fraudulentas y de corrupción.

Las presiones excesivas se suelen asociar comúnmente a:

. Objetivos de desempeño poco realistas, en especial en base a los resultados a

corlo plazo.

(ontroL lnterno - I1arco lntesrado . Mayo 20ll § ffi II 63

 . Los conflictos de objetivos de los diferentes grupos de interés.

. El desequilibrio entre recompensas con respecto al desempeño financiero a corto

plazo y aquellas recompensas que se centren en los demás grupos de interés, tales
como los objetivos de sostenibilidad.

Por ejemplo, la presión para generar unos niveles de ventas que no sean proporcionales
a las oportunidades de mercado pueden derivar en que los responsables comerciales se
vean obligados a falsificar los números o participar en casos de soborno y otros actos ilí-
citos. Las presiones para demostrar la rentabilidad de las inversiones realizadas pueden
hacer que los traders asuman riesgos ajenos a Ia estrategia para cubrir las pérdidas in-
curridas. De igual modo, las presiones paralanzar un producto al mercado a gran veloci-
dad y generar ingresos con rapidez puede hacer que el personal opte por tomar "atajos"
en materia de desarrollo de productos o comprobación de las medidas de seguridad, lo
cual puede resultar perjudicial para los consumidores o derivar en una deficiente acepta-
ción por parte del público y una reputación menor.

Para alinear los objetivos de los profesionales y los de la unidad de negocio con res-
pecto a los de la organización,la organización debe tener en cuenta cómo se asumen
los riesgos y cómo se gestionan en base a la retribución y demás recompensas. Por
ejemplo, a medida que los traders asumen riesgos en nombre de sus clientes y organiza-
ciones, dichos profesionales deben ser conscientes de que su retribución, progresión y
posicionamiento puede ser impulsada, reducida o perdida en función de los resultados
obtenidos. Las estructuras de incentivos que no sirven para tener en cuenta de forma
adecuada los riesgos asociados al modelo de negocio pueden ocasionar comporlamien-
tos inapropiados.

Otros cambios en el negocio, tales como cambios en la estrategia, en el diseño de la or-

ganización, y en actividades de adquisición/desinversión, también generan presiones. La
dirección y el consejo deben comprender dichas presiones y equilibrarlas mediante
mensajes apropiados e incentivos y recompensas. La dirección y el consejo fijan y ajus-
tan, según estimen oportuno, las presiones sobre los incentivos y recompensas cuando
asignan responsabilidades, diseñan parámetros de desempeño y evalúan el desempeño.
Es responsabilidad de Ia dirección guiar a aquellas personas en quienes hayan delegado
autoridad para adoptar las decisiones apropiadas en el curso ordinario del negocio. Por
ejemplo, las organizaciones a menudo consideran el desempeño financiero, el desarrollo
de competencias y la oporlunidad y exactitud de los reportes para los grupos de inte-
rés, como los objetivos más críticos parala viabilidad de su negocio. De igual manera,
se espera que la dirección, otros miembros de personal y los proveedores de servicios
externalizados y socios comerciales sigan perseverando en todo momento en lo relativo
a la entrega de productos o servicios de calidad, seguridad en el cumplimiento de las
funciones por pañe del personal, y otros factores que podrían crear un peligro o daño
moral a la reputación de la organización.

De la misma manera que los objetivos de desempeño se definen de manera descen-

dente desde el consejo de administración hacia el CEO, la alta dirección y el resto del
personal, la evaluación del desempeño frente a dichos objetivos se lleva a cabo también

64
* §ffi § I cortrrLnterno-l,1arcolntesÍado, l,layo20ll
 i:i*;t ar,:i
l:::-::i:i::i:ra:'
l!
ic::l[.i illllllii ll :li -:r
tompanentes del {nntrs! lnterfi0 I [iilüf:re de :::*:;:]:i::i
1:l:::l i::'::::'ll:irl

de manera descendente en cada uno de estos niveles. El consejo de administración eva-

lúa el desempeño del CEO, que a su vez evalúa al equ¡po de la alta dirección, y así suce-
sivamente. En cada nivel, se evalúa el cumplimiento de las normas de conducta y las
competencias esperadas, al tiempo que se asignan las correspondientes recompensas o
medidas disciplinarias en caso de ser necesario. Las recompensas pueden efectuarse
en forma de gratificación económica, concesión de acciones, reconocimiento, creci-
miento o ascenso en la jerarquía dentro de la organización. Los resultados de estas eva-
luaciones se comunican y se actúa en base a ellas asignando las correspondientes
recompensas o sanciones según lo aplicable para influir en el comportamiento deseado.

las polÍticas y prácticas de compensación se basan en la filosofía de retribución de la

organización, que tendrán en cuenta el posicionamiento competitivo que trata de conse-
guir (los métodos y niveles de incentivo y retribución para alraer a los profesionales de
mayor talento deberán ser superiores a los ofrecidos por compañías homólogas en el
sector). La retribución y demás modalidades de compensación se conceden en base a la
evaluación del desempeño, Ias capacidades y la adquisición de habilidades así como de
acuerdo con la información de precios disponible en el mercado, con el objetivo de rete-
ner a los profesionales de mejor desempeño y fomentar que los profesionales de desem-
peño más bajo dejen de serlo. Recursos humanos gestiona el proceso de obtención,
procesamiento y comunicación de Ia información relevante a los niveles oportunos de la
dirección y del resto del personal.

EI desempeño se medirá en relación con la consecución de los objetivos y Ia capacidad

para llevar a cabo una adecuada gestión dentro de los niveles de tolerancia al riesgo
tanto a corto como a largo plazo. En este sentido, se consideran tanto los riesgos histó-
ricos (retrospectivos) como los riesgos a futuro (prospectivos).

Controllnterno-llarcolnteqrado . tlavoZO]S ¡§f l I