Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COSO MarcoYApendices
COSO MarcoYApendices
.'il:d
Copyrighto20l3byCommitteeofSponsoringOrgan¡zat¡onsoftheTreadwayCommission,("COSO")strictlyreserved. No
parts of this mater¡al may be reproduced in any form without the written permiss¡on of COSO.
Perm¡ssion has been obtained from the copyright holder, Committee ofSponsor¡ng Organizations oftheTreadway Com-
m¡ssion to publish this translation, which is the same in all mater¡al respects, as the original unless approved as changed.
No parts of this document may be reproduced, stored in any retrieval system, or transm¡tted ¡n any form, or by any means
electron¡c, mechanical, photocopying, recording, or otherwise, without prior wr¡tten permission of COSO.
tsBN 978-84-940290-9-7
Copyr¡ght @ 20'! 3 del Committee of Sponsoring Organizations of the Treadway Commission, ("COSO"). Este material no será
reproducido total o parcialmente de ninguna forma sin autorización por escrito de COSO.
EI lnstituto de Auditores lnternos de España ha obtenido del propietario del Copyright, el Committee of Sponsoring Orga-
nizations of theTreadway Commission, ("COSO"), permiso para publicar esta traducción, cuyo contenido es el mismo que
el original, salvo los cambios aprobados. Este documento, en su totalidad o parte, no puede ser reproducido, almacenado o
remitido de forma electrónica, mecánica, fotocopia, grabación o cualquier otra sin permiso por escrito de COSO.
Committee of Sponsoring Organizations of the Treadway Commission
.llii§::l::]ffi:a
.;§5lili&rl;rij
i{ili:ir]]p4.É::l
ll,§,::l¡,'ffili$
Este proyecto fue encargado por COSO, que se dedica a proporcionar el pensamiento
de liderazgo mediante el desarrollo de marcos y orientaciones generales sobre el control
interno, la gestión del riesgo empresarial, y disuasión del fraude diseñada para mejorar el
desempeño organizacional y la supervisión y reducir el grado de fraude en las organiza-
ciones. COSO es una iniciativa del sector privado, patrocinado y financiado conjunta-
mente por:
PwC-Autor
Princi pa les Colaboradores
Miembros en General
Jennifer Burns James Deloach Trent Gazzaway
Deloitte Protiviti Grant Thornton
Pa¡lner Managing D¡rector Partner
Observadores
James Dalkin Harrison E. Greene Jr. Christian Peo
Government Accountability Office Federal Deposit lnsurance Securities and Exchange
Financial
D¡rector ¡n the Corporation Commission
and
Management Asslstant Chief Accountant Professional Accounting Fellow
AssuranceTeam ffhrough June 2012)
Apéndices
A. Glosario ...............161
C. Tamaño....... .....179
Consideraciones para las Organizaciones de Menor
En estos veinte años desde la creación del marco original, las organizaciones y su en-
torno operativo y de negocio han cambiado de forma dramática, siendo cada vez más
complejos, globales y tecnológicos. Al mismo tiempo, los grupos de interés están más
comprometidos buscando una mayor transparencia y responsabilidad con respecto a la
integridad de los sistemas de control interno que apoyan la toma de decisiones y el buen
gobierno corporativo de la organización.
- . 7013
tontrol lnterno ll1ar(o lntesrado Mavo ,,,
§§ II
Un Besumen ejecutivo proporciona una visión general destinada al consejo de adminis-
tración, al CEO y a la alta dirección. El Marco lntegrado y sus Apéndices describen el
Marco en sí, incluida la definición del control interno, los requisitos para un control in-
terno efectivo, incluidos los componentes y principios relevantes. Asimismo, proporcio-
nan orientación a distintos niveles de Ia dirección para el diseño, implementación y
funcionamiento del control interno y la evaluación de su efectividad.
Previo a la publicación del Marco, COSO publicó la Guía para la supervisión de slsfernas
de control interno para ayudar a las organizaciones a entender y aplicar actividades de
supervisión dentro de un sistema de control interno. Si bien esta guía fue preparadapara
ayudar en la aplicación del marco original, COSO considera que sigue vigente para el
Marco actualizado.
Por último, el consejo de COSO quiere agradecer a PwC y al consejo asesor por su con-
tribución en el desarrollo del Marco y de los documentos relacionados. Su exhaustiva
consideración de las aportaciones realizadas por los distintos grupos de interés y sus
análisis han sido fundamentales para garantizar que los puntos centrales de la estructura
original hayan sido conservados, aclarados y fortalecidos.
David L. Landsittel
Presidente de COSO
.
ffi §lt iontrollnterno-lular(olntesrado I4ayo2013
Prólogo a la Traducción
Desde que en 1992 el Committee of Sponsoring Organizations of the Treadway Commis-
sion publicó el primer informe COSO -Marco lntegrado de Control lnterno-, su liderazgo
ha sido reconocido en el mundo por proporcionar las herramientas necesarias para
desarrollar, fortalecer y mantener un marco de control interno eficazy eficiente que
ayude a a todo tlpo de organizaciones a cumplir sus objetivos.
26 de Junio de 2014
[ontrollnterno-l,larrolntesrado . l¡ailoZOl] I
§§ll
1. Definición de control interno
El objetivo del presente informe Control interno Marco integrado (el Marco) es ayudar
-
a la dirección a mejorar el control en la organización, así como proporcionar al consejo
de administración1 herramientas adicionales para mejorar la capacidad para supervisar
el control interno. El sistema de control interno permite que Ia dirección oriente sus es-
fuerzos en la consecución de los objetivos operativos y desempeño financieros de la or-
ganización, mientras opera de acuerdo con los Iímites establecidos en la legislación
aplicable y minimiza sorpresas que puedan surgir. El control interno permite que una or-
ganización gestione con mayor eficacia los cambios que se produzcan dentro del en-
torno económico y competitivo, la dirección de la organización, así como sus prioridades
y modelos de negocio cambiantes.
Esta definición de control interno es intencionadamente amplia por dos razones. En pri-
mer lugar, captura conceptos importantes que son fundamentales para las organizacio-
nes respecto a cómo diseñar, implementar y desarrollar el control interno, así como para
1 El Marco usa el término "consejo de administración" para referirse al máximo órgano de gobierno, inclui-
dos los consejeros, los socios generales, los propietarios o el consejo de supervisión.
(ontrollnterno-IlarcoLntesrado. I'layo2013
§&lI
evaluar la eficacia del sistema de control interno, constituyendo así una base para su
aplicación en diferentes tipos de organizaciones, sectores y regiones geográficas. En se-
gundo lugar, la definición se adapta también a los distintos subapartados del control in-
terno.
En aquellos casos en los que sea improbable que eventos externos puedan tener un im-
pacto significativo en la consecución de determinados objetivos operacionales o cuando
la organización pueda predecir, de manera razonable, la naturaleza y el momento en el
que se produzcan determinados eventos externos y mitigar su impacto a un nivel acep-
table, la organización podrá obtener un nivel de seguridad razonable de que podrá cum-
plir estos objetivos. Por ejemplo, imaginemos que la dirección establece el objetivo de
llevar a cabo el mantenimiento rutinario de los equipos cada 500 horas de funciona-
miento. La dirección cree que Ia consecución de este objetivo se encuentra en gran me-
dida bajo su control, si bien reconoce que pueden existir eventos externos
-como
pueda ser una pandemia que provoque una reducción significativa de su plantilla de per-
sonal y por tanto la correspondiente reducción en las horas de mantenimiento llevadas a
cabo- que puedan impactar en la consecución de este objetivo, pero que es improba-
ble que se produzcan.
U n proceso
El control interno no se limita a un evento o circunstancia, sino que se trata de un pro-
ceso dinámico e iterativo, es decir, acciones que están presentes en las actividades de
una organización y que son inherentes a la manera en la que la dirección gestiona la
organización. Dentro de este proceso se establecen controles en forma de políticas y
procedimientos. Estas políticas reflejan la visión de la dirección o del consejo sobre
como desarrollar el control interno. Dicha visión puede ser formalizada por escrito y
plasmarse de forma explícita en otras comunicaciones de la dirección o bien de manera
implícita a través de las decisiones y medidas adoptadas por la dirección. Los procedi-
mientos consisten en medidas para la implementación de una política.
Los procesos de negocio, que se llevan a cabo dentro de un área operativa o un área
funcional específica o a través de varias de ellas, son gestionados a través de las activi-
dades habituales de la dirección, tales como la planificación, Ia ejecución y la supervi-
sión. El control interno se integra por tanto, en todos estos procesos. El control interno
integrado en estos procesos y actividades es más eficiente y efectivo que aquellos con-
troles desarrollados de manera aislada.
2 Aunque se pueda hacer referencia al control interno como un proceso, en realidad incluye múltiples pro-
CESOS.
Todos los días surgen cuestiones y problemas en la gestión de una organización, En una
organización puede haber personas que no comprendan plenamente la naturaleza de
estas cuestiones y problemas o las alternativas que tienen a su disposición; puede que
no las comuniquen eficazmente, o que no las desarrollen de manera coherente. Cada
persona aporta a su organización un perlil único de capacidades y formación profesional
y cada una de ellas tiene por tanto prioridades y necesidades distintas. Estas diferencias
individuales pueden resultar enormemente valiosas y beneficiosas de cara a la innova-
ción y a la productividad, pero si no se alinean de forma adecuada con los objetivos de
la organización, pueden resultar contraproducentes. Sin embargo, cada profesional de
una organización debe conocer sus responsabilidades y el límite de su autoridad. Por
consiguiente, es necesario que exista un vínculo claro y estrecho entre las funciones y
responsabilidades de las personas y la forma en que estas obligaciones son comunica-
das, llevadas a cabo y son alineadas con los objetivos de la organización.
La seguridad razonable no implica que una organización siempre vaya a conseguir sus
objetivos. Un control interno efectivo incrementa la probabilidad de que una organiza-
ción consiga sus objetivos. Sin embargo, la probabilidad de consecución de dichos ob-
jetivos se ve afectada por las limitaciones inherentes a todos los sistemas de control
interno, tales como los errores humanos, las incertidumbres inherentes al criterio profe-
sional y el potencial impacto de acontecimientos externos ajenos al control de la direc-
ción. De igual manera, Ias personas pueden eludir un sistema de control interno si existe
connivencia o confabulación entre ellas. Además, si la dirección es capaz de eludir los
.
§ ffi ! ¡ Controllnterno-l,4arcolntesrado l4ayo2013
Üe{iiii{¡dn de {ontro¡ lliternú
controles, la totalidad del sistema puede fallar. Y aunque que todo sistema de control in-
terno de una organización debe ser diseñado para evitar y detectar casos de conniven-
cia, error humano y elusión de los controles por pafte de la dirección, un sistema
efectivo de control interno puede fallar.
El control interno puede por tanto aplicarse, en base a las decisiones de la dirección y en
el contexto de los requisitos legales o regulatorios, sobre el modelo operativo adoptado
por la dirección, la estructura de la organización jurídica o combinación de ambas.
. ltavozou
Control lnterno- l,4an0 lntesrado
§ |!II
2. Objetivos, componentes y
pnncrpros
lntroducción
Una organización adopta una misión y una visión, establece estrategias, fija objetivos a
conseguir y formula planes para lograrlos. Dichos objetivos pueden fijarse para una or-
ganización en su conjunto o bien pueden dirigirse a actividades específicas de Ia organi-
zación. Si bien existen objetivos específicos para cada organización, algunos de ellos
pueden considearse comunes. Por ejemplo, algunos objetivos que son comunes a la
mayoría de las organizaciones son la consecución del éxito como organización,la infor-
mación a las partes interesadas, la contratación y retención de empleados motivados y
competentes, la obtención y mantenimiento de una reputación corporativa positiva y el
cumplimiento de Ia normativa y regulación.
Para apoyar a la organización en sus esfuerzos por lograr sus objetivos, se dispone de
los cinco componentes del control interno:
¡ Entorno de control
. Evaluación de riesgos
¡ Actividades de control
. lnformación y comunicación
¡ Actividades de supervisión
3. A lo largo del Marco,la expresión "la organización y sus subunidades" hace referencia de manera colec-
tiva al conjunto de la organización, divisiones, filiales, unidades operativas y funciones.
- .
$ ffi II tontrol lnterno l,4ar0 lntesrado li4ayo 20ll
thltiis*s, í{it.:l|;*i1*fi i*: } Priiiri$irs
Cada organización debería tener un sistema de control interno específico y distinto al del
resto de organizaciones. Las organizaciones, objetivos y sistemas de control interno di-
fieren en función del sector y el entorno regulatorio asÍ como en función de factores in-
ternos tales como el tamaño, la naluraleza del modelo operativo adoptado por la
dirección, Ia tolerancia al riesgo, la dependencia en tecnología, la capacidad del perso-
nal y los recursos de personal disponible. Por tanto, si bien todas las organizaciones ne-
cesitan de cada uno de estos componentes para mantener un control interno efectivo
sobre sus actividades, el sistema de control interno de una organización siempre será di-
ferente al de cualquier otra organización.
Objetivos
La dirección, bajo supervisión del consejo de administración, establece objetivos a nivel
de organización que se alinean con la misión, visión y estrategias de la organización.
Estos objetivos de alto nivel reflejan las opciones elegidas por la dirección y el consejo
de administración con respecto a la manera en que la organización trata de crea¡ con-
servar y materializar el valor para sus grupos de interés. Estos objetivos pueden cen-
trarse en las necesidades específicas de las operaciones de la organización o bien
alinearse con las leyes, reglas, regulaciones y normas impuestas por los legisladores, or-
Las personas que forman parte del sistema de control interno deben comprender los
planes estrategicos y objetivos generales establecidos por la organizaciÓn. Como parte
del control interno, la dirección especifica objetivos adecuados de manera que puedan
identificarse y evaluarse los riesgos existentes para la consecución de dichos objetivos.
El establecimiento de estos objetivos incluye la articulación de unos objetivos que sean
especÍficos, medibles u observables, alcanzables, relevantes y limitados en el tiempo.
Sin embargo, puede haber casos en los que una organización no documente expresa-
mente un objetivo. Los objetivos especificados a un nivel de detalle adecuado podrán
ser comprendidos con mayor facilidad por aquellas personas que trabajen directamente
para conseguirlos.
Categorías de Objetivos
El Marco agrupa los objetivos de una organización en tres categorías: operativos, de in-
formación y de cumplimiento.
O bj etivo s O pe ra ci o n a I e s
Por tanto, los objetivos operacionales pueden estar relacionados con la mejora del des-
empeño financiero, la productividad (por ejemplo, reducir los desperdicios de materias
primas y la duplicidad de tareas), la calidad, las prácticas medioambientales, la innova-
ción y la satisfacción del cliente y de los empleados. Estos objetivos son aplicables a
todo tipo de organizaciones. Por ejemplo, una organización con ánimo de lucro puede
centrarse en la generación de ingresos, en Ia rentabilidad, en el retorno sobre los activos
y la liquidez. Por el contrario, una organización sin ánimo de lucro, si bien es evidente
que se preocupará por la generación de ingresos y los niveles de gasto, se centrará en
aumentar la participación de sus donantes. Por su parte, una administración pública
puede centrarse en conseguir la misión establecida por el correspondiente órgano de
gobierno o legislador, gestionando de manera eficiente y eficaz los programas específi-
cos del gobierno y su gasto en línea con los objetivos establecidos. Si los objetivos ope-
racionales de una organización no están bien definidos o claramente especificados, sus
recursos podrían ser utilizados de manera deficiente.
.
* IIII control lnterrro- l,larcolnteqrado lllayo2013
übj*iisai, i*¡¡scnei:p5 I ÉIitli¡ili{:s
Protección de Activos
Las leyes, reglas, regulaciones y normas externas han creado la expectativa de que la in-
formación proporcionada por la dirección sobre el control interno debe incluir los contro-
les relativos a la prevención y detección de adquisiciones, usos o ventas no autorizados
de los activos de la organización. De igual manera, algunas organizaciones consideran la
protección de los activos como una categoría aparte de objetivos, y de hecho esta visión
tiene cabida también en la aplicación del Marco.
Objetivos de nformación
I
.
tontrol lnterno - lfarco lnteqrailo lvlayo 2013 ':.
ffi ffi II
Objetivos de información no financiera externa-La dirección puede presentar su infor-
mación no financiera externa de acuerdo con las leyes, reglas, regulaciones. normas
u otros marcos de trabajo. Los requisitos de información no financiera que vienen es-
tablecidos por las regulaciones y las normas relativas a la información de gestión en
materia de eficacia del control interno sobre la información financiera son parte de los
objetivos de información no financiera externa. A los efectos del presente Marco, la
información externa en ausencia de una ley, regla, regulación, norma o marco repre-
senta la comunicación externa.
fuerzos de integración efectuados con respecto a una fusión ,la organización debe espe-
cificar objetivos de información interna (por ejemplo, preparar informes confiables, rele-
vantes y de utilidad), asignar responsabilidades a personas competentes, evaluar los
riesgos relacionados con determinados objetivos, seleccionar y desarrollar los controles
dentro de los cinco componentes necesarios para mitigar dichos riesgos y supervisar los
componentes del control interno que asisten en la consecución del objetivo de informa-
ción no financiera especificado
O bjetivos de Cu m p I i m i ento
Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de definir sus
objetivos de cumplimiento, la organización debe comprender qué leyes, reglas y regula-
ciones son aplicables transversalmente a la organización. Muchas leyes y regulaciones
son, en general bien conocidas, como por ejemplo aquellas que guardan relación con
los recursos humanos, la fiscalidad y el cumplimiento de la legislación medioambiental;
pero otras pueden resultar menos conocidas, como por ejemplo aquellas aplicables a
una organización que quiera llevar a cabo sus operaciones en una jurisdicción o territorio
extranjero remoto.
Las leyes y las regulaciones establecen unas normas mínimas de conducta esperables
de una organización. La organización debe incorporar estas normas a los objetivos esta-
blecidos para la organización. Algunas organizaciones fijarán objetivos a un nivel de
desempeño superior al requerido por las leyes y regulaciones. A la hora de fijar estos ob-
jetivos, la dirección puede ejercer prudencia en relación a la actividad de la organización.
Por ejemplo, una ley en pafticular podría limitar el número de horas que un menor de
edad pueda trabajar fuera del horario escolar hasta un máximo de 18 horas a la semana.
Sin embargo, una cadena de restaurantes podría optar por limitar dicho máximo de
horas para menores de edad a 15 horas a la semana.
(ontrottnterno-tlarcotntesrado. lvlatlo20tl
*ffi §I
ft¡r{ü | É¡¡t*rñ* 4s {+i:tr*i , ili!Li¿{ldr ** liia¡;;*c: - Ai!ivid;iir-q rj¿ {*¡¡ti*l " i*fr¡tir¡;¿¡4* r {*,Eilni{et!óft ",4it!.g¡ii;d4: ds Stt+¿r!¡s;é!'1
(ontrollnterno-l4arcolntesrado .
ffi ffi § I 1,1ay02011
Sb;etivo5, {om$oneilt* y Frincipios
Objetivos y Subobjetivos
La dirección vincula los objetivos definidos a nivel de organización con subobjetivos más
específicos que se trasladan a todos los niveles de la organización. Los subobjetivos
también se establecen como parte o resultado del proceso de definición de la estrategia,
afectando ala organización y sus unidades de negocio y a sus actividades tales como
ventas, producción, ingeniería, marketing, productividad, recursos humanos, innovación
y tecnologías de la información. La dirección alinea estos subobjetivos con los objetivos
definidos a nivel de organización y los coordina a todos los niveles de la organización.
Cuando los objetivos a nivel de organización son coherentes con el desempeño y las
prácticas anteriores, la conexión entre estas actividades suele ser evidente. Cuando los
objetivos se distancian de las prácticas anteriores de la organización, la dirección debe
abordar estas conexiones o aceptar el correspondiente incremento de los riesgos. Por
ejemplo, un objetivo a nivel de organización relacionado con la satisfacción del cliente
dependerá de los objetivos específicos relacionados con la introducción de servicios
que utilicen una infraestructura tecnológica más nueva y menos probada. Puede que
sea necesario cambiar significativamente estos subobjetivos si las prácticas anteriores
utilizaban tecnologías más maduras y probadas.
Las organizaciones pueden establecer múltiples subobjetivos para cada actividad, deri-
vados tanto de los objetivos establecidos a nivel de organización como de las normas
existentes en relación con los objetivos de cumplimiento y de información, segÚn se
considere perlinente de acuerdo con las circunstancias. Por ejemplo, los objetivos ope-
racionales en el área de compras de una organización pueden hacer referencia a:
.
controt tnterno-Marro tntesrado tvtayo20B i§
§§ II
Pl¿r(o I [iltcrn0 de (0nlt0i " Evalua(!dn de niesgos . Actividades de (ontrol . informacidn y (0rpu0itatión . Attividades de Supetvísión
Puede observarse otro ejemplo similar cuando al establecer objetivos adecuados de in-
formación externa relativos a la preparación de los estados financieros externos, la di-
recc¡ón tiene en cuenta las normas contables, las afirmaciones realizadas en los estados
financieros y las características cualitativas que son aplicables ala organización y a sus
unidades de negocio. Por ejemplo, la dirección puede establecer un objetivo de informa-
ción financiera externa a nivel de organización de la siguiente manera: "Nuestra compa-
ñía prepara estados financieros confiables que reflejan las operaciones y aconteci-
mientos de acuerdo con los principios contables generalmente aceptados."
La dirección también especifica subobjetivos adecuados para las divisiones, filiales, uni-
dades operativas y funciones con suficiente claridad para respaldar sus objetivos a nivel
de organización. Por ejemplo, la dirección especifica subobjetivos para las transacciones
de ventas sobre los que se aplican las normas contables pertinentes de acuerdo con las
circunstancias y que abordan las afirmaciones relevantes efectuadas en los estados fi-
nancieros y sus características cualitativas, tales como:
. Las transaciones de ventas se registran con base en los importes correctos en las
cuentas correctas
A continuación se incluye un resumen de cada uno de los cinco componentes del sis-
tema control interno y de los principios relativos a cada componente. Cada principio es
analizado dentro del capítulo sobre el componente correspondiente4.
Entorno de Control
EI entorno de control es el conjunto de normas, procesos y estructuras que constituyen
la base sobre la que llevar a cabo el sistema de control interno de la organización. El
4 A los efectos del Marco, cuando se describen los principios, se utiliza el término "organización" para cap-
turar (colectivamente) el significado del consejo de administración, la dirección y el resto del personal.
Normalmente el consejo de administración actúa en su calidad supervisora de acuerdo con este término.
(ontrol lnterno .
§ !tII - l'4arro lntesrado Ilayo 2013
$i¡i*tivas, {omÍcn*nÉ$ '{ FrillcÉriss
consejo y la alta dirección son quienes establecen el "Tone at the top" con respecto a la
importancia del control interno y las normas de conducta esperables.
1 . .-r-g..s.Lg..sl,.i=g.gign.9.e.T.9-"..:lr:s..9.9!rpr.9n!p..s..egl..le..illg..9ti9.?9..y-.19..:.yel.qr.q:..Élrg.e-=..
2- -El..sgn.:-"i.s.9.9.39.T.it!.9Jr3.9ri-1.-9.eny.s-"-Ir'.?.r99-p.9r-q.g§is.9.9.1?.9rr9..99.i.o..1.y.9i91'.99.13
_s_l.lp_e_ry_i:iet..9.el.9s:p_np..si.-o_ 9.9!..9i9!err.e.9.g.g.e$Lg]..||.l1-".11.9.
3. .le.91ls-g-"-iÉ..r..9:l?.91.99.9:..99-r..1s..:y.p.gryi:i-QL.9.el..g.el.:e-j9r..ls:.9.:lfy.glylg.:,..1e:..1ÍLsg.:..9p-
IgP9*.e-.v.lgp-.Livp-ls:..9.e..ey.19ti-q.?9..y-.f9:p.o-r.:?.qil!.qs9..enr.g.eieg.ep..p.lle..l?..99t9-e..9y.9¡-qt
.99-.!9..:..eF-ip-t!.,..e-"-,
4- -r-e..g.Ls_e.tiregiel..9.g.T.9p..:lt?..9.9Ipt9lIi_"..g.p.eLe..eÍg.gl,..9.g.s..ellgllgl..y.|.919l,.9t.3
pl.919-s-i.o..rs.19-s-.9..9.n.p919-rl.e..q
9-r..?!i.r.9..?9-iÉn...egl..lp..:.ePjpJiy..e9..9.e.l.e..9r.g.?tire.ei9.l:
5. .Le...o.l.s..eniregi-Ql9plim.l.ep..f9-:p-o-rp-?.qil9e-9.e:.-9.e.1e9.p.9r.:9-rs:..?.riy..9!.-q-e-.e..9.t1r9.1
i lle r g. p e re. e s r :e g \1 sre
l
-" 9 s_. g: s PjpJ ys
l l ! t
Evaluación de Riesgos
La evaluación de riesgos implica un proceso dinámico e iterativo para identificar y anali-
zar los riesgos asociados a la consecución de los objetivos de la organización, constitu-
yendo así la base sobre la que determinar cómo se deben gestionar dichos riesgos. La
dirección considera los posibles cambios que se puedan producir en el entorno externo
así como aquellos dentro de su propio modelo de negocio y que puedan impedir su ca-
pacidad para lograr los objetivos.
6. Le..g-l-s-enirsgi-fl 9-"Jil.g.ls-s-.9-p.igllyg:..991.:yjigi9..tLg..qle.l9s.9.p..el?.p.gtr.ilir.lg
i-Qs.l1ili.e+si9.n..y.9y..?l!].?9.t9..t.99.19:..19:.q-o..:..f.e_r.e9_i.9ns_qs.s_,
7. !e..g.l-s..er.i=eglÉli9.s.lll:tis..e.l.q:-.r.*.s-o-:.pef.?.!s.e..9.1p.e9..y9.i9..r.99..-s..y9..9..q¡91!.y9..:.9.r..199.9.:
l$ lryele: 991? grgerir?p-i9r y lg: erelile ggn-o- Pe:e :o-pfe- l? eyil gelerrir?r.
.q9-n.e..: 9..9.s P9..r..9 -e..:I.9.?.1':
8.
e. Le..g.'.-s-e.?.rregi-QL.i9."..rlilig-e..y.gysli.?.!.9p-.9.?lr.p-19..r.9y.9.p.99.íl?t.pj-e..gLer.
p.is.r!I.qeliy..e[]_e_ri9..?l..iiplg.n.e.g9_.9.9t11'.9l..ilIp.ll,..o_,
Actividades de Control
Las actividades de control son las acciones establecidas a través de políticas y procedi-
mientos que contribuyen a garantizar que se lleven a cabo las instrucciones de la direc-
ción para mitigar los riesgos que incidan en Ia consecución de los objetivos. Las
actividades de control se llevan a efecto a los niveles de la organización, en las diferen-
tes etapas de los procesos de negocio y sobre el entorno tecnológico.
10.
11.
lnformación y Comunicación
La información es necesariapara que la organización pueda Ilevar a cabo sus responsa-
bilidades de control interno en aras de conseguir sus objetivos. La comunicación ocurre
tanto interna como externamente y proporciona ala organización la información necesa-
ria para llevar a cabo los controles necesarios en su día a día. La comunicación permite
a las personas comprender sus responsabilidades dentro del sistema de control interno
y su importancia con respecto a la consecución de los objetivos.
13. .-t4..9..r.g_qni:eet_Qt.s-FJ!p-ng.g..s-."..tgre.y-.ylrl!r.e.inlsrns9i9-1..f-e-Lgv..?l:Jg.v-.9.9..93.1i9.?9.P313
.?p..9v9t.-e-1.19!.9!.9Lar!.9119-.9.91..99$lel..ill-eJl.r.,o-:
I ¿. -!3..g.f-s..?ni=egtgL.-c..g.T.ytig.e.l.?.i.!.lgrn?-c-t-o..t.i.t.llglt.?!It9.tl9,..iLgl.Yi9s..:.1.$-.9-9i.e!.v.o..:.v
1."..1.p..91.:eP.i1r9.e9.-"..:.gyg..qg.l .ll999:31.9P-.P-?l?..?P9..y3.19!.ly.l9-i9..13T.i9..11.9.-q.91 -s-L:Lsne
g.g
I g-.
l-tlg-1..i 1,1 -"I 1,..o-,
I s. -Le..9t-s.e.ryf99j9t.P..9.99.T.1.1.ry9..?..99.t..1e-.-.p-e.tl*..illg.I-e..:g939..gl:!-e-f.!9. :.-s-9.qt9.
19.9
g gt tllgl
sepeele? 91?ve -q y9- ?l Iv l ei gn ?n e-lig- 9 el
{eel?l ! ill.en g:
Actividades de Supervisión
Las evaluaciones continuas, las evaluaciones separadas o una combinación de ambas
son utilizadas para determinar si cada uno de los cinco componentes del sistema de
control interno -incluidos los controles para cumplir los principios de cada componente-
están presentes y funcionan adecuadamente. Los hallazgos se evalúan y las deficien-
cias se comunican de forma oporluna, al tiempo que los asuntos más graves se reportan
a la alta dirección y al consejo.
16.
I z _19..9..,.9?.ti=sgi-ql.,.-e..ys.li.e.y-.g.eny.liqe.!e.:.99J!9.19.19.i.?-s-.9.9..g-o-llLql.illgflg.-9.e.ls.lne
9pg_tt!1.t3..?..19p_.p?.t199..f-e..:p9-tp..?P!-e..9.99-.?pl!.93I..T.99.t9.e:..."..e11p-gllvg:, .ll.q!l].vp-l9g.l*
elLe.9!Lg-"..gielt.v..9!..99-tP-ei9:..:9.9v.1..991'.f9..9P-9..119.3:
,' ffi § ¡I
(ontiol lnterno - l,1ar(0 lrltesrado ' l'1av0 20ll
*bjetiua:, {*;irfi il¡flrtr:'¡ Prt*eipiul
. El hecho de contar con un consejo de administración que incluya a miembros con in-
dependencia suficiente de la dirección y que Ileven a cabo su función de supervisión
es parte del control interno. No obstante, muchas decisiones alcanzadas por el con-
sejo no son parte del control interno; por ejemplo, la aprobación de una visión o mi-
sión en particular. El consejo también desempeña una serie de responsabilidades de
gobierno además de sus responsabilidades de supervisión del control interno.
. Muchas decisiones estratégicas que inciden en los objetivos de la organización no
son pafte del control interno. Una organización puede aplicar enfoques de gestión de
riesgos corporativos u otros enfoques de cara al establecimiento de sus objetivos.
. El establecimiento del nivel general de riesgo aceptable y el apetito de riesgos rela-
cionado forma parte de la planificación estratégica y de Ia gestión de riesgos corpo-
rativos, y no forma parte del control interno. De igual manera, el establecimiento de
los niveles de tolerancia al riesgo en relación con los objetivos específicos tampoco
forman parle del control interno.
. El diseño de controles destinados a mitigar riesgos en base al proceso de evaluación
de riesgos de la organización sí forma pañe del control interno; sin embargo, la elec-
ción de una respuesta concreta para abordar, mitigar riesgos específicos no forma
pade del control interno.
Como parle del sistema de control interno, una organización especifica sus objetivos:
5 "Apetl.io de riesgo" se define como la cantidad de riesgo, a nivel general, que una organización está dis
puesta a aceptar en su intento por cumplir su misión/visión.
El Financial Accounting Nuestra compañía prepara La dirección evalúa y con- La dirección identifica y
Standards Board (FASB) estados f inancieros conf ia- firma que los US GAAP evalúa los riesgos relati-
estableció principios con- bles que reflejan las opera- son adecuados a las cir- vos a la preparación de es-
tables generalmente acep- ciones y acontecimientos cunstancias. En caso con- -tados financieros
tados en Estados Unidos de acuerdo con los US trario, la dirección aporta confiables que reflejan las
(us GAAP). GAAP sus comentarios con res- actividades de acuerdo
pecto al proceso de fija- con los US GAAP
Un organismo regulatorio Nuestra compañía reco- ción de objetivos.
establece una norma con- noce los ingresos por ven- La dirección financiera de
table sobre el reconoci- tas en el momento de la La dirección financiera de la unidad operativa identi-
miento de ingresos. instalación de los equipos la unidad operativa evalúa fica y evalúa los riesgos
en el caso de los arrenda- y confirma la idoneidad de relativos al registro de Ios
mientos de capital en mo- las normas contables apli- ingresos relacionados con
dalidad de venta o cables en relación con Ias ventas de equipos de
reconoce los ingresos por todas las ventas de equi- acuerdo con los US GAAP
alquileres durante el pe- pos. En caso contrario, la
riodo del arrendamiento dirección financiera de la
operativo. unidad operativa apofia
sus comentarios con res-
pecto al proceso de fija-
ción de objetivos.
. ll
No aplicable para objetivos Nuestra compañia trata de La dirección de la unidad La dirección de la unidad
o pe racionales mejorar los resultados in- operativa evalúa la idonei- operativa identifica y eva-
crementando la ratio de dad de los objetivos ope- lúa los riesgos existentes
rotación de existencias a racionales en relación con de cara al cumplimiento de
1 2 veces al añ0, al tiempo las metas establecidas de una ratio de rotación de
que es consciente de que rotación de existencias y existencias de I 2 veces al
unos menores niveles de productos no disponibles añ o.
existencias pueden derivar en stock. En caso contra-
en un mayor número de rio, la dirección financiera
productos no disponibles de la unidad operativa
en stock para los clientes. aporta sus comentarios
con respecto al proceso de
fijación de objetivos.
(ontrollnterno-¡1aÍc0lntesraclo .
# §Il lvlayo2013
thieiiv*s, Iur*fcrentes v pristif iss
. La idoneidad de los objetivos establecidos como condición previa para el control in-
terno.
Incidencias que se pueden producir por fallos humanos, tales como el producto de
errores.
o Cada uno de los cinco componentes del control interno y los principios relevantes
estén presentes y en funcionamiento6'
. Operacionales-la organización:
que constitu-
61" Capftüo 4, Consideraciones adicionales, se introducen una serie de puntos de interés
El Marco no requiere que la dirección evalÚe por sepa-
yen"limportantes características de los principios.
iado si estos puntos de inierés se encuentran presentes'
Los principios son conceptos fundamentales asociados con los componentes. Como
tales, el Marco considera que los '1 7 principios son adecuados para todas las organiza-
ciones. El Marco considera que los principios son relevantes porque tienen una influen-
cia significativa en la presencia y el funcionamiento de un componente asociado. Por
consiguiente, si un principio relevante no se encuentra presenie y en funcionamiento, el
componente asociado no puede estar presente y en funcionamiento.
Presente y en funcionamiento
La expresión "presente y en funcionamiento" es aplicable tanto a componentes como a
principios.
Funcionar juntos
El Marco requiere que los cinco componentes funcionen juntos de forma integrada.
''Funcionar juntos" se refiere a la determinación de que los cinco componentes de ma-
nena conjunta reducen, a un nivel aceptable, el riesgo de no alcanzar un objetivo.
(ontrol lnterno - .
I §I I l,4arro lntesrado f4ay0 20tl
íI*tutiNi,::i i 4*\ i iilii*\ ií11**ii
trol interno. Como tal, una deficiencia grave es también por definición una deficiencia del
control interno.
Deficiencias Graves \
rs
Cuando existe una deficiencia grave, la organización no puede concluir que haya cum-
clido los requisitos de un sistema de control interno efectivo. Existe una deficiencia
grave en el sistema de control interno cuando la dirección determina que un compo-
rente y uno o más principios relevantes no están presentes o en funcionamiento, o que
ios componentes no funcionan juntos.
Para determinar si los componentes y los principios relevantes están presentes y en fun-
cionamiento, Ia dirección puede tener en cuenta controles que lleven a cabo los princi-
pios7. Por ejemplo, a la hora de evaluar si el principio Evaluar el riesgo de fraude se
encuentra o no presente y en funcionamiento, la organización puede considerar determi-
nados controles para llevar a cabo otros principios, tales como aquellos que guardan re-
ación con Establece estructuras, autoridad, responsabilidades hace cumplir la
responsabilidad por la rendición de cuentas. Al tener en cuenta controles inicialmente
considerados en el contexto de otros principios, la dirección puede determinar que el
principio Evalúa el riesgo de fraude está presente y en funcionamiento.
.
t0ntr0ltnterrro-l,larcolntegrad0 1,14y02013
ii|ffi It 23
En aquellos casos en los que una organización aplique una ley, regla, regulación o norma
externa, la dirección deberá ulilizar únicamente los criterios relevantes contenidos en di-
chos documentos para clasificar la gravedad de las deficiencias de control interno, en
lugar de basarse en las clasificaciones establecidas en el Marco. El Marco reconoce que
cualquier deficiencia de control interno que dé como resultado un sistema de control in-
terno no efectivo en virtud de tales criterios, también impedirá que la dirección pueda
concluir que la organización ha cumplido los requisitos de un sistema de control interno
efectivo de acuerdo con el Marco (por ejemplo, un incumplimiento importante relacio-
nado con objetivos operacionales o de cumplimiento, o una debilidad material relativa a
objetivos de cumplimiento o de información externa)'
Otras considerac¡ones
Aunque la organización puede confiar en un proveedor de servicios externalizados para
llevar a cabo procesos de negocio, políticas y procedimientos en nombre de la organiza-
ción, la dirección mantendrá la responsabilidad última sobre el cumplimiento de los re-
quisitos correspondientes a un sistema efectivo de control interno.
§ * III
(ontrol lnterno - l,4ar(o lntesrado ' MaYo 20ll
4. Consideraciones adicionales
Criterio profesiona I
Dentro de los límites establecidos por las leyes, reglas, regulaciones y normas, la direc-
ción ejercita su criterio profesional en áreas importantes tales como:
. La aplicación de los componentes del control interno en relación con las categorías
de objetivos.
. La aplicación de los componentes del control interno y los principios dentro de la es-
tructura de la organización.
Puntos de interés
El Marco describe una serie de puntos de interés que son características importantes de
los principios. La dirección puede determinar que algunos de estos puntos de interés no
son adecuados o relevantes y puede identificar y tener en cuenta otros puntos de interés
Con base en las circunstancias específicas de la organización. Estos puntos de interés
pueden ayudar a la dirección a la hora de diseñar, implementar y llevar a cabo el control
interno así como al evaluar si los principios relevantes están de hecho presentes y en
funcionamiento. El Marco no requiere que la dirección evalúe por separado si estos pun-
tos de interés se encuentran presentes.
controllnterno-lvlarcolntesrado' t,tatloi0l3
76 3§ § ll
¡:r;¡: i.it:-i;*¿,¡:l
{.:¡ t'¡t:+-1* I ¿ t-;
Los entornos tecnológicos varían en gran medida en función del tamaño, la complejidad
y el grado de integración. Dichos entornos pueden incluir desde grandes sistemas cen-
tralizados e integrados hasta sistemas descentralizados que operen de manera indepen-
diente dentro de una unidad operativa específica. Entre estos sistemas se pueden incluir
entornos de procesamiento en tiempo real que permitan un acceso inmediato a la infor-
mación, incluidas aplicaciones informáticas móviles que puedan ser aplicables a múlti-
ples sistemas, organizaciones y geografías. La tecnología hace posible que las
organizaciones puedan procesar grandes volúmenes de transacciones, transformar
datos en información para apoyar una sólida toma de decisiones, compartir información
de manera eficiente a todos los niveles de la organización así como con sus socios co-
merciales, garanlizar la confidencialidad de la información y evitar un uso inapropiado de
la misma. De igual manera, la tecnología puede permitir a una organización compartir
sus datos operacionales y de desempeño con interés las partes interesadas.
B. Dado que se trata de un marco basado en principios y dado que la tecnología está constantemente evo-
lucionando, el Marco no aborda tecnologías específicas tales como el cloud computing o las redes socia-
les.
- .
28
§ f §I t tontrol lnterno llarco lntesrado l,layo 2013
{i:l:,ii:*1,:li*¡:*i l*i;i+¡:¡1q:
Las organizaciones de menor tamaño suelen tener una serie de ventajas diferenciadas
que pueden contribuir a conseguir un sistema de control ¡nterno efectivo. Estas ventajas
pueden incluir un mayor alcance del control ejercido por la alta dirección y una mayor
interacción directa con el personal. Por ejemplo, las organizaciones de menor tamaño
puede que encuentren que las reuniones informales con los miembros del personal re-
sultan enormemente eficaces para comunicar información relevante para el desempeño
operacional de la organización, mientras que las compañías de mayor tamaño puede
que requieran de mecanismos más formales tales como la preparación de informes por
escrito, portales en la intranet, reuniones formales periódicas o teleconferencias para co-
municar asuntos similares.
Otros beneficios del sistema de control interno efectivo incluyen los siguientes aspectos:
. Una base para aquellas decisiones en las que sea necesario hacer uso del criterio
profesional en aspectos altamente subjetivos y significativos.
¡ Centrarse en aquellas áreas de riesgo que superen los niveles aceptables y deban ser
gestionados a todos los niveles de la organización puede reducir los esfuerzos desti-
nados a la mitigación de riesgos en áreas de menor impoftancia.
tontrollnterno-Marrolntesrado .
?§§ II Mayo2013
i* i'¡:! ii,.r*i ie ¡re'. Éf ricc¡
i !*:
. Aplicar un lenguaje común -el Marco- que aborde los procesos y controles operacio-
nales, de información y de cumplimiento puede reducir el número de lenguajes utili-
zados para describir el control interno a todos los niveles de organización.
Costes
Generalmente, es más fácil abordar el aspecto de los costes a la hora de realizar una va-
loración coste/beneficio dado que en la mayoría de los casos los costes financieros se
pueden cuantificar de manera más precisa. Por lo general, se suelen considerar todos
los costes directos asociados a la implementación de medidas y respuestas de control
nterno, más los costes indirectos cuando sea viable cuantificarlos. Algunas organizacio-
nes también incluyen los costes de oporlunidad asociados al uso de los recursos.
En líneas generales, la dirección considera una amplia gama de factores de costes en re-
lación con los beneficios previstos a la hora de seleccionar y desarrollar los controles in-
ternos. Estos factores pueden incluir los siguientes:
. Considerar los pros y contras de contratar y retener empleados con un mayor nivel
de capacidades y los mayores costes de retribución que esto lleve aparejados. Por
ejemplo, una empresa privada, estable y de pequeñas dimensiones puede que no
quiera o pueda contratar a un director financiero que tenga experiencia trabajando
para empresas cotizadas.
. Evaluar los esfuerzos necesarios para seleccionar, desarrollar y llevar a cabo activida-
des de control; el posible incremento de esfuerzos que dicha actividad añada al pro-
ceso de negocio; y los esfuerzos para mantener y actualizar la actividad de control
cuando sea necesario.
Evaluar los efectos del aumento de la dependencia en las tecnologías. Si bien el es-
fuerzo requerido para llevar a cabo el control y el impacto que puedan tener los nue-
vos controles basados en tecnologías sobre el proceso de negocio puede que sean
pequeños, el coste relacionado con la selección, desarrollo, mantenimiento y actuali-
zación de la tecnología podría ser significativo.
Comprender cómo los cambios en los requisitos de información pueden exigir una
mayor recopilación, procesamiento y almacenam¡ento de datos, lo cual podría impul-
sar de manera exponencial el volumen de datos necesarios. Con un mayor volumen
de datos a disposición de la organización, ésta afrontará el reto de evitar la sobre-
carga de información asegurándose un flujo de información adecuado, en el formato
(ontrottnterno-ttariolntegrado . tvlayo201l
§ffi tl
adecuado, en base al nivel apropiado de detalle, para las personas adecuadas y el
momento opoftuno. Para establecer un sistema de información que sopese los cos-
tes y los beneficios será necesario realizar una valoración meditada de los requisitos
de información.
Depende por tanto de la dirección cómo evaluar en una organización los costes frente a
los beneficios derivados de planteamientos alternativos a la implementación de un sis-
tema de control, y qué medidas adoptar en último término. No obstante, el coste por sí
solo no es una razÓn aceptable para no implementar el sistema de control interno. Las
valoraciones coste./beneficio respaldan Ia capacidad de la dirección para desarrollar y
mantener un sistema de control interno que sopese la asignación de recursos humanos
en relación con las áreas de mayor riesgo, complejidad u otros factores relevantes para
los objetivos de la organización.
Docu mentación
Las organizaciones desarrollan y mantienen una determinada documentación para su
sistema de control interno por diferentes de razones. Una de ellas consiste en apoftar
claridad a las funciones y responsabilidades, lo cual favorece la coherencia a la hora de
cumplir las prácticas, políticas y procedimientos de la organización en Ia gestión del ne-
gocio. Una documentación eficaz ayuda a capturar el diseño del control interno y a co-
municar aspectos como el quién, qué, cuándo, dónde y por qué de la ejecución del
control interno, y a generar normas y expectativas de desempeño y de conducta. otro
propósito de la documentación consiste en ayudar en Ia formación de personal nuevo y
en ofrecer información actualizada o de referencia para el resto de empleados. La docu-
mentación también apofta pruebas de la ejecución del control interno, permite su ade-
tontrollntuno-l4ar(olntesrado .
; §§ Il l4ay020li
i-l ;:!¡ i¡.:: ¡: :-i ; t:¡*i i¡tli :-i;¡:: :¿i *l
ouada supervisión y respalda la información sobre la eficacia del control interno, espe-
olalmente cuando es evaluada por terceras paftes que interactúan con la organización
lales como los reguladores, auditores o clientes. De igual manera, la documentación
oonstituye un medio para conservar el conocimiento de laorganización y mitigar el
riesgo de que los conocimientos residan únicamente en un limitado número de
empleados.
. En aquellos casos en los que la dirección deba rendir cuentas a reguladores, accio-
nistas u otras terceras partes con respecto al diseño y a la ejecución eficaz de su sis-
tema de control interno, la dirección tendrá un mayor grado de responsabilidad. Por
lo general, esto conlleva un cierto nivel de documentación para garanlizar que cada
uno de los componentes y principios relevantes están presentes y en funcionamiento
y que los componentes funcionan juntos. La naturaleza y el grado de documentación
necesarios podrán estar influidos por los requisitos regulatorios de la organización.
Esto no significa necesariamente que toda la documentación sea o deba ser más for-
mal, pero sí que se disponga de pruebas convincentes que muestren que los compo-
nentes y los principios relevantes están presentes y en funcionamiento, y que los
componentes funcionan juntos y que son apropiados para satisfacer los objetivos de
la organización.
. En casos en los que un auditor externo verifique la eficacia del sistema de control in-
terno, es probable que la dirección deba proporcionar al auditor el apoyo necesario
para llevar a cabo dicha verificación sobre la eficacia del control interno. Este apoyo
incluirá la generación de pruebas que muestren el sistema de control interno ha sido
diseñado adecuadamente y funciona de manera eficaz para proporcionar una seguri-
dad razonable de cara a Ia consecución de los objetivos de la organización. A la hora
de considerar la naturaleza y el grado de documentación necesarios, la dirección de-
berá tomar en cuenta que la documentación para respaldar dicha verificación proba-
blemente sea utilizada por el auditor externo en el marco de su auditoría, lo cual
incluirá valorar la suficiencia de dicha documentación. De igual manera, la dirección
necesitará documentar aquellos casos significativos en los que se utilice el criterio
profesional, cómo se han valorado dichas decisiones y cómo se alcanzaron las deci-
siones finales.
Puede que siga habiendo casos en los que los controles sean informales o estén implíci-
tos en las decisiones y medidas adoptadas por la dirección. Esto puede ser adecuado
cuando la dirección sea capaz de obtener pruebas a través del desarrollo ordinario de
as actividades del negocio que indiquen que el personal ha llevado a cabo de manera
ordinaria dichos controles. Sin embargo, es importante tener en cuenta que los contro-
les, tales como aquellos que se encuentran incorporados a las actividades de supervi-
sión o a las evaluaciones de riesqos, no pueden ser eiecutados en su totalidad sin que la
alta dirección tenga acceso a algún tipo de documentación sobre los análisis y procesos
de reflexión llevados a cabo por la dirección.
La documentación del sistema de control interno deberá satisfacer las necesidades del
negocio y ser proporcional a las circunstancias. El grado de documentación que res-
palde la presencia y el funcionamiento de cada uno de los componentes y los principios
relevantes del control interno, así como que los componentes funcionan juntos es una
cuestión de criterio profesional, y deberá llevarse a cabo teniendo en cuenta una ade-
cuada valoración de los costes que conlleve. De igual manera, la organización podrá be-
neficiarse de algún tipo de documentación formal que permita a la dirección reflexionar
sobre la lógica de los criterios profesionales aplicados y su alineación con los objetivos
de Ia organización.
- .
1i §§ II control lnt€rno l,1arro lntesrado ¡4ay0 2013
5. Entorno de Control
9 E Marco usa el término "consejo de adrninistración" para referjrse al máximo órgano de gobierno, inclui-
dm los consejeros, los socios generales, los propietarios o el consejo de supervisión o vigilancia.
. zorl
tontrollnterno - Ilarcolntesrado Navo
§ Itt I
se producen desastres
dad por mantener procesos de producción sostenibles, o cuando
expresan a través de
naturales en su comunidad local. Las expectativas resultantes se
diversos grados de formalidad mediante:
. Las declaraciones expresadas en la misión y en los valores de
la organización'
controttntemo-uar(olntesrado' lfat,o2013
)ó ... I §Il
TI
i+n*¡*+¡:it-! ¡Éi a!n!;;:a i¡¡i.¡rii¡: :
medios" en el caso de las grandes organizaciones. El hecho de que esta actitud se lleve
a cabo de manera sistemática contribuye aunir a la organización en sus esfuerzos por
conseguir los objetivos de la organización. Sin embargo, poner en práctica esta actitud
de manera sistemática no está exento de dificultades. Por ejemplo, las motivaciones, los
grados de evaluación de los proveedores y los niveles de atención al cliente puede que
,,¿aríen en gran medida de un mercado a otro, y la manera en que la dirección responda
ante dichas presiones puede marcar la pauta de manera diferente en los distintos niveles
ce la organización. De igual manera, los mensajes lanzados desde la dirección con res-
cecto a lo que es o no es aceptable pueden variar a la hora de abordar problemas espe-
:ificos en los diferentes niveles de la organización; sin embargo, cuanto más coherentes
sean con la pauta marcada en las altas esferas de la organización, más homogénea será
a forma de llevar a cabo las responsabilidades de control interno de cara a la consecu-
:,ón de los objetivos de la organización.
= "Tone at the iop" es fundamental para el funcionamiento del sistema de control in-
::rno. Sin dicho "Tone at the top" que refuerce una sólida cultura de control inierno, se
:.rede terminar reduciendo la conciencia hacia el riesgo, adoptándose respuestas in-
:Cecuadas, definiendo actividades de control de manera deficiente o con escasa acep-
:ación por parte de los empleados, al tiempo que la comunicación y la información
;;ede resultar inadecuada, haciendo caso omiso al feedback obtenido de las activida-
:es supervisión. Por tanto, "marcar la pauta" puede servir como detonante o como obs-
:aculo del control interno.
. Proporcionando orientación para permitir a los profesionales leer entre líneas y tener
en cuenta los riesgos asociados.
Las expectativas éticas, normas y costumbres pueden variar de un país a otro. La direc-
ción y el consejo de administración o el órgano de supervisión equivalente establecen
las normas y mecanismos que la organización debe comprender y cumplir, y definen los
procesos y recursos para interpretar y abordar el potencial de desviación existente.
Estas expectativas se traducen en una declaración de creencias, valores y normas de
conducta para la organización.
La dirección tiene la responsabilidad última sobre las actividades que delega mediante
acuerdos contractuales o legales con proveedores de servicios externalizados. Entre las
variables que pueden afectar al alcance de las comunicaciones, de la supervisión y de
otras actividades necesarias para garanlizar que los proveedores servicios externos y
socios comerciales cumplen las normas de conducta de la organización se incluyen:
40 contrlInterno-tvtar(otntesraclo .
$§ §II tvtayo2013
l+*i:*ltrllr: d¡i il¡::liti iili*illri i,.:'l
. El
,Tone at the top" no transmite adecuadamente las expectativas que se tiene en lo
relativo al cumplimiento de las normas.
. Existe una elevada descentralización sin una adecuada supervisión, lo cual conlleva
que la alta dirección no sea consciente de las medidas adoptadas en los niveles in-
feriores de la organización.
, Los superiores, compañeros de trabajo o paftes externas ejercen presión para dejar
de lado el cumplimiento estricto de las normas o para desarrollar comportamientos
iraudulentos o ilícitos.
. Los objetivos de desempeño fomentan incentivos o presiones para dejar de lado los
comportamientos éticos.
. No existen canales adecuados para que los empleados puedan comunicar sus
pre-
ocupaciones y cuestiones con total seguridad.
Por ejemplo, las normas de conducta pueden prohibir las prácticas que podrían ser in-
terpretadas como prácticas de connivencia para fijar precios pero la organización debe
establecer mecanismos para llevar a cabo las normas tales como formación y comunica-
ción de sensibilización, análisis de la actividad de fijación de precios de mercado para
identificar potenciales problemas y demás medidas para evitar detectar desviaciones
con respecto a las normas de conducta de la organización. La organización comunica
los niveles de tolerancia establecidos con respecto a posibles desviaciones. En función
de la importancia del impacto en Ia organización, el nivel de medidas correctivas puede
variar pero se aplican de manera coherente a todos los niveles de la organización. Las
evaluaciones sobre el cumplimiento de las normas de conducta por parle de profesiona-
les individuales y equipos forman parle de un proceso sistemático de comunicación y re-
solución de incidencias. Este proceso exige que la dirección:
Defina una serie de indicadores (por ejemplo, porcentaje de empleados que com-
pletan Ia formación, resultados de las actividades de supervisión, incumplimientos
de la confidencialidad, connivencia con otros pafticipantes del mercado, casos de
acoso), para identificar problemas y tendencias relativas a las normas de conducta
de la organización, incluidos los proveedores de servicios externalizados. Tales indi-
cadores se revisan periódicamente y se redefinen en caso necesario para contribuir
a identificar problemas potenciales con antelación o antes de que se repitan.
- .
42
ffi ffi § II tontrol lnt€Íno l,1arro Intesrado lr4ayo 20ll
{oms0ne$tes del tüntr0l lBterr¡o i htorflo de (0nlr0l
I as evaluaciones pueden ser desarrolladas por un proceso de gestión continua ylo atra-
vÉs de un tercero independiente. Los profesionales de la organización también pueden
emluar y comunicar las irregularidades que observen a través de canales de comunica-
ción formales e informales tales como un canal de denuncias, procesos de feedback as-
oendente y reuniones habituales con los empleados,
(ontrollnterno . ZOi:
- t4arcolntesrado uav,
I||tt 43
ffi
*§
ñri;'rcrpi* Í; El consejo de administración demuestra
ffi independencia de la dirección y ejerce la supervisión del
§*
&
§t;
ffi desempeño del sistema de control interno.
§
§
- .
ffi §§ II tontrol Interno f4ar(0lntesrado lvlatlo 2013
{0mpú¡¡efites del {0fttrsl ifitsrnü I §riamo de i*ntvt¡i
- Otros comités del consejo dedicados a abordar asuntos especÍficos que sean críti-
oos para la consecución de los objetivos de la organización (por ejemplo, comités
de riesgos para las instituciones de servicios financieros o comités de cumplimiento
pra las organizaciones farmacéuticas).
.
(onrrot lnterno - tlarco tniesrado Mayo zot3 $
§§ It
w Heri* I irr*$i) ,, i'::t:l " l:.fly.tii*.f:l¡t:§:: ' t!l1yif"a1?ltt
ltTiiti " ilf iH1iH 1.!lTiTi*1,fl".4:lii"{t§:tf:.Ltr:yi:,f I
..- -,..... . "'i -r . -'' .,- ..-.. . ¡l-. ",). .': .-'-., ! r'¡,¡1.
-. i
El consejo de administración es independiente de la dirección y debe demostrar las co-
rrespondientes habilidades y conocimientos especializados para el desempeño de sus
responsabilidades de supervisión. La independencia se demuestra a través de la objeti-
vidad de pensamiento, actuación, apariencia y ejecución por parte de los miembros del
consejo. Por Io general, una organización cotizada deberá contar con una mayoría de
consejeros independientes, que no tendrán ninguna relación actual ni reciente de tipo
personal o profesional con la organización (en algunas jurisdicciones, esto también es un
requisito para todos los miembros de los comités del consejo tales como los comités de
auditoría). El factor de independencia y conocimientos especializados relevantes tam-
bién tiene en cuenta los distintos cargos en el consejo ocupados por cada uno de los
miembros del consejo con el fin de limitar cualquier tipo de sesgo o conflicto de intere-
ses que pueda derivarse de aquellos miembros del consejo que ocupen un cargo similar
en consejos de administración de otras compañías.
Dado que el consejo debe participar activamente en todo momento y debe estar prepa-
rado para cuestionar y analizar las actividades llevadas a cabo por la dirección, presen-
tar puntos de vista alternativos y tener Ia valentía de actuar en caso de que existan
sospechas o evidencias de conductas irregulares, es necesario que el consejo Incluya
consejeros independientes. Sin duda alguna, los directivos y empleados aportan unos
sólidos conocimientos de la organización pero los consejeros independientes con los
conocimientos especializados adecuados aportan valor a través de su imparcialidad,
sano escepticismo y evaluaciones objetivas.
- .
46
ffi §§ II tontrol lnterno iqarro lnteqraclo [4ayo 2013
{rmponenl*s del {ontre! ¡flterilfl I Entomo dc (§nh0l
Sionales como éstas, en las que una organización no dispone de un consejo inde-
prCente, es necesario reconocer este hecho y poner en práctica determinados proce-
Gy controles diferentes que den como resultado una supervisión adecuada.
launposición del consejo se establece en función de la misión, valores y diversos ob-
ifu66 de la organización así como de las capacidades y conocimientos especializados
Eesarios para supervisar, cuestionar y evaluar al equipo de la alta dirección de la forma
É apropiada. El tamaño del consejo se determina teniendo en cuenta el número ade-
3¡do de miembros que permitirá llevar a cabo análisis críticos y constructivos, entablar
urversaciones productivas y adoptar decisiones. Las capacidades que se esperan de
[5, miembros del consejo incluirán sin duda integridad y principios éticos, liderazgo, ca-
frdad de análisis crítico y de resolución de problemas. De igual manera, se espera que
dgorrsejo incluya un espectro de habilidades y conocimientos especializados y comu-
¡-s a todos ellos que les permita entablar conversaciones y deliberaciones, tales como:
. Mentalidad del control interno (por ejemplo, escepticismo profesional, perspectivas
sobre los enfoques para identificar y responder ante los riesgos, evaluaciÓn de la
eficacia del sistema de control interno).
. UrvrZOfl
tontrol lnterno-Mar(olntegrado
§ llll 47
I r,,t¿'ru rr* {*::ltl '
Iy.llyfliT.!:.li1:.99"1 ' {{iitilll?1g!.ilTiiti '
r'larco
lr.tT:tiH !1T[111f:iy" {:ly]Ít*:3:.lyliT,:i?1
Componentes del control interno Actividades de supervisión por parte del consejo de administración
Evaluación de riesgos Tener en cuenta factores internos y externos que representan riesgos sig-
nificativos de cara a la consecución de los objetivos; identificar problemas
y tendencias (por ejemplo, implicaciones de sostenibilidad de las activida-
des empresariales de la organización).
del control interno Actividades de supervisión por parte del consejo de administración
FF*r,-r
Snnción y comunicación Comunicar instrucciones y el "Tone at the top".
. urvrzor
tontrollnterno-Mar(olntesrado
ffi ll !l
ffi*Lmhi*** *strLJütL¡rñ§, *,*t*ri**d y
| É'5 l]fi i^r i.,f: l] I r-i': C c: ;
: I
üL*ni*r ** ;n'r'*rcr
Los siguientes puntos de interés ponen de manifiesto una serie de impoftantes caracte-
rísticas relativas a este principio:
.
50
ffi §§ lt controllnterrro-l4arcolnteqrado l,layo2013
La alta dirección y el consejo de administración establecen la estructura de la organiza-
ción y las líneas de comunicación de información necesarias para planificar, ejecutar,
controlar y evaluar periódicamente las actividades de la organización; en otras palabras,
para llevar a cabo sus responsabilidades de supervisión. Para ello, se soportan en los
procesos y tecnologías requeridos para proporcionar una clara responsabilidad por ren-
dir cuentas y flujos de información dentro de la organización y sus unidades de negocio.
. El modelo operativo adoptado por la dirección puede seguir las líneas de productos
o servicios para facilitar el desarrollo de los productos y servicios, optimizar activi-
dades de marketing , racionalizar la producción y mejorar Ia atención al cliente u
otros aspectos operativos.
. Las estructuras jurídicas a menudo se diseñan para gestionar los riesgos del nego-
cio, crear estructuras fiscales favorables y conferir una mayor capacidad de actua-
ción a los directivos que operen en actividades en el extranjero.
. De igual manera, las organizaciones formalizan una amplia gama de relaciones con
los proveedores de servicios externalizados para apoyar la consecución de sus ob-
jetivos, lo cual crea estructuras y líneas de comunicación de información adicional.
Cada una de estas visiones puede proporcionar una evaluación diferente del sistema de
control interno. Si bien la agregación de los riesgos en una única dimensión puede que
no genere ningún problema, la perspectiva sobre el negocio que se consiga a través de
una dimensión diferente puede mostrar un determinado riesgo de concentración en
torno a un tipo de clientes determinados, un exceso de dependencia de un único pro-
veedor u otras vulnerabilidades. La propiedad y responsabilidad por rendir cuentas en
cada nivel de agregación permitirá además este tipo de análisis y revisión en base a mÚl-
tiples dimensiones.
Las estructuras de las organizaciones evolucionan a medida que la naturaleza del nego-
cio evoluciona. Por lo tanto, la dirección revisa y evalúa las estructuras para comprobar
su relevancia, eficacia y eficiencia como apoyo al sistema de control interno. Véase
como ejemplo el caso de un banco que comunique los resultados de su desempeño y la
eficacia del control interno en base a sus entidades legales, unidades de negocios o
geografías. Si este banco no revisa con frecuencia su información para verificar que re-
fleja adecuadamente su modelo de negocio actual, puede que fracase a la hora de reco-
nocer la aparición de determinados riesgos, la ausencia de controles apropiados y la
deficiente generación de información.
Para cada tipo de estructura que dispong a la organización (por ejemplo, estructura de
mercados geográficos, estructura de segmentos de negocio, estructura de organización
legal), la dirección diseña y evalúa las líneas de comunicación de información pertinentes
. 2013
iontrol lnterno - 1,44rc0 lnteskdo llaYo
* ffi tI
.L,::,:1a.::',::.': , ::::i\.1:'.a.?::.at:.1t:.:.::.:.::.ta:
.i:.:1,::t'i,,:{.^,i,
de manera que se lleven a cabo las responsabilidades y los flujos de información según
se requiera. De igual manera, verifica que no existen conflictos de intereses inherentes
en la ejecución de responsabilidades a todos los niveles de la organización y en sus pro-
veedores de servicios externalizados. Las variables que se deben tener en cuenta a la
hora de establecer y evaluar las estructuras de la organización pueden incluir las siguien-
tes:
' Definición de las líneas de comunicación de información (por ejemplo, líneas direc-
tas/continuas vs. líneas secundarias/discontinuas) y canales de comunicación.
' La dirección y el resto del personal se sitúan al frente, constituyendo así la primera
línea de defensa en las actividades del día a día. Serán responsables de mantener
un control interno efectivo en el día a día; serán retribuidos en base a los resultados
conseguidos en relación con todos los objetivos aplicables.
crrtrr .
l.
ffi II nterno - r,larco lntesrado tlayo 2013
t'j-1nl'l.ti 'fl,:,i+: { t'":, ;il '.r'a i
La asignación de autoridad apofta capacidad a las personas para actuar según sea ne-
cesario en un puesto determinado, pero también es necesario definir las limitaciones de
dicha autoridad, de manera que:
¡ Esta delegación solamente ocurra en la medida necesaria para lograr los objetivos
de la organización (por ejemplo, revisión y aprobación de nuevos productos que im-
plique a las funciones de negocio y de soporte necesarias, separadas del equipo
de ventas).
. Los proveedores de servicios externos a los que se les encomienda que lleven a
cabo actividades en nombre de la organización comprenden el alcance de sus dere-
chos en Ia toma de decisiones.
(omnonentes dei {onkol ,nte¡no I Entorno de {ontr0l
Puntos de interés
!-e siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
Ésticas relativas a este principio:
Políticas y práct¡cas
[.e políticas y prácticas son orientaciones y comportamientos a nivel de organización
q"c reflejan las expectativas y requisitos de los inversores, reguladores y demás grupos
& interés. Constituyen la base sobre Ia que definir las competencias necesarias dentro
& la organización y proporcionar los fundamentos sobre los que desarrollar procedi-
füiefitos más detallados para ejecutar y evaluar el desempeño así como para determinar
rredidas correctivas en caso de ser necesario. Dichas políticas y prácticas aportan:
Bases sobre las que evaluar las deficiencias identificadas y definir medidas correcti-
vas en caso necesario (por ejemplo, corregir un proceso o reforzar habilidades de la
dirección o de otros miembros del personal).
Soportes para reaccionar de manera dinámica ante los cambios (por ejemplo, vin-
culación con procedimientos operativos aplicables para reflejar nuevos requisitos
regulatorios, nuevos riesgos identificados, decisiones internas para modificar los
procesos de negocio).
' , ,.
-t :, , ¡'. ''-,, " lj. '1
. :r' i.' ti. ,: i
La naturaleza y el grado de criterio profesional que debe aplicarse así como las limi-
taciones que deben establecerse en la autoridad asignada a un puesto en particular.
contrr lnterno - .
ffi §§ II l4arco lntesÍado l4ayo 20ll
í'J!:ti*iisriiÉ: *s! ii:i:¡r*i iniri:1,; i
' Atraer ldentificar candidatos que demuestren que encajan con la cultura de la or-
-
ganización, con su modo de actuación, con las necesidades de la organización y
que tengan las competencias requeridas para los puestós propuestos.
. pertinentes a
Formar
- Permitir que los profesionales desarrollen las competencias
las funciones y responsabilidades que les han sldo asignadas, reforzar las normas
de conducta y los niveles esperados de capacidad de cara al desarrollo de determi-
nadas funciones asignadas, adaptar la formación en función de los puestos y las
necesidades, y tener en cuenta un adecuado mix de técnicas de prestación de la
formación, que incluirán formación presencial, autoestudio y formación en el puesto
de trabajo.
. Retener y
Proporciona incentivos para motivar reforzar los niveles esperados de
-
desempeño y de conducta, incluida su formación y la consecución de credenciales
en caso oportuno.
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
dsticas relativas a este principio:
. urvozor
tontrol lnterno-Marcolntesrado
! lIl ! 59
Itesp*nsahilidad por la rendicién de cuenras en el ámbito det
c*ntr*i int*rr:c
El consejo de administración insta al CEO a que asuma la responsabilidad última de
comprender los riesgos a los que se enfrenta la organización y de establecer los siste-
mas de control interno necesarios para respaldar la consecución de los objetivos de la
organización. El CEO y la alta dirección, a su vez, son responsables de diseñar, imple-
mentar, ejecutar y evaluar periódicamente las estructuras, facultades y responsabilida-
des necesarias para establecer una adecuada responsabilidad por la rendición de
cuentas de cara al control interno a todos los niveles de la organización.
- .
60
§§§ It control lnterno !1arc0 lntesrado lvlayo 2013
(omponentes dcl [sntl(}¡ iirt*ifiÉ ! lni*¡*,r dr i*rtr¡i
control interno (por ejemplo, una organización que haya tenido éxito a la hora de
asumir determinados riesgos significativos puede tener una perspectiva diferente
sobre el control interno que otra organización que haya tenido que hacer frente a di-
ficultades económicas o regulatorias como resultado de la asunción de áreas de
elevado riesgo).
La responsabilidad por la rendición de cuentas viene motivada por el "Tone at the top" y
se ve respaldada por el compromiso hacia la integridad y los valores éticos, las compe-
üencias, estructuras, procesos y tecnologías, que colectivamente influyen en la cultura
de control de Ia organización. Se adoptan medidas correctivas cuando es necesario para
restablecer la responsabilidad por la rendición de cuentas de cara al control interno.
I : ra i-n Éi i ü: i"i e ffi Éd i { i r; ¡'r r'i * i':J *s*, n s* n ü" i n cent v,: s. I
.:^-'TrnA¡f (':rC
_ r !L/\-.! i;ru-l
-vi
B desempeño se ven influenciado en gran medida por el grado en el que los profesiona-
les asumen sus responsabilidades y cómo se ven recompensados al respecto.
. 208 §
[ontrot tnterno - tvtarco tnteqraclo ¡4ayo
§§ II
:rir:'::'!:.fir:fi1"r.f:§:9t3ri"111i:iy.f11:l.t!11.{"':1-::l3lTiitylJ
i:ty.Yrtl".t:]jl*:lf:.ql:1it3,:111
vos de producción de su unidad operativa y con las expectativas de cumplir con las nor-
mas de calidad y de seguridad de los productos, con las leyes de seguridad en el tra-
bajo, con los programas de fidelización de clientes y mediante una precisa comunicación
de revisión de productos defectuosos.
Objetivos claros Tener en cuenta todos los niveles del personal a Ia hora de
respaldar los objetivos de la organización.
Los incentivos aportan motivación a la dirección y al resto del personal para que su de-
sempeño sea el adecuado. Es habitual el uso de los aumentos de sueldo o la consecu-
ción de bonus o primas, pero también pueden utilizarse otros incentivos como la
asignación de mayores responsabilidades, mayor visibilidad, reconocimiento y otras for-
.
62
ffi ffi § I I controt tnterno - t'tarco lntesrado l4ayo 2013
i*i':¡É*l]ei:i*-s dei i*fitrÉi !:;ier4* |
Con independencia de la forma en que se lleven a cabo, los incentivos motivan los com-
codamientos. Una organización que limite su atención únicamente a incrementar los be-
tales como la
"eficios es más probable que experimente compodamientos no deseados,
^tanipulación de los estados financieros o los registros contables, prácticas comerciales
casadas en la alta presión ejercida, negociaciones dirigidas a incrementar las ventas o
ceneficios trimestrales a cualquier precio o mediante ofedas implícitas de sobornos.
-os parámetros de desempeño se revisan periódicamente para garanlizar que son siem-
rre relevantes y adecuados con relación a los incentivos y recompensas. En caso nece-
sario, los factores internos o externos se vuelven a alinear con los objetivos y demás
:xpectativas de la dirección, del personal y de los proveedores externos.
Estas presiones, que también se ven afectadas por el entorno interno y externo, pueden
rtotivar positivamente a profesionales específicos para que satisfagan sus expectativas
ie conducta y desempeño, tanto a codo plazo como a largo. Sin embargo, si se ejercen
cresiones indebidas, esto puede provocar que los empleados tengan miedo a las conse-
cuencias de no lograr los objetivos y procesos relacionados o para participar en activi-
Cades fraudulentas y de corrupción.
Por ejemplo, la presión para generar unos niveles de ventas que no sean proporcionales
a las oportunidades de mercado pueden derivar en que los responsables comerciales se
vean obligados a falsificar los números o participar en casos de soborno y otros actos ilí-
citos. Las presiones para demostrar la rentabilidad de las inversiones realizadas pueden
hacer que los traders asuman riesgos ajenos a Ia estrategia para cubrir las pérdidas in-
curridas. De igual modo, las presiones paralanzar un producto al mercado a gran veloci-
dad y generar ingresos con rapidez puede hacer que el personal opte por tomar "atajos"
en materia de desarrollo de productos o comprobación de las medidas de seguridad, lo
cual puede resultar perjudicial para los consumidores o derivar en una deficiente acepta-
ción por parte del público y una reputación menor.
Para alinear los objetivos de los profesionales y los de la unidad de negocio con res-
pecto a los de la organización,la organización debe tener en cuenta cómo se asumen
los riesgos y cómo se gestionan en base a la retribución y demás recompensas. Por
ejemplo, a medida que los traders asumen riesgos en nombre de sus clientes y organiza-
ciones, dichos profesionales deben ser conscientes de que su retribución, progresión y
posicionamiento puede ser impulsada, reducida o perdida en función de los resultados
obtenidos. Las estructuras de incentivos que no sirven para tener en cuenta de forma
adecuada los riesgos asociados al modelo de negocio pueden ocasionar comporlamien-
tos inapropiados.
64
* §ffi § I cortrrLnterno-l,1arcolntesÍado, l,layo20ll
i:i*;t ar,:i
l:::-::i:i::i:ra:'
l!
ic::l[.i illllllii ll :li -:r
tompanentes del {nntrs! lnterfi0 I [iilüf:re de :::*:;:]:i::i
1:l:::l i::'::::'ll:irl