.

Contr0l lnterno - Marco lntegndo Mayo 2013

¡IITT
 [,]*rcc I §litsrüc iir i+EtiÉi . H]ü!iiñ{ií].i .ie qi"*1*ai - &{ii'.Jid*d$ rls {+riirs! . ¡ilfdrffiiri*n E {*muni¡*ei¿¡n " Á.i¡?¡*iri*i ds s*F*r!¡!;dii

is:tr"r:*Liüe !#n
Todas las organizaciones, con inde-
pendencia de su tamaño, estructura,
naluraleza o sector en el que operen,
se enfrentan a riesgos a todos los ni-
veles. El riesgo se define en el Marco
como la posibilidad de que un evento
ocurra y afecte negativamente a la
consecución de los objetivos.

El uso del término "negativamente" en

esta definición no ignora el hecho de
que puedan producirse variaciones
positivas en relación con un evento o
una serie de eventos. Las grandes va-
riaciones positivas también pueden generar impactos adversos en determinados objeti-
vos. Por ejemplo, téngase en cuenta el caso de una compañía que prevea vender 1.000
unidades de un producto y fije un calendario de producción determinado para lograr
esta demanda prevista. La dirección t¡ene en cuenta la posibilidad de que los pedidos
reales puedan superar esta previsión. Si se produce un volumen real de pedidos de
1.500 unidades, puede que esto no afecte a los objetivos de ventas pero podría afectar
negativamente a los costes de producción (mediante las horas extras que serían necesa-
rias para satisfacer este incremento de la demanda) o los objetivos de satisfacción del
cliente (mediante el aumento de los productos no disponibles en stock y los tiempos de
espera). En consecuencia, la venta de un mayor número de unidades de lo previsto
puede afectar negativamente a una serie de objetivos distintos a los objetivos de ventas.

Como parte del proceso de identificación y evaluación de riesgos, una organización tam-
bién podrá identificar oportunidades, como pueda ser la posibilidad de que un evento se
produzca y afecte positivamente a la consecución de los objetivos. Estas oportunidades
son importantes para determinar y comunicar los procesos de fijación de objetivos. Por
ejemplo, en el caso anterior, la dirección canalizaría las opoftunidades de nuevas ventas
en los procesos de fijación de objetivos. Sin embargo, identificar y evaluar oportunida-
des potenciales, tales como nuevas opoftunidades de ventas, no es parle del control in-
terno.

El riesgo afecta a la capacidad de una organización para tener éxito, competir dentro de
su sector, mantener su solidez financiera y una reputación positiva, y mantener la calidad
general de sus productos, servicios y profesionales. En la práctica, resulta imposible re-
ducir el riesgo a un nivel de cero. De hecho, la mera decisión de participar en un negocio
ya conlleva un riesgo. La dirección debe determinar cuánto riesgo debe aceptar, esfor-
zarse por mantener el riesgo dentro de ese nivel y comprender cuánta tolerancia al
riesgo tiene para superar sus niveles objetivo de riesgos.

El riesgo a menudo se incrementa cuando los objetivos difieren del desempeño histórico
y cuando Ia dirección implementa cambios. De igual manera, una organización no suele
fijar objetivos explícitos cuando considera que su desempeño es aceptable. Por ejemplo,
puede que una organización considere que su servicio al cliente ha sido históricamente

- .
6B
ffi ffi § ¡I controt tnterno l4arco lntesrado lulatlo 2013
 iorqpoflent+s del {nriir$i ¡[ffiils i [va¡il¡(ión de Riesg0s

aceptable y por tanto no necesite hacer cambios para mantener los niveles actuales de
servicio. Sin embargo, como parte del proceso de evaluación de riesgos, la organización
deberá disponer de un entendimiento común de los objetivos a nivel de organización re-
levantes para las operaciones, parala información y para el cumplimiento, y cómo estos
objetivos se despliegan a todos los niveles de la organización.

Toieranciñ al riessü
La tolerancia al riesgo es el nivel aceptable de variación del desempeño en relación con
h consecución de los objetivos. El hecho de operar dentro de un rango de tolerancia al
riresgo proporciona a la dirección una mayor confianza de que la organización logrará sus
objetivos. La tolerancia al riesgo se puede expresar de muy diversas maneras adaptán-
dose a cada categoría de objetivos. Por ejemplo, a la hora de considerar la información
financiera, la tolerancia al riesgo suele expresarse en términos de materialidadl0, mien-
fas que en áreas como el cumplimiento y las operaciones, la tolerancia al riesgo a me-
nudo se expresa en términos de nivel aceptable de variación del desempeño.

Normalmente, la tolerancia al riesgo se determina como parle del proceso de fijación de

obletivos y, al igual que sucede con la fijación de objetivos, la fijación de niveles de tole-
rancia es una condición previa para determinar las respuestas a los riesgos y las activi-
dades de control relacionadas. La dirección puede ejercer una discreción significativa a
h hora de fijar la tolerancia al riesgo y de gestionar los riesgos cuando no existan requi-
sitos externos. Sin embargo, cuando sí que existen requisitos externos, tales como obli-
gaciones relacionadas con los objetivos de cumplimiento y de información externa, la
dirección tendrá en cuenta la tolerancia al riesgo en el contexto de las leyes, reglas, re-
gulaciones y normas externas establecidas.

tle igual manera, la alta dirección tendrá en cuenta la importancia relativa de los distintos
obietivos y prioridades (algunos de los cuales podrían ser incluso contradictorios o ex-
ctryentes) a la hora de tratar de lograr dichos objetivos. Por ejemplo, puede que el COO
Sirector de operaciones) considere que los objetivos operacionales requieren un mayor
rúvel de precisión que las consideraciones de materialidad de los objetivos de informa-
ciín, y al contrario le sucederá al CFO (director financiero). No obstante, resultaría pro-
Hemático que las organizaciones que cotizan en el mercado de valores realizaran un
qcesivo énfasis en los objetivos operacionales hasta tal punto que afectarán negativa-
¡nente a la confiabilidad de la información financiera. Estos aspectos deberán ser teni-
dos en cuenta en el marco del proceso de planificación estratégica y de fijación de
ot{etivos, y las tolerancias deberán ser fijadas en consecuencia. Este tipo de decisiones
Bnbién podrá afectar a nivel de recursos asignados para la consecución de los respec-
livos objetivos.

Los parámetros de desempeño se utilizan para ayudar a una organización a operar den-
tro de una tolerancia de riesgo establecida. La mejor manera de medir la tolerancia al

1C. Los reguladores y otros organismos emisores de estándares definen el término "materialidad". La direc-
ción desarrolla un entendimiento de esa materialidad según se define este concepto en leyes, reglas y
rlormas a la hora de aplicar el Marco en el contexto de dichas leyes, reglas y normas.

. urvrzofl §§
tontrollnterno-l,lar(olntegmdo
§I I 6q
lsHa¡,n
riesgo a menudo es la misma unidad que los objetivos relacionados. Por ejemplo, una
organización:

Puede proponerse como objetivo conseguir entregar sus productos a tiempo en un

98% de casos, siendo un rango de entre el 97% y el 1OO% un rango de variación
aceptable.

Puede fijarse como objetivo que el 90% de aquellos profesionales que asistan a
cursos de formación aprueben los exámenes correspondientes, si bien puede acep-
tar que tan sólo un 75Yo Io haga.

Puede prever que los miembros de su personal respondan a todas las reclamacio-
nes de los clientes en un plazo de 24 horas, pero puede aceptar que hasta un 1O%o
de las reclamaciones puedan recibir una respuesta en un plazo de 36 horas.

.
70
§ IIII tontrol lnterno - Mar(o lntesrado l,4ay0 2013
 [omponcnies dei (ontrol lntcrnc , [valuacidn de Riesgos

Especifica objetivos adecuados

Principio 6: La organización define los objetivos con
suficiente claridad para permitir Ia identificación y
evaluación de los riesgos relacionados.

Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de impodantes caracte-
rísticas relativas a los objetivos operacionales, de información y de cumplimiento:

O bj et ivos O pe raci o na I es

o Refleian las decisiones de la dirección

- Los objetivos operacionales reflejan las
opciones efectuadas por la dirección en relación con la estructura, consideraciones
sectoriales y el desempeño de la organización.

o Considera las tolerancias al riesgo

- La dirección tiene én cuenta los niveles
aceptables de variación en relación con la consecución de los objetivos operaciona-
les.

¡ lncluyen metas de desempeño financiero y de operaciones La organización re-

-
fleja el nivel deseado de desempeño financiero y de operaciones parala organiza-
ción dentro de los objetivos operacionales.

o Forman una base sobre la cual se asignan recursos

- La dirección utiliza los ob-
jetivos operacionales como base sobre la que asignar los recursos necesarios para
lograr el desempeño financiero y operacional deseado.

Objetivas de lnformación Financiera Externa

o Cumple la$ normas contables aplicables
- Los objetivos de información finan-
ciera son coherentes con principios contables que sean adecuados y estén a dispo-
sición de la organización. Los principios contables seleccionados son adecuados
para las circunstancias.

o Considera Ia rnaterialidad
- La dirección tiene en cuenta la materialidad en Ia pre-
sentación de los estados financieros.

¡ Refleja las actividades de la organización La información externa refleja las trans-

-
acciones y eventos correspondientes para mostrar las características cualitativas y
las afirmaciones contables realizadas.

(ontrolnterno - . zoB
tvlano tnresrado uavo
§ |!II
 [n!§r§0 S* (0|1trf¡ . Esñlila{i{iñ de §iesgos " árli¡id¡d*s de {¿fitrs! " inÍrrme{idn I {e$ur:ke¿idfi " &etisidad*sde 5¡pervisiór

Effif{¿r,a
üi;lefivos de lnfr.rmacirsn §ro Fin*nciera §xt*rna
. Cumpie las norn:a* y smar§c¡§ estahleclslcs exterrlamente -La dirección establece
objetivos coherentes con las leyes y regulaciones, o normas y marcos de organiza-
ciones externas reconocidas.

. eonsicl*r* *i nive! r¡eeesa¡"in de precisién La dirección refleja el nivel requerido

-
de precisión y exactitud adecuado para las necesidades de los usuarios y de
acuerdo con los criterios establecidos por terceras partes en la información no fi-
nanciera.

. §ef§*ia sas a*tividades de la orgar:ización - La información externa refleja las

transacciones y eventos correspondientes dentro de un rango de límites
aceptables.

üb¡efiuos Ce {a lnf*rnsaci*n lntarna

. Refl*ia dectsiones de la cilr*eeión - La información interna proporciona a la di-
sas
rección información completa y precisa con relación a las opciones elegidas por la
dirección y la información necesaria en la gestión de la organización.

. *cñsidera *! nivel r'¡ecesaric d* pr*eisién - La dirección refleja el nivel requerido

de precisión y exactitud adecuado para las necesidades de los usuarios en los obje-
tivos de información no financiera, y la materialidad dentro de los objetivos de infor-
mación financiera.

. ffi*fleja las actividad*s de Na arganizac!ér: - La información interna refleja las

transacciones y eventos correspondientes dentro de una rango de límites acepta-
bles.

ü bj et i v* s d * Ctt rn B llmfen fo
. R*fl*ja las sey** y regr.llaeienes externas - Las leyes y regulacionesestablecen
normas mínimas de conducta que la organización integra en sus objetivos de cum-
plimiento.

. Tlene er.? cu*nta las toloraneias al riesg* - La dirección tiene en cuenta los niveles
aceptables de variación en relación con la consecución de los objetivos de cumpli-
miento.

§sB*cifieacié¡'"¡ d* Ü b.! *t i vos

Una condición previa a la evaluación de riesgos es el establecimiento de objetivos aso-

ciados a los diferentes niveles de la organización. Estos objetivos se alinean con la orga-
nizacióny respaldan a la misma en sus esfuerzos por llevar a cabo la dirección
estratégica de la misma. Si bien la fijación de los objetivos y la estrateg¡a no forman
parte del proceso de control interno, los objetivos forman la base sobre la que se imple-
que se es-
mentan y se llevan a cabo los enfoques de evaluación de riesgos y sobre las
tablecen posteriores actividades de control. Como parte del control interno, la dirección

lnterno- l'larcolntesrado' |,latlo2013

ffi §§ II Control
especifica los objetivos y los agrupa dentro de amplias categorías a todos los niveles de
ia organización, en relación con las operaciones, la información y el cumplimiento. La
agrupación de objetivos dentro de estas categorías permite identificar y evaluar los ries-
gos que pueden afectar la consecución de dichos objetivos.

A Ia hora de confirmar la idoneidad de los objetivos, la dirección puede considerar as-

pectos tales como los siguientes:

Alineación de los objetivos establecidos con las prioridades estratégicas.

Afticulación de las tolerancias al riesgo por cada uno de los objetivos.

Alineación entre objetivos establecidos y leyes, reglas, regulaciones y normas esta-

blecidas aplicables a la organización.

Articulación de unos objetivos que sean específicos, medibles u observables, alcan-

zables, pedinentes y limitados en el tiempo.

El despliegue descendente de los objetivos a todos los niveles de la organización y

de sus unidades de negocio.

La alineación de los objetivos a otras circunstancias que requieran una atención es-
pecífica por parle de la organización.

La confirmación de los objetivos adecuados dentro del proceso de fijación de obje-

tivos antes de que dichos objetivos sean utilizados como la base sobre la que llevar
a cabo las evaluaciones de riesgos.

Cuando los objetivos de estas categorías no estén claros, cuando no esté claro en qué
:redida estos objetivos respaldan la dirección estratégica, cuando existan dudas o preo-
cupaciones de que los objetivos puedan no ser adecuados en base a las circunstancias,
a los hechos y a las leyes, reglas, regulaciones y normas establecidas aplicables a la or-
ganización, o cuando la organización tenga que basar su evaluación de riesgos en una
serie de objetivos comprendidos pero no autorizados, la dirección comunicará esta pre-
ccupación para que se incorpore al proceso de establecimiento de la estrategia y de fija-
:ión de objetivos.

I os objetivos operacionales reflejan las opciones elegidas por la dirección dentro del en-
torno específico de negocio, sectorial y económico en el que opera la organización. Por
ejemplo, una agencia pública municipal puede que cuente con varios objetivos operacio-
rales, cada uno de los cuales respaldado por una serie de iniciativas y criterios. Entre
sus objetivos se encuentran por ejemplo:

lmplementar cinco actividades de participación de la ciudadanía en la reducción del

efecto invernadero en los próximos 12 meses.

(ontrollnterno l'4arc0lnteqrado. l4ayo2013..

ffi ffi ¡I
*ffi
. lncrementar el uso del cinturón de seguridad en un 3002, reducir la velocidad en un
10%o en general, un 20Yo en las zonas escolares, y reducir el número de cruces en
un 25%o.

. lmplementar tarifas específicas sobre el consumo de agua en base a los patrones

de consumo urbano e industrial en un plazo de cinco años.

Una organización con ánimo de lucro puede establecer objetivos operacionales que se
centren en el uso eficiente de recursos. Por ejemplo, una gran cadena comercial puede
tener entre sus objetivos:

. Proporcionar a sus clientes una amplia gama de productos a precios sistemática-

mente inferiores a los de sus competidores.

¡ lncrementar la tasa de rotación de existencias hasta 12 veces al año en los próxi-

mos dos trimestres.

. Reducir sus emisiones de CO2 en un 5%o y reducir/reciclar el material de envasado

en un 10% durante el próximo año.

Como parte de los objetivos operacionales, la dirección también específica un rango de

tolerancia al riesgo durante el proceso de fijación de objetivos. En el caso de los objeti-
vos operacionales, la tolerancia al riesgo puede estar expresada como referencia a los
niveles aceptables de variación en relación con la consecución del objetivo.

Mefes y rsc{"Jr§#s
Un conjunto claro de objetivos operacionales proporciona un claro punto de atención
sobre el que la organización comprometerá los recursos significativos necesarios para
conseguir las metas de desempeño deseadas. Entre dichas metas se incluyen objetivos
relativos al desempeño financiero, que serán aplicables a todos los tipos de organiza-
ciones . Una organización con ánimo de lucro puede centrarse en los ingresos, rentabili-
dad, liquidez o cualquier otro parámetro, mientras que una organización sin ánimo de
lucro o una agencia pública puede que haga un menor énfasis general en los parámetros
financieros, pero seguirá esforzándose por alcanzar metas en cuestión de ingresos, liqui-
dez y gasto. Si los objetivos operacionales de una organización no están bien concebi-
dos o claramente especificados, sus recursos podrían ser utilizados de manera
deficiente.

üfo¡*flrr*s #* i t:f* rma* i*:n

Los objetivos de información hacen referencia a la preparación de informes que abar-
quen aspectos de confiabilidad, oportunidad, transparencia u otros conceptos estableci-
dos por los reguladores, organismos de normalización reconocidos o políticas de Ia
organización Esta categoría incluye la información financiera externa, la información no
financiera externa, la información financiera interna y la información no financiera interna.
Los objetivos de información externa están motivados fundamentalmente por las leyes,
regulaciones y las normas establecidas por los gobiernos, reguladores, organismos de
normalización y órganos contables. Los objetivos de información interna están motiva-

(onkol lnterno- I4arcolntesrado, l'1ay02013

ffi §§ II
 &!i4§t&t§r
::t:::,-¡:t Í-:i
:'-,,:-. s ,,.]-t;,'l
. :.¡E.lLl,:i:¡-i
.ir;-;i-r.:1, :i
i

ios por las instrucciones estratégicas de la organización y por los requisitos y expectati-
, as de información establecidos por la dirección y el consejo de administración.

-as organizaciones deben lograr los objetivos de información financiera para satisfacer
as obligaciones externas. La información financiera y los estados financieros publicados
son necesarios para acceder a los mercados de capital y pueden resultar críticos a la
-ora de optar a la concesión de determinados contratos o al negociar con proveedores.
-os inversores, analistas y acreedores pueden utilizar los estados financieros y otro tipo
:e información financiera para evaluar el desempeño de la organización y para compa-
-arlos con sus homólogos y con otras alternativas de inversión.

-os objetivos de información financiera son coherentes con los principios contables ade-
:uados y disponibles para Ia organización y apropiados a las circunstancias. Los objeti-
,cs de información financiera externa abordan en la preparación de los estados
'nancieros a efectos externos, incluidos los esiados financieros publicados, otros esta-
:cs e informes financieros, y otras formas de información financiera externa derivadas
:e los registros y libros financieros y de contabilidad de gestión de la organización.
. Los estados financieros para propósitos externos se preparan de acuerdo con las
normas, reglas y regulaciones contables aplicables. Estos estados financieros pue-
den incluir los estados financieros intermedios y anuales, los estados financieros
consolidados y la información financiera específica que se derive de dichos esta-
dos. Estos estados, por ejemplo, puede que se presenten públicamente ante un re-
gulador, se distribuyan en las asambleas anuales, se publiquen en el sitio web de la
organización o se distribuyan a través de medios electrónicos.

. Otros estados e informes financieros puede que se preparen de acuerdo con otras
bases contables y estén fundamentalmente motivados por las autoridades fiscales,
las agencias públicas o por otros requisitos contractuales. Los informes y estados
financieros puede que sean distribuidos a usuarios externos (por ejemplo, para in-
formar a un banco sobre los covenants o acuerdos financieros establecidos en un
contrato de préstamo, o a una autoridad fiscal en relación con la presentación de
declaraciones de impuestos, o a una agencia de financiación por parte de una orga-
nización sin ánimo de lucro en las que dichas declaraciones no se hagan públicas).

. Otra información financiera externa derivada de los registros y libros financieros y

de contabilidad de gestión de la organización en lugar de derivarse de los estados
financieros puede incluir las presentaciones de resultados, información financiera
seleccionada publicada en el sitio web de la organización e imporles específicos
que se comuniquen para dar cumplimientos a las leyes y regulaciones aplicables.
Los objetivos de información financiera externa relativos a este otro tipo de informa-
ción financiera puede que no estén motivados directamente por los organismos de
normalización y reguladores sino que normalmente son las partes interesadas quie-
nes esperarán que se alineen con dichas normas y regulaciones.

tontrolnterno tvlariotnresrado. t'4ay0z0B

*ffi trl
 il,¡i*r:i*eiiln y irmr:*!lari4n , Áiiiv!dads rie StjilÉrv¡sidr

üar* *ter:s f ir*s C¡"¡sli fa fi vas

La información financiera externa refleja las transacciones y

eventos que muestren las
características cualitativas y las afirmaciones contables que subyacen
a los estados fi-
nancieros establecidos por los respectivos organismos de normalización
contable. Exis-
ten muchas fuentes de este tipo de características y afirmaciones contables
relativas a la
información financiera.

Los estados financieros externos se pueden considerar en términos

de características
fundamentales y de características de mejora.11,t2

Las características fundamentales hacen referencia a la relevanc iay

a larepresentación
fiel, tal y como se indica a continuación:

' Relevancla
- información que es capaz de marcar la diferencia en las decisiones
del usuario.
o Representación Fiel información que es completa, neutral y exenta de errores.
-
Las características de mejora hacen referencia a la comparabilidad,
verificabilidad, opor-
tunidad y comprensibiridad, tar y como se indica a continuación:

' Comparabilidad información que puede ser comparada con otra Información si-
-
milar sobre otras organizaciones y con información similar sobre Ia propia
organiza-
ción correspondiente a otro periodo u otra fecha.

' Verificabilidad
- diferentes observadores independientes y debidamente informa-
dos alcanzan un consenso, aunque no necesariamente un acuerdo
completo, de
que una descripción específica es una representación fiel.

' Oportunidad
- contar con información disponible para los responsables de la toma
de decisión en el momento adecuado para su uso.
o Comprensibilidad
- información que es clasificad a, caracterizada y presentada con
claridad y concisión.

Inherente en relevancia es el concepto de "materialidad en los

estados financieros,,. La
materialidad establece el umbral para determinar si un importe financiero
es o no rele-
vante' La información es material si su omisión o un error en la misma podría
influir en
las decisiones de los usuarios adoptadas en base a la información
financiera. La mate-
rialidad depende del tamaño del elemento o del error juzgado
en las circunstancias es-
pecíficas de su omisión o error. En el caso de la información
financiera externa, la
materialidad refleja el nivel requerido de precisión y exactitud adecuado
a las necesida-
des de los usuarios externos y presenta las actividades subyacentes
de la organización,
Ias transacciones y eventos dentro del rango de límites
aceptabresl3.

'1
1. Derivadas de las Normas rnternacionares de rnformación Financiera,
l2 Algunas.iurisdicciones pueden describir las afirmaciones contables de
los estados financieros utilizando
térmjnos tales como "existencia u ocurrencia,, ,,integridad, ualoraoon
ciones", y "presentación e información a revelar,'
oii,g;;¿.",
,,derechos
y obriga_
.

'l3 Derivadas de las Normas lnternacionales de Información Financiera.

Algunas jurisdicciones pueden utilizar
descripciones diferentes de ra materiaridad en ros estados financieros.

(ontrol tntuno- [4ar(0tntesrado, rilayo2013

#§§ It
I
 (6mp0nentÉs dE¡ Controi lntsrno I [valuacién de Riesqos

La confiabilidad es otra característica cual¡tativa frecuentemente utilizada que se asocia

con los objetivos de información financiera externa. La confiabilidad implica preparar es-
tados financieros externos que estén exentos de sesgo o error material. La confiabilidad
también es necesaria para que la informaeión represente fielmente las transacciones u
otros eventos que pretenda representar. La información externa también refleja el nivel
requerido de precisión y exactitud adecuado a las necesidades internas y para las activi-
dades subyacentes de la organización, presentando transacciones y eventos dentro de
un rango de límites aceptables.

las características cualitativas indicadas anteriormente se aplican junto con las normas
contables adecuadas y las informaciones contables en los estados financieros. Dichas
drmaciones normalmente se encuadran en las categorías relativas a:

o Clases de transacciones y eventos para el periodo.

. Saldos contables al cierre del periodo.

o Presentacién e información a divulgar.

Objetivos de Información No Financiera Externa

Cumple las Normas, Marcos, Leyes y Regulaciones

La direccién puede presentar su información externa de acuerdo con las leyes, reglas,
regulaciones, normas no financieras u otros marcos de trabajo. Por ejemplo, cuando la
úección busque gestionar el impacto en el desarrollo sostenible, puede preparar y pu-
Hir:ar un informe de sostenibilidad que proporciona información sobre su desempeño en
d ámbito económico, medioambiental y social. Otra organización puede aplicar las nor-
fnas correspondientes a la cadena de custodia en virtud de las cuales sus productos se
dstribuyan desde su origen forestal hasta su uso final. La organización conseguirá por
db una certificación anual que demostrará su producción y consumo responsable de
productos forestales e informará públicamente esta información.

Considera la precisién y refleja las actividades de la organizac¡én

Al igual que con la información financiera, Ia información no financiera:

¡ Clasifica y resume la información de una forma razonable y con un nivel apropiado

de detalle de manera que no sea ni demasiado pormenorizada ni demasiado gene-
ral.

. Refleja las actividades subyacentes de la organización.

. Presenta las transacciones y eventos con arreglo al nivel requerido de precisión y

exactitud adecuadas para las necesidades del usuario.

¡ Utiliza criterios establecidos por terceras paftes así como normas o marcos exter-
nos, según sea oportuno.

(onfollnterno-laar(o lntesrado . laavo20ll

§ ¡ §I I
 fier{* i §nrs{r*.de ft}H1i . A{rirrid*de$ de {r;tti*i " taiarm¡ririn y {omunrrarid;: . ArrÍvidad*s
!:Ijy::ii.|.!:.1i€5§0§ " rie §upervisidn
E ffi

#bjetiv*s d* inforrr-laeién lnterna

La información interna confiable, incluidos cuadros de mando integral y ,,dash-boards,,
de desempeño, proporcionará a la dirección la información precisa y completa necesaria
para gestionar la organización. Dicha información apoya a la dirección en la
toma de de-
cisiones, la evaluación de las actividades y el desempeño de la organización. Entre los
ejemplos de informes internos se incluyen los resultados de los programas de marketing,
Ios informes abreviados diarios de ventas, los informes de calidad de la producción y
los
resultados de satisfacción de clientes y empleados. Los objetivos de información interna
se basan en las preferencias, en el criterio profesional y el estilo de la dirección.

Los objetivos de información interna varían de una organización a otra dado que las
dife-
rentes organizaciones tendrán distintas metas, direcciones estratégicas, y niveles de
to-
lerancia al riesgo. Al igual que sucede con Ia información externa, la información interna
también refleja el nivel requerido de precisión y exactitud adecuado a las necesidades
internas y para las actividades subyacentes de la organización, presentando transaccio-
nes y eventos dentro de un rango de límites aceptables.

Muchas organizaciones aplicarán normas externas para asistir en la gestión de sus ope-
raciones. Dichas normas pueden hacer referencia al control sobre la tecnología, la ges-
tión de los recursos humanos y la gestión de los registros documentales. Sin embargo,
dado que las normas que son aplicables a la información externa pueden no ser aplica-
bles a la información interna, la dirección puede elegir un conjunto diferente de niveles
de variación aceptable parala información externa e interna.

Al igual que sucede con otros tipos de información, la información interna:

o Utiliza criterios establecidos por terceras parles así como normas o marcos exter-
nos, según sea opoduno.

' Clasifica y resume la información de una forma razonable y con un nivel apropiado
de detalle de manera que no sea ni demasiado pormenorizadani demasiado gene-
ral.

. Refleja las actividades subyacentes de la organización.

' Presenta las transacciones y eventos de acuerdo con nivel requerido de precisión y
exactitud adecuadas para las necesidades del usuario.

ühjetiv*s de Cumpi ¡.nient* i

Las leyes y regulaciones establecen normas mínimas de conducta que la organización

integra en sus objetivos de cumplimiento. Por ejemplo, las regulaciones de salud y
segu-
ridad en el trabajo podrían hacer que una organización defina como uno de sus
objetivos
"envasar y etiquetar todos los productos químicos de acuerdo con las regulaciones.',
Las políticas y procedimientos abordarían por tanto los programas de comunlcación,
las
inspecciones de las instalaciones y la formación relativa a los objetivos de cumplimiento
de la organización. De igual manera, al igual que sucede con los objetivos de informa-
ción externa, la dirección tendrá en cuenta los niveles de variación del desempeño
acep-

.
ffi §§ II (ontrot tnterno - t4arco tntesraclo I,fayo 20tj

¡
 {smpñiielli*s d*¡ {0§hai i¡rterrlo i fualuaiién dr PiÉs$o§

tables en el contexto del cumplimiento de las leyes y regulaciones. Dichas leyes y regu-
laciones pueden hacer que la dirección fije unos menores niveles de variación aceptable
para seguir cumpliendo con dichas leyes y regulaciones.

Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de especificar
sus objetivos de cumplimiento, la organización debe comprender qué leyes y regulacio-
nes son aplicables ala organización. Muchas leyes y regulaciones son, en general, bien
conocidas, como por ejemplo aquellas que guardan relación con la prevención de sobor-
nos, Ias prácticas laborables justas y el cumplimiento de la legislación medioambiental,
pero otras pueden resultar menos conocidas parala organización, como por ejemplo las
aplicables a una organización que quiera llevar a cabo sus operaciones en un territorio
extranjero.

Muchas leyes y regulaciones dependen de factores externos y tienden a ser similares

con respecto a otras organizaciones, en algunos casos, y con respecto a un sector en
particular, en otros. Estos requisitos pueden hacer referencia por ejemplo a los merca-
dos, precios, impuestos, el medio ambiente, el bienestar de los empleados o el comercio
internacional. Muchas organizaciones establecerán objetivos como los siguientes:

. Prevenir y detectar conductas penales y otro tipo de irregularidades.

. Preparar y presentar declaraciones fiscales antes de que se cumplan los plazos de

presentación oportunos y de acuerdo con los requisitos regulatorios.

. Etiquetar la información nutricional en el envase de los alimentos de acuerdo con

las directrices aplicables.

¡ Contar con una flota de vehículos que se encuentren dentro de los requimientos
máximos de control de emisiones.

(ontrot lnterno - . 2fiI §§§

tvtarco Intesrado Iaayo
II
 hl*rco I Eniorno de {ofitroi . Evalua{ids de tiesgos " Áetivldades de {0nlrel " lnforlxdri{i[ y eOm[fti{ü{i¡ir . Aüividades d* §ilparvis!$n

§dentifíea y *naliza ef riesgo

ffiPrincipio 7: La organización identifica los riesgos para la

§.onr".rción de sus objetivos en todos los niveles de la
ffiorganización y los analiza como base sobre la cual
§Oeterminar cómo se deben gestionar.

Furitos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

¡ Nne§uye los niveles de anganiz*eión, filial, división, unidad op*rativa y fun-

ción La organización identifica y evalúa riesgos a nivel de organización, filial, di-
-
visión, unidad operativa y función relevantes parala consecución de sus objetivos.

o Analiza factores interr¡os y externcs

- La identificación de riesgos tiene en cuenta
factores internos y externos y su impacto en la consecución de los objetivos.

r lnvoluera a los r¡ii¡*les apropiadcs de la dir*eeiór: La organización dispone de

-
mecanismos de evaluación de riesgos efectivos que implican a los niveles oportu-
nos de la dirección.

¡ Estirna §a irnpcrtaneia de i*s riesgcs identifieados Los riesgos identificados son

analizados a través de un proceso que incluye la estimación de la importancia po-
-
tencial del riesgo.

. Determina eómo nesponder a lcs nlesg<:s

- La evaluación de los riesgos incluye la
consideración de cómo deben gestionarse el riesgo y si se debe aceptar, evitar, re-
ducir o compartir el riesgo.

!dentificacién de riesgos
La identificación del análisis de riesgos es un proceso iterativo continuado que se lleva a
cabo para ampliar la capacidad de la organización para lograr sus objetivos. Aunque una
organización podría no indicar explícitamente todos sus objetivos, esto no significa que
un objetivo implícito se encuentre exento de un riesgo interno o externo. Con indepen-
dencia de si un objetivo se indica expresamente o implícitamente, el proceso de evalua-
ción de riesgos de Ia organización deberá tener en cuenta los riesgos que puedan
ocurrir. Este proceso se ve respaldado por una serie de actividades, técnicas y mecanis-
mos, cada uno de ellos relevantes para el conjunto de la evaluación de riesgos. La direc-
ción desarrolla e implementa controles relacionados con el desarrollo de estas
actividades.

La dirección tiene en cuenta los riesgos a todos los niveles de la organización y adopta
las medidas necesarias para responder ante ellos. La evaluación efectuada por una or-
ganización tendrá en cuenta factores que influyan en la gravedad, velocidad y persisten-

tonnollntuno-Marcolntesrado .
BO
#§§ ¡| t4ay02013
 it:.fi:it::á*nri:ll

:.?i!ri,r.+it-i I.f; ir':,,i": i",.É.':' : :::aL:a!it:lnr,l;:.L:L:iaa

*.-':.,!¡-rrIi:tri:l

cia del riesgo, la probabilidad de que se produzcan pérdidas de activos, y el impacto re-
lacionado en las actividades de operaciones, de información y de cumplimiento. De igual
manera, la organización debe comprender su tolerancia a la hora de aceptar riesgos y su
capacidad para operar dentro de dichos niveles de riesgo. La identificación de riesgos
debe ser muy detallada. Deberá tener en cuenta todas las interacciones significativas
-
de productos, servicios e información- internas que se generen dentro de una organi-
zación y entre la propia organización y los correspondientes socios comerciales y
proveedores de servicios externalizados. Estas organizaciones pueden incluir a provee-
dores, inversores, acreedores, accionistas, empleados, clientes, compradores, interme-
diarios y competidores potenciales y existentes así como organismos públicos y medios
de comunicación. De igual manera,la organización deberá tener en cuenta los riesgos
que se deriven de factores externos tales como la aprobación o modificación de leyes y
regulaciones, aspectos medioambientales y eventos naturales que puedan producirse.

De igual manera, es imporlante tener en cuenta que los riesgos que hacen referencia
fundamentalmente a una categoría de objetivos pueden influir en los objetivos de otras
categorías. Por ejemplo, un riesgo que hace referencia fundamentalmente a un objetivo
operacional en lo que respecta a la producción y entrega oporluna de los productos de
una compañía, también puede afectar a la información financiera si los contratos comer-
ciales de la compañía contienen sanciones por retrasos en las entregas. En aquellos
casos en los que una organización esté valorando los riesgos que hagan referencia fun-
la información financiera-
damentalmente a una categoría de objetivos
-por ejemplo a que
el proceso de evaluación de riesgos puede que también tenga considerar objetivos
de otras categorías que puedan impactar en dichos objetivos de información financiera.

La identificación de riesgos es un proceso iterativo y a menudo se integra dentro del

proceso de planificación. Sin embargo, puede que sea necesario adoptar una perspec-
tiva renovada con respecto a los riesgos identificados y no remitirse únicamente a reali-
zar un inventario de riesgos, tal y como se indicaba en la revisión anterior. El foco de
atención deberá centrarse en la identificación de todos los riesgos que potencialmente
impactan en la consecución de los objetivos así como a los riesgos emergentes
-aque-
llos riesgos cuya relevancia e importancia para la organización esté siendo cadavez
mayor y que puedan ser abordados analizando y evaluando los factores de riesgos co-
rrespondientes, con independencia de los remotos que puedan parecer.

La identificación de riesgos tiene en cuenta los riesgos a los distintos niveles de la es-
tructura organizacional, incluido el conjunto de la organización y sus unidades de nego-
cio y procesos tales como ventas, recursos humanos, marketing, producción y compras.
La identificación de riesgos a nivel de organización suele llevarse a cabo a un nivel relati-
vamente alto y, por lo general, no incluye la evaluación de los riesgos a nivel de transac-
ciones. Por el contrario, la identificación de riesgos a nivel de procesos es, por su propia
naturaleza, más detallada e incluiría los riesgos a niveles de transacciones.

De igual manera, la evaluación de riesgos tiene en cuenta los riesgos que se originan en
los proveedores de servicios externalizados, en los principales proveedores y socios co-
merciales que puedan impactar directa o indirectamente en la consecución de los objeti-
vos por parle de la organización.

- . 201]
[ontrol lnterno l,4arco lntegrado I4ay0
; §¡ I
 flÉff* ¡ ñíiierns fle {sí::rsl " Ev¡iLrd(iéfi de &aes§0s
- Á{tir;dfrde5 de {ritrql - inisr:8f{i{i:i y i*ñrl!,]i{*íi¿!l . Ártivldades de 5¡¡p*:visi*r':

Faefores ¡nferncs y *xúcrncs

La dirección tiene en cuenta los riesgos en relación con factores internos y externos. Los
riesgos son dinámicos; por lo tanto, para determinar la frecuencia del proceso de eva-
luación de riesgos, la dirección generalmente tendrá en cuenta el ritmo de cambio de
estos riesgos que afectan a la consecución de los objetivos, así como otras prioridades
operacionales y los costes relacionados. Por lo general, este proceso es una combina-
ción de evaluaciones de riesgos continuadas y periódicas. Si aumenta el ritmo de cam-
bio relacionado con un objetivo o con factores internos o externos, resultará útil acelerar
la frecuencia de evaluación de los riesgos relacionados o incluso evaluar el riesgo en
tiempo real.

ñl*sgos a fiivsldc organrraci*n

Los riesgos a nivel de organización pueden derivarse tanto de factores internos como de
factores externos. Entre los factores externos, se pueden incluir los siguientes:

. Económrcos Los cambios que pueden afectar a la financiación, disponibilidad de

-
capital y barreras de entrada para la competencia.

o Entorno natural Las catástrofes naturales o desastres causados por el hombre o

-
los continuos cambios a los que se ve sometido el clima pueden provocar cambios
en las operaciones de la organización, reducir la disponibilidad de determinadas
materias primas o incluso provocar pérdidas en los sistemas de información, po-
niendo de manifiesto Ia necesidad de disponer de planes de contingencia.

. Regulatorio Una nueva norma de información financiera que pueda exigir infor-
-
mación diferente o adicional a una organización jurídica, al modelo operativo adop-
tado por la dirección o a una línea de negocio; una nueva ley o regulación
antimonopolio que pueda exigir la aplicación de determinados cambios en las estra-
tegias o políticas operativas o de información.

. Operaciones en el extranjero Un cambio de gobierno en un país extranjero en el

-
que opera la organización puede dar como resultado la adopción de nuevas leyes o
regulaciones y la aplicación de cambios en los regímenes tributarios.

. Socra/es Las expectativas y necesidades cambiantes de los clientes pueden

-
afectar al desarrollo de productos, al proceso de producción, a la atención al
cliente, a la fijación de precios o a las garantías concedidas.

. Tecnológicos Avances que pueden afectar a la disponibilidad y uso de datos, a

-
los costes de las infraestructuras y a la demanda de determinados servicios basa-
dos en tecnologías.

Entre los factores internos se pueden incluir los siguientes:

e lnfraestructura Decisiones sobre el uso de recursos de capital que pueden afec-

-
tar a las operaciones y a la disponibilidad continuada de infraestructuras.

¡ Estructura de la dirección Un cambio en la responsabilidades de la dirección que

-
pueda afectar a la manera en la que se lleven a cabo determinados controles.

.
B2
ffi §§ II tontrollnterno-l'4aÍ(0lntesrado ¡4ay02013
 i$mpsnentes d*l {§nirsl !ñterfls I [vaiuacidn de Riesgos

. personal contratado y los métodos de formación y moti-

Personal
-La calidad del
vación que pueden influir en el nivel de sensibilidad hacia el control dentro de la or-
ganización; el vencimiento de contratos laborales que puede afectar a la
disponibilidad de determinados miembros del personal.

. y
Acceso a activos
- La naturaleza de las actividades de la organización la accesi-
bilidad de los empleados a los activos que pueden contribuir a la apropiación inde-
bida de recursos.

. Tecnología .Una interrupción en el procesamiento de los sistemas de informa-

ción que
-
puedan afectar negativamente al funcionamiento de la organización.

La identificación de factores externos e internos que puedan contribuir al riesgo a nivel

de organización resulta crítica para la evaluación integral de los riesgos. Una vez que se
han identificado los principales factores, la dirección puede entonces tener en cuenta su
relevancia e importancia y, en la medida de lo posible, relacionar estos factores con acti-
vidades y riesgos específicos.

Por ejemplo, un importador de calzado y ropa puede establecer el objetivo a nivel de or-
ganización de convertirse en el líder del sector en moda de alta calidad. La organización
iendrá en cuenta riesgos generales como el impacto del deterioro de las condiciones
económicas, la aceptación de los productos por parte del mercado, la aparición de nue-
vos competidores en el mercado y los cambios que se puedan producir en las regulacio-
nes y leyes medioambientales o regulatorias. De igual manera, la organización podrá
tomar en cuenta riesgos a nivel de organización tales como:

o Las fuentes de abastecimiento, incluida Ia calidad, cantidad y estabilidad de los fa-

bricantes extranjeros.

La exposición a fluctuaciones en el valor de las divisas correspondientes.

La puntualidad de la recepción de los envíos y los retrasos en las inspecciones

aduaneras.

La disponibilidad y fiabilidad de las compañías de transporte y los costes relaciona-

dos.

¡ La probabilidad de que surjan hostilidades internacionales o embargos comerciales.

Las presiones procedentes de clientes o inversores para boicotear la producción en

determinados países extranjeros cuyos gobiernos adopten políticas inaceptables.

Las expectativas de los consumidores o grupos de interés locales con respecto al

uso de los recursos naturales.

RiesEos a nivel de transaccion

Los riesgos se identifican a nivel de transacción dentro de las filiales, divisiones, unida-
des operativas o funciones, incluidos procesos de negocio tales como ventas, compras,
producción y marketing. La gestión de riesgos a este nivel contribuye a la consecución
de los objetivos y/o subobjetivos que se han desplegado en sentido descendente a par-

. uavtzou
tonfollnterno-laarcolntesrado
§l§ I t
tir de los objetivos a nivel de organización. Una evaluación adecuada de riesgos a nivel
de transacciones, también contribuye al mantenimiento de unos niveles aceptables a
nivel de organización.

En la mayoría de los casos, se pueden identificar diferentes riesgos. Por ejemplo, en un

proceso de abastecimiento y compras, una organización puede fijar el objetivo de man-
tener un adecuado inventario de materias primas. Los riesgos de no lograr este objetivo
podrían incluir que los proveedores que suministren los materiales no cumplan las espe-
cificaciones técnicas o que no suministren conforme a las cantidades necesarias, a los
plazos acordados o a los precios establecidos. Estos riesgos podrían afectar a los obje-
tivos a nivel de organización relacionados con la forma en que se comunican las especi-
ficaciones de los bienes adquiridos a los proveedores, el uso e idoneidad de las
previsiones de producción, la identificación de fuentes de abastecimiento alternativas y
las prácticas de negociación.

Las posibles causas de un potencial incumplimiento de este objetivo pueden incluir

desde las más obvias hasta las menos previsibles. Sin duda, deberán identificarse los
riesgos más obvios que puedan afectar significativamente a la organización. Para evitar
que se pasen por alto determinados riesgos relevantes, esta identificación debe efec-
tuarse de manera independiente a la evaluación de la probabilidad de que este riesgo se
produzca. No obstante, existen limitaciones prácticas en este proceso de identificación y
a menudo resulta difícil determinar dónde establecer una línea divisoria. Por ejemplo,
puede que no tenga sentido llevar a cabo una detallada evaluación del riesgo de que un
meteorito caiga del espacio en las instalaciones de producción de la organización, mien-
tras que si que puede ser razonable que, en caso de que una fábrica esté situada cerca
de un aeropuerto, se valoren con detenimiento los riesgos de que un avión pueda chocar
contra la citada fábrica.

Una vez que se han identificado los riesgos tanto a nivel de organización como a nivel de
transacción, será necesario llevar a cabo un análisis de riesgos. La metodología para
analizar los riesgos puede variar, fundamentalmente porque muchos riesgos resultan difí-
ciles de cuantificar. En cualquier caso, el proceso -que podrá ser más o menos formal-
normalmente incluirá Ia evaluación de la probabilidad de que se produzca el riesgo y la
evaluación de su impacto. De igual manera, el proceso podrá tomar en cuenta otros cri-
terios en la medida en que la dirección lo considere necesario.

Al igual que sucede con otros procesos del control interno, la responsabilidad por la ren-
dición de cuentas y la comunicación de información de cara a la identificación de ries-
gos y a los procesos de análisis, le corresponde a la dirección en el conjunto de la
organización y de sus unidades de negocio. La organización dispone de mecanismos de
evaluación de riesgos efectivos que implican a los niveles oportunos de la dirección que
dispongan de los conocimientos adecuados.

tffi!l [ontrol Interno - l4ar(o Integrado . l,4ayo 201]

 ,:lii;iii',i' t i-.:. a::'i i "::11:]i li; ;1:it : :

Como parte del análisis de riesgos, la organización evalúa la importancia de los riesgos
de cara a la consecución de los objetivos y de los subobjetivos. Las organizaciones pue-
den evaluar la importancia de los riesgos utilizando criterios tales como los siguientes:

o Probabilidad de ocurrencia de un riesgo y su impacto.

. Velocidad o rapidez del impacto una vez que se produce el riesgo.

o Persistencia o duración en el tiempo del impacto una vez que se materialice el

riesgo.

"Probabilidad" e "impacto" son términos utilizados habitualmente aunque las organiza-

ciones puede que utilicen en su lugar otros términos como "eventualidad", "gravedad" o
"consecuencia". "Probabilidad" representa la posibilidad de que se produzca un evento
determinado mientras que "impacto" representa su efecto. Algunos términos pueden
tener más de un significado específico, de manera que el término 'probabilidad" indicará
la posibilidad de que se produzca un riesgo determinado en términos cualitativos tales
como "alto", "medio" y "bajo", mientras que "eventualidad" puede indicar una medición
más cuantitativa, como pueda ser el porcentaje, frecuencia u otros parámetros numéri-
cos.

La velocidad a la que se produzca un riesgo hará referencia al ritmo al que se espera que
la organización experimente el impacto del riesgo. Por ejemplo, un fabricante de electró-
nica de consumo puede tratar de cambiar las preferencias de los clientes y el cumpli-
miento de los límites energéticos de las radiofrecuencias. El hecho de no poder
gestionar estos riesgos puede resultar en una erosión significativa del valor de la organi-
zacion, hasta el punto de que pueda terminar quedándose fuera del mercado. En este
caso, los cambios en los requisitos regulatorios se desarrollarán mucho más lentamente
que los cambios en las preferencias de los consumidores.

La dirección a menudo utilizará parámetros de desempeño para determinar hasta qué

punto se están logrando los objetivos y normalmente usará las mismas unidades de me-
dida o unidades similares a la hora de valorar el impacto potencial de un riesgo en la
consecución de un objetivo especÍfico. Por ejemplo, una organización con el objetivo de
mantener un nivel específico de atención al cliente podrá diseñar un sistema de valora-
ción o de medición para dicho objetivo pueda ser un indice de satisfacción del
-como
cliente, un número determinado de reclamaciones o la medición de los clientes que vuel-
ven a comprar ala organización. A la hora de evaluar el impacto de un riesgo que pueda
afectar al servicio al cliente pueda ser la posibilidad de que el sitio web de la or-
-como
ganización pueda no estar disponible durante un período de tiempo- como mejor se
determinará el impacto relacionado será utilizando los mismos parámetros.

Un riesgo que no tenga un impacto significativo en la organizaciÓn y que sea poco pro-
bable que se produzca, por lo general, no exigirá una respuesta detallada ante dicho
riesgo. Un riesgo que tenga una mayor probabilidad de que se produzca y/o que tenga
un potencial impacto significativo, por lo general, derivará en una mayor atención pres-
tada. Pero incluso aquellos riesgos con un elevado impacto potencial y una baja proba-
bilidad de que se produzcan, deberán ser evaluados, evitando hipótesis como que "este
tipo de riesgos no se produce en esta organización", dado que incluso los riesgos de es-
casa probabilidad pueden llegar amaterializarse. La importancia de comprender los ries-
gos que han sido evaluados como de baja probabilidad es mayor cuando el potencial

(ontrol lnterno - l4arco ntegraclo , l,layo 20ll li ffi § tr

 ''i.".1'.'::'::::.u1.:.n.i:o':'':i.'':iil:'.=:.::1it:i.."."::{:t::a.'.:::.1"a:itliiit:.a,'.1i?.''- .:.

impacto del riesgo puede prolongarse durante un mayor período de tiempo. Por ejem-
plo, el impacto a largo plazo sobre la organización de un problema medioambiental oca-
sionado por las actuaciones de una organización podrá considerarse de manera muy
diferente que el impacto a largo plazo de que una tecnología no esté operativa en una
planta de fabricación durante varios días.

Las estimaciones de la importancia al riesgo a menudo se ven determinadas por el uso

de datos de eventos anteriores, los cuales proporcionan una base más subjetiva que las
estimaciones totalmente subjetivas. Los datos generados internamente que se basan en
la propia experiencia de la organización, pueden resultar más relevantes y apoftar mejo-
res resultados que los datos procedentes de fuentes externas. Sin embargo, incluso en
estas circunstancias, los datos externos pueden resultar de utilidad como punto de con-
trol o para mejorar el análisis. Por ejemplo, la dirección de la compañía que evalúe el
riesgo de paradas de producción debido a averías en los equipos analizará, en primer
lugar, la frecuencia y el impacto de los fallos o averías anteriores en su propio equipo de
fabricación. Posteriormente, complementará estos datos con información de referencia
del sector. Esto le permitirá contar con una estimación más precisa de la probabilidad
del impacto de las averías, haciendo posible que se programe un mantenimiento preven-
tivo más efectivo. De igual manera, debe tenerse en cuenta que el uso de datos proce-
dentes de eventos pasados pueden apodar conclusiones incompletas cuando los
eventos ocurran de manera poco frecuente.

De igual manera, la dirección puede que prefiera evaluar los riesgos utilizando un hori-
zonte temporal coherente con el horizonte temporal de los objetivos relacionados. Dado
que los objetivos de muchas organizaciones se centran en el cotlo o medio plazo, la di-
rección analiza los riesgos asociados con dichos marcos temporales. Sin embargo, algu-
nos objetivos se prolongan hasta el largo plazo y la dirección no debe ignorar estos
riesgos que podrían prolongarse de manera considerable en el futuro.

La dirección tiene en cuenta tanto el riesgo inherente como el riesgo residual. El riesgo
inherente es el riesgo que afecta a la consecución de los objetivos de la organización en
caso de que no concurran medidas algunas adoptadas por la dirección para alterar la
probabilidad o el impacto del riesgo. El riesgo residual es el riesgo que afecta a la conse-
cución de los objetivos y que sigue existiendo una vez adoptadas e implementadas las
respuestas pertinentes por parle de la dirección. El análisis de riesgos se aplica primero
al riesgo inherente. Una vez que las respuestas ante los riesgos han sido desarrolladas,
tal y como se analiza posteriormente, la dirección considerará el riesgo residual. La eva-
luación del riesgo inherente además del riesgo residual puede ayudar ala organización a
comprender hasta qué punto se necesitan adoptar respuestas ante los riesgos.

Una vez que ha sido evaluada la impoftancia potencial de los riesgos, la dirección tendrá
en cuenta cómo debe gestionar el riesgo. Para ello, será necesario aplicar el criterio pro-
fesional en base a las hipótesis sobre el riesgo y un análisis razonable de los costes aso-
ciados con la reducción del nivel de riesgo. La respuesta adoptada no derivará
necesariamente en un menor volumen de riesgo residual. Pero en caso de que una res-

86
§ !| crrtrr Lnterno - l,4arco lntesrado ' l,1ay0 2013
 r.¡::i:a::¡:ti.¡:::¡:i!:11;

:ti?3aa:iit¡tjlt:iii:{1é
:iaf li::i*1i:i§:|ii.'i
i.ri:i.;$g4!a::::}l§
i.ir¡**r!#+i {iri i{:i'iir¿:i i::i¡l-;: i :, ,:,.,rr r!r.i!la:§+;,1i:lilllii;1ii
¡ilt+:rj¡.iiiiil§i*

puesta ante el riesgo derive en un riesgo residual que supere los niveles aceptables para
la dirección del consejo, la dirección deberá volver a analizar y revisar dicha respuesta.
En consecuencia, el equilibrio entre el riesgo y la tolerancia al riesgo puede ser iterativo.

Las respuestas dadas ante el riesgo se enmarcan en las siguientes categorías:

. Aceptar
- No se adopta ninguna medida que afecte a la probabilidad o al impacto
del riesgo.
o Evitar Se abandonan las actividades que den lugar al riesgo; esto puede conlle-
-
var que se abandone una línea de producción, que se reduzca el grado de expan-
sión en un nuevo mercado geográfico o que se venda una división,
. Reducir Se adoptan medidas para reducir la probabilidad o el impacto del riesgo,
-
o ambos; por lo general, puede conllevar cualquiera de las múltiples decisiones de
negocio que se adoptan en el día a día de una organización.
. Comparfir
- Se reduce la probabilidad o el impacto del riesgo transfiriendo o com-
parliendo de cualquier otra manera una parte del riesgo; las técnicas que se utilizan
más habitualmente incluyen la suscripción de seguros, el establecimiento de nego-
cios conjuntos, la cobertura de transacciones o la externalización de una actividad.

En relación con la respuesta al riesgo, la dirección deberá tener en cuenta:

. El efecto potencial que pueda tener sobre la importancia del riesgo y qué opciones
de dicha respuesta están alineadas con la tolerancia al riesgo de la organización.
. La segregación de funciones que permita que la respuesta adoptada logre la reduc-
ción prevista de la importancia del riesgo.
. El análisis coste/beneficio de las posibles respuestas.

A Ia hora de evaluar las opciones existentes en materia de respuesta, la dirección tendrá

en cuenta la imporlancia del riesgo, lo cual incluirá el efecto que pueda tener sobre la
probabilidad y el impacto del riesgo, reconociendo además que una respuesta puede
afectarles de manera diferente. Por ejemplo, veamos el caso de una compañía que
cuente con un centro de datos ubicado en una región en la que exista una elevada acti-
vidad de fuertes tormentas. La organización establecerá un plan de continuidad para el
negocio que, si bien no tendrá ningún efecto en la probabilidad de que se produzcan tor-
mentas, mitigará el impacto de los daños que se puedan producir en los edificios o en el
personal que no pueda ir atrabalar en caso de tormenta grave. Por otro lado, Ia alterna-
tiva de trasladar el centro de datos a otra región no reducirá el impacto de que se pue-
dan producir tormentas comparables, pero podría reducir la probabilidad de que una
tormenta similar se produzca cerca de esta nueva ubicación.

Los recursos siempre tienen limitaciones, y las organizaciones deberán tener en cuenta
los costes y beneficios asociados a las distintas alternativas de respuesta disponibles.
Antes de implementar procedimientos adicionales, la dirección deberá tener en cuenta
si algunos de los procedimientos ya existentes pueden ser adecuados para abordar los
riesgos identificados. Dado que determinados procedimientos pueden cumplir múltiples
objetivos, la dirección podría darse cuenta de que no son necesarias nuevas medidas o

l4ay020tl
Controttnterno-tularcotntesrado.
Éffi !I
 i{:tta1: I l:':r.,:,;'.:. :l: ,.il..'.lti '

de que los procedimientos existentes podrían ser suficientes o sencillamente deben ser
llevados a la práctica con un mayor nivel de exigencia.

Existe una diferencia importante entre la evaluación de riesgos, que forma parte del con-
trol interno, y la elección de respuestas específicas ante los riesgos y los planes, progra-
mas u otras medidas relacionadas, que forman parte del proceso de gestión de riesgos y
no de los controles internos. El control interno no incluye asegurarse de que se adopta la
respuesta más óptima para abordar los riesgos identificados. Por ejemplo, la dirección
de una organización puede optar por compadir el riesgo relativo a las tecnologías al ex-
ternalizar determinados aspectos de su procesamiento tecnológico a una organización
con mayor experiencia en ese ámbito (reconociendo que esta práctica podría introducir
también nuevos riesgos en la organización), mientras que otra organización puede optar
por mantener el procesamiento tecnológico dentro de su propia organización y desarro-
llar controles generales sobre las actividades para gestionar los riesgos tecnológicos
asociados. Tanto una alternativa como otra pueden ser correctas o incorrectas en fun-
ción de la organización, dado que ambas alternativas pueden resultar eficaces para ges-
tionar los riesgos tecnológicos. Pero en caso de que una respuesta ante el riesgo derive
en un riesgo residual que supere los niveles de tolerancia al riesgo para alguna categoría
de objetivos, la dirección deberá volver a analizar y revisar dicha respuesta.

Una vez que la dirección haya optado por reducir o compadir un riesgo, podrá determi-
nar las medidas a adoptar para dar respuesta a dicho riesgo y seleccionar y desarrollar
las actividades de control relacionadas. La naturalezay el grado de dicha respuesta así
como las actividades de control relacionadas dependerán, al menos en pafte, del nivel
deseado de mitigación del riesgo (que es el punto que se analiza en el Capítulo 7). En al-
gunos casos, la dirección podrá seleccionar una respuesta que requiera la adopción de
medidas dentro de otro componente del control interno, por ejemplo, ampliando o mejo-
rando una par.te del entorno de control.

Por lo general, las actividades de control no son necesarias cuando una organización
opta por aceptar o bien evitar un riesgo específico. Por ejemplo, una organización mi-
nera que tenga un riesgo significativo ante los precios de las materias primas podrá de-
cidir aceptar el riesgo, al considerar que los inversores son conscientes de dicho riesgo
y lo aceptan. En este caso, la dirección no llevarÍa a cabo ninguna actividad de control
en relación con su exposición al riesgo por el precio de las materias primas, pero proba-
blemente implementaría actividades de control relacionadas con otras afirmaciones
contables que se efectúen en los informes financieros externos, incluidas cuestiones de
integridad y valoración. Sin embargo, puede que existan casos en los que una organiza-
ción decida evitar un riesgo, y opte por desarrollar actividades de control a fin de evitar
dicho riesgo. Por ejemplo, para evitar preocupaciones sobre posibles prácticas anticom-
petitivas, una organización podría implementar actividades de control que impidan la
compra de productos a determinadas organizaciones. De igual manera, la dirección
puede que tenga que revisar el nivel de riesgo a la vista de los cambios que puedan pro-
ducirse y hacer que la aceptación de un riesgo deje de ser deseable gara la organiza-
ción, por ejemplo si dicho riesgo supera la tolerancia establecida por la organización.
Cuando la dirección opte por no evaluar un riesgo o no identifique un riesgo, esto será
equivalente a aceptar el riesgo sin tener en cuenta posibles cambios en el nivel de riesgo
relacionado o si dicho riesgo sigue situándose dentro de la tolerancia al riesgo de la or-
ganización.

BB ,§ ll crrtrc lnterfo - tfar(o lntegrad0 ' l'layo 201l

 !-:,:;*?*ttt¡tt:,;iitiit::tir+i iiiir:í;1f i l!.iiriii;l:§i¡ Ji iiit:iil-;i

:]*1i--.1¡l t"d ,*i

ffi
§
§frr
La organización considera la probabilidad de
;:,.;*.-..-r.--;
: ;::! :L-¡:;7
*
*:
l*
si fraude al evaluar los riesgos para la consecución de los
#
ñ objetivos
§t

i:
jl,; ::. * * l': i; ¡¡ * :,
l-' :."J I t"

Los siguientes puntos de interés ponen de manifiesto una serie de imporlantes caracte-
rísticas relativas a este principio:

. 'i:q:t+ f¡": l-.:;.1r1* ¡j¡Sl¡nir:; i.;ai*:; i:É .:1..t,-:¡,j'l La evaluaCión del fraUde tiene en
-
cuenta posibles informaciones fraudulentas, pérdida de activos y casos de corrup-
ción que se deriven de las distintas maneras en que se pueden producir casos de
fraude y conductas irregulares.

r [:vr:iil* :*s irtrl*r;il:',;:* ;; i;:e ¡:r*ti,:ri:::r

- La evaluación del riesgo de fraude tiene en
cuenta los incentivos y las presiones.

e La evaluación del riesgo de fraude tendrá en cuenta

1i¡n:r-;:; !*:: +f-:;:'¡l:-¡r':it¡i1,,:i¡¡r:
-
oportunidades de adquisiciones, uso o venta de activos no autorizados, alteración
de registros contables de la organización o realización de otros actos irregulares.

. fv::.i;-¡* i;:: i;.¡-:i:l:'.rr..li-'-' . " . . i. ..:i' . ,' -La

evaluación del riesgo de fraude tiene en
cuenta cómo la dirección y otros miembros del personal, podrían verse moiivados a
parlicipar o justificar actuaciones irregulares.

'j-:
l,:e¡* i:,t' i:'*u,-jt
La evaluación de riesgos incluye, la valoración por parte de la dirección de los riesgos
relativos a la información fraudulentay ala protección de los activos de Ia organización.
De igual manera, la dirección tiene en cuenta posibles actos de corrupción, tanto por
parte del personal de la organización como de proveedores de servicios externalizados
que impacten directamente en la capacidad de la organización para lograr sus objetivos.

Las medidas que se pueden llevar a cabo como parte de la aplicación de este principio
guardan una estrecha relación con el principio anterior ("ldentifica y analiza el riesgo"),
que evalúa los riesgos en base a la hipótesis de que las normas de conducta ética que
se esperan de la organización serán cumplidas por la dirección, por el resto del personal
y por los proveedores de servicios externalizados. Este principio, "Evalúa el riesgo de
fraude", evalúa el riesgo en un contexto diferente, cuando las medidas de un individuo
pueden no estar alineadas con las normas de conducta que se esperan del mismo. La
dirección podrá además tener en cuenta el punto de atención referente al principio ante-
rior "ldentificay analiza el riesgo" a la hora de desarrollar, implementar y llevar a cabo el
control interno. Por ejemplo, las respuestas dadas a los riesgos identificados como parte
de este principio, se enmarcan dentro de las mismas categorías indicadas anteriormente
(aceptar, evitar, reducir y compartir). De igual manera, tal y como se ha indicado anterior-

,
(0ntr0l lnterno - l,Iarro lntegrado l,layo 2013 rr'
ffi ffi II B9
 mente, la selección y el desarrollo de controles adoptados por la dirección para llevar a
cabo respuestas ante riesgos específicos, resulta esencial para mitigar los riesgos de
fraude.

! n {a r rn a c ion &;:udr"¡ien fa
La información fraudulenta puede producirse cuando los informes de una organización
se elaboran de manera premeditada con omisiones o errores. Estos eventos pueden pro-
ducirse a través de gastos o cobros no autorizados, irregularidades financieras y cual-
quier otro tipo de conducta irregular en la divulgación de información. Un sistema de
control interno sobre la información financiera está diseñado y se ejecutapara evitar o
detectar, de manera opoftuna, una omisión o error material en los estados financieros
debido a un error o a un fraude.

Cuando se evalúan los riesgos para la consecución de los objetivos de información fi-
nanciera, las organizaciones suelen tener en cuenta el potencial de fraude existente en
los siguientes ámbitos:
. lnformación financiera fraudulenta Un acto intencionado dirigido a engañar a los
-
usuarios de los informes financieros externos y que puede dar como resultado un
error u omisión material en dichos informes financieros.

. lnformación no financiera fraudulenta

- Un acto intencionado dirigido a engañar a
los usuarios de la información no financiera, incluidos los informes de sostenibili-
dad, de salud y seguridad, o de actividad laboral, y que puede dar como resultado
unos informes con un nivel de precisión inferior al previsto.

. Apropiación indebida de activos El robo de los activos o bienes de la organiza-

ción cuando el efecto resultante
-
pueda ocasionar una omisión o error material en
los informes financieros externos.

¡ Acfos ilícitos
- lncumplimiento de leyes o regulaciones públicas que podrían tener
un impacto material directo o indirecto en los informes financieros externos.

Como parte del proceso de evaluación de riesgos ,la organización deberá identificar las
distintas maneras en las que puede producirse la información fraudulenta, teniendo en
cuenta:
o La imparcialidad mostrada por la dirección, por ejemplo, a la hora de seleccionar los
principios contables.

. El alcance de las estimaciones y juicios de valor adoptados conforme al criterio pro-

fesional en la información externa.

. Los escenarios y métodos de fraude habituales en los mercados y sectores en los

que opera la organización.

. Las regiones geográficas en las que opere Ia organización.

. Los incentivos que puedan motivar comportamientos fraudulentos.

. La naturaleza de la tecnologíay la capacidad de la dirección para manipular Ia infor-

mación.

(ontrollnterno-l'aarcolntesrado .
90
ffi §§lI [4ay0201]
 i.'¡ *z* t;i:*.-:;',t : 4 *i i+ I ¿i! lii, 111 2t, 1,

Transacciones poco habituales o complejas que estén sujetas a una significativa in-
fluencia de la dirección.

. Vulnerabilidad ante la potencial elusión de controles por parte de la dirección y po-

tenciales tramas para evitar las actividades de control existentes.

Puede que existan casos en los que la organización no sea capaz de gestionar directa-
mente la información capturada en el marco de la información financiera, y sin embargo
se espera de ella que disponga de controles dentro de la organización que identifiquen,
analicen y respondan ante ese riesgo en parlicular. Por ejemplo, la dirección de un pro-
veedor de software puede que no tenga capacidad para evitar que el personal de uno de
sus clientes online manipule las cifras de ventas registradas para reducir el importe que
deba pagar al proveedor de software. Sin embargo, la compañía de software podrá im-
plementar actividades de control para detectar este tipo de información fraudulenta al
comparar los niveles de registro de software nuevo con los volÚmenes de ventas.

De igual manera, los riesgos relativos al registro completo y preciso de las pérdidas de
activos en los estados financieros de la organización representan un objetivo de informa-
ción. En relación con los objetivos de información financiera, pueden surgir omisiones o
errores por el hecho de no haber registrado la pérdida de activos, por la manipulación de
los estados financieros para ocultar dichas pérdidas o por el registro de transacciones
fuera del período correspondiente. Por ejemplo, una organización puede mantener abier-
tos sus libros contables durante un período de tiempo posterior al cierre del ejercicio
para incluir en ese período ventas adicionales, o contabilizar de manera ilícita traspasos
de existencias entre organizaciones de un mismo grupo, o manipular la amortización de
sus activos de capital.

La protección de los activos hace referencia a la salvaguarda de bienes y activos frente a

posibles compras, usos o ventas no autorizadas o premeditadas de dichos bienes y acti-
vos. El uso inapropiado de los activos de una organización se produce para beneficiar a
un individuo o a un grupo de individuos. La realización de compras, el uso y la venta no
autorizados de bienes y activos pueden hacer referencia a actividades tales como la co-
mercialización ilegal de productos, el robo de activos, así como el robo de la propiedad
intelectual, la negociación con valores fuera del horario permitido y el blanqueo de capi-
tales.

La protección de activos normalmente hace referencia a objetivos operacionales, aun-

que determinados aspectos pueden relacionarse con otras categorías de objetivos. En
términos de operaciones, la dirección puede tener en cuenta el uso inapropiado de los
activos de la organización y de otros recursos incluida la propiedad intelectual y la pre-
vención de pérdidas derivadas de robos, despilfarro de activos o negligencias. De igual
manera, una organización también puede perder valor en sus activos a través de la inefi-
ciencia provocada por la adopción de malas decisiones de negocio -como pueda ser Ia
venta de un producto a un precio demasiado bajo o la concesión de un crédito a clientes
morosos. Estas situaciones hacen referencia a los objetivos operacionales pero no están
directamenie relacionados con la protección de los activos.

(ontrol nterno - l'4arco lntegrado . l4ay0 20ll ; §§ I

Cuando sean de aplicación determinados requisitos legales o regulatorios, la dirección
deberá tener en cuenta los riesgos relativos a la protección de los activos en relación
con los obletivos de cumplimiento. Por ejemplo, una organización podrá elaborar inten-
cionadamente información inexacta dirigida a los reguladores para evitar determinadas
sanciones o inspecciones.

Con independencia del objetivo que pueda verse afectado por dicha actuación, la res-
ponsabilidad por la prevención de pérdidas y por los procedimientos y políticas anti-
fraude seguirá recayendo en la dirección de la organización y de las unidades de
negocio en las que resida al riesgo.

Además de evaluar los riesgos relativos a la protección de activos y de la información

fraudulenta, la dirección deberá tener en cuenta posibles casos de corrupción que se
produzcan dentro de la organización. La corrupción, normalmente hace referenciaala
categoria de objetivos de cumplimiento pero, sin duda alguna, también podría influir en
el entorno de control que también afecta a los objetivos de información financiera ex-
terna de la organización. De este modo, deberán tenerse en cuenta los incentivos y pre-
siones para conseguir objetivos, al tiempo que se deberá demostrar el cumplimiento de
las normas de conducta que se esperan de la organización y su efecto en el entorno de
control, especialmente las medidas relacionadas con el Principio 4 (Demuestra compro-
miso con la competencia de sus profesionales) y Principio 5 (Aplica la responsabilidad
por la rendición de cuentas). Los aspectos de la corrupción que se tienen en cuenta en
el contexto de la información financiera externa, suelen hacer referencia a actuaciones
irregulares contempladas en las leyes pertinentes y relevantes a dicha actividad.

A la hora de evaluar un posible caso de corrupción, no se espera que la organización

gestione directamente las actuaciones llevadas a cabo por el personal de organizaciones
externas, incluidas aquellas relacionadas con actividades externalizadas, clientes, prove-
edores o asesores. Sin embargo, dependiendo del nivel de riesgo en el marco de este
componente, la dirección podrá estipular el nivel esperado de desempeño y las normas
de conducta aplicables a través de relaciones contractuales, y desarrollará actividades
de control que mantengan Ia supervisión de las medidas llevadas a cabo por dichas ter-
ceras partes externas. En caso necesario, la dirección responderá ante actividades
inusuales detectadas en otras organizaciones externas.

La elusión de controles por parte de la dirección, hace referencia a aquellas actuacio-

nes llevadas a cabo con fines ilícitos para eludir los controles de la organización, inclui-
dos fines tales como el lucro personal o el aumento de los resultados económicos
presentados por la organización o de su nivel de cumplimiento. Por ejemplo, con el fin
de permitir la venta de una gran cantidad de productos a un cliente con un rating de cré-
dito inaceptable y poder así incrementar las ventas, un directivo podría anular ilícita-
mente el control interno autorizando esta venta, a pesar de haber sido detenida por un
supervisor que hubiera llevado un adecuado control de dicha transacción. Las medidas

i §§ I crrt.r nterrlo lv1arco Intesrado , ¡44y0 2013

 {r¡fi¡}úneiiie$ ee¡ i*I}tr$l iiiterfiü i lva{*aridn de liies¿¡{is

que se pueden adoptar para anular estos controles no se suelen documentar ni revelar,
dado que su propósito es precisamente la de encubrir determinadas actuaciones.

La elusión de controles por parte de la dirección no debe confundirse con la intervención

por parte de Ia dirección, lo cual representa aquellas actuaciones que se desvíen de los
controles diseñados con fines legítimos. En ocasiones, la intervención por parte de la di-
rección resulta necesaria para abordar determinadas transacciones no recurrentes y
poco habituales o eventos similares que de lo contrario podrían ser abordados de ma-
nera inadecuada. La intervención por pafte de la dirección, por tanto, es necesaria por-
que no pueden diseñarse controles para anticipar y mitigar cada riesgo posible. Las
medidas adoptadas por la dirección para intervenir suelen ser transparentes y suelen
estar bien documentadas o bien se suelen comunicar al personal correspondiente.

Como parte de la evaluación del riesgo de fraude, la dirección evaluará el riesgo de elu-
sión del control interno por pañe de la dirección. El consejo de administración o cual-
quier otro comité dependiente del mismo (por ejemplo, el comité de auditoría)
supervisará esta evaluación y cuestio nará a la dirección en función de las circunstancias.
El entorno de control de la organización puede influir significativamente en el riesgo de
elusión de controles por pafie de la dirección. Esto es especialmente importante en el
caso de las organizaciones de menor tamaño, en las que la alta dirección puede partici-
par de manera muy activa en el desarrollo e implementación de múltiples controles.

F*ct*res qLie áf*ttñr"t ñ¡ riesü* d* irauele

lnce,n fivos,y {ir€s1cf; 8s

Evaluar el riesgo de fraude incluye tener en cuenta aquellas oportunidades que existan
para cometer actos de fraude, así como las actitudes y justificaciones relacionadas.
Cuando se producen casos de pérdida de activos, informaciones fraudulentas o corrup-
ción, suelen existir incentivos y presiones, oportunidades para acceder a dichos activos
y actitudes y justificaciones que tratan de razonar las actuaciones realizadas. Los incen-
tivos y presiones, a menudo se derivan y guardan relación con el entorno de control, tal y
como se analiza en el Principio 5 (Hace cumplir la responsabilidad por la rendición de
cuentas). Como pafte de la evaluación del riesgo de fraude, la organización deberá tener
en cuenta posibles incentivos y presiones y el impacto potencial que puedan tener en el
riesgo de fraude.

dlpcrf¿-¡,q¡da#

Se entiende por oportunidad la capacidad de adquirir, ulilizar o vender bienes o activos,

lo cual puede venir acompañado de la alteración de los registros contables de la organi-
zación. Aquellos individuos que participan en estas actuaciones irregulares suelen creer
que sus actividades no serán detectadas. Las opoftunidades surgen como resultado de
unas débiles actividades de control y actividades de supervisión, por una deficiente vigi-
lancia por parle de la dirección y por la elusión de los controles por pafte de la misma.

. :,
(6ntr¡l lntern¡ - l,lar(o lnteqrado [1ay0 2013
ffi § II 93
 Por ejemplo, la probabilidad de que se produzca una pérdida de activos o una informa-
ción externa fraudulenta aumenta cuando existe:

U na estructu r a organizacional com pleja o inestable.

una elevada rotación de empleados en los equipos de contabilidad, operaciones,

gestión de riesgos, auditoría interna o personal tecnológico.

Un diseño poco efectivo o una ejecución deficiente de las actividades de control.

Unos sistemas tecnológicos poco efectivos.

,4 ;llf u#*s j,¡ -ti;sfifir*r¡*¡:*s

Las actitudes y justificaciones llevadas a cabo por los individuos que participan o tratan
de justificar determinadas actuaciones irregulares pueden incluir las siguientes:

Un individuo etiqueta el uso de determinados recursos como "disposición de prés-

tamo" y tiene total intención de devolver el dinero robado.

Una persona considera que la organización le debe algo como resultado de su ele-
vada insatisfacción profesional (salario, entorno de trabajo, trato por parte de sus
jefes, etc.).

Una persona no comprende o no le importan las consecuencias de sus propias ac-

tuaciones o de las nociones aceptadas de conceptos tales como decencia y con-
fianza.

*ircs #$p*et*s * {*nsid*r*r en !* *v*lu*ci*n ei*l ricc** de

f r*uie

Es posible mitigar Ia probabilidad de que un riesgo relacionado con el fraude mediante la

adopción de medidas dentro de otros componentes del control interno o realizando
cambios en las unidades operativas, procesos de negocio y actividades de la organiza-
ción. Una organización puede optar por vender determinados servicios que sean pro-
pensos a incorporar unos elevados riesgos en relación con conducias individuales; dejar
de operar en determinadas ubicaciones geográficas; reasignar cargos entre los miem-
bros de su personal para aumentar la segregación de funciones; o reorganizar sus pro-
cesos de negocio para evitar riesgos inaceptables. Por ejemplo, el riesgo de apropiación
indebida de fondos podría reducirse al implementar un equipo de procesamiento cen-
tralizado de pagos en el que exista una mayor segregación de funciones en lugar de
asignar dichas responsabilidades a un número limitado de individuos que se encarguen
de procesar los pagos en cada una de las oficinas de la organización. EI riesgo de co-
rrupción también puede reducirse mediante un seguimiento más estrecho del proceso
de compras y abastecimiento de la organización. El riesgo de fraude en los estados fi-
nancieros podría reducirse creando una serie de centros de servicios comparlidos que
proporcionen servicios de contabilidad a múltiples segmentos, filiales o ubicaciones
geográficas de las operaciones de una organización. Un centro de servicios compartidos

.
94
ffi ffi § tI [ontrol lnterno-lvlar(o lntesrado ]v1ay02013
 {*mpeneniÉs del {sntro! ¡liics1o i Evaluarión de Riesgos

y
podrá ser menos vulnerable ante la influencia de directivos de operaciones locales
número de programas
podrá implementar de manera más eficiente en costos un mayor
de prevención del fraude'

Cuando la dirección detecte casos de información fraudulenta, protección

inadecuada
medidas de resolución al res-
de activos o corrupción, será necesario que se adopten
puede
pecto. Además de abordar directamente las actuaciones irregulares detectadas,
o
que sea necesario adoptar soluciones dentro del proceso de evaluación de riesgos
en el marco de otros componentes del con-
cambiar determinadas medidas adoptadas
trol interno.

95
Control lnterno-l'larcolntesrado'r'lrvrZOrl §§§tf
 14*ric I Éiltcrn* de {0nlrü} " lsalua{idfi de É!ers*! " Á*iHid*dss de {únirül ' ¡nf0rfi};lii*fi trr {rffitJ'1;i*{!*!} " A{fidid;rd*s de 5üÉeír,isió*

ident;fic* y ffinmlízm E*s emrrtbi*s sign¡fieetiv*s

Fnincipic S: La organización identifica y evalúa los cambios
ffi
que podr ían afectar significativamente al sistema de control
interno.

,r}ur:t*s de lnterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

o üual** l*s *ami:i*s ** *i e¡:t*rn* üx?*rft* El proceso de identificación de ries-

-
gos tiene en cuenta los cambios que se producen en el entorno regulatorio, econó-
mico y físico en el que opera la organización.

¡ *§ r¡;*d*l* #* r-l*g**i*
ñv*itia l*s *a¡'s:hi*s *n La organización tiene en cuenta
los impactos potenciales en las nuevas líneas de negocio, Ios grandes cambios
-
efectuados en las líneas de negocio existentes, Ias operaciones de negocio adquiri-
das o vendidas relativas al sistema de control interno, el rápido crecimiento, los
grandes cambios con respecto a la dependencia de una organización de distintas
geografías extranjeras y de nuevas tecnologías.

. *r,*i*a s*m*iü§ ** Éa alt* t!!¡'e**i*r: La organización tiene en cuenta los cambios

-
en la dirección y las respectivas actitudes y filosofías con respecto al sistema de
control interno.

§v*!i¡**i*n d* e**rL":i*s
A medida que cambian el entorno económico, regulatorio y sectorial, el alcance y la na-
luraleza de la dirección de la organización, sus prioridades, el modelo de negocio, la or-
ganización, los procesos de negocio y las actividades necesarias deben adaptarse y
evolucionar. El control interno efectivo conforme a una serie de condiciones no tiene por
qué ser efectivo cuando dichas condiciones cambien significativamente. Como parte de
la evaluación de riesgos, la dirección identifica los cambios que podrían impactar signifi-
cativamente en el sistema de control interno de la organización y adopta medidas
cuando sea necesario. De este modo, cada organización exigirá un proceso para identifi-
car y evaluar dichos factores internos y externos que puedan afectar de manera signifi-
cativa a su capacidad para lograr sus objetivos.

Este proceso se desarrollará en paralelo al proceso regular de evaluación de riesgos, o

bien formará parte del mismo. Esto implica identificar los cambios que se produzcan en
cualquier situación o hipótesis significativa. Para ello, es necesario disponer de controles
para identificar y comunicar los cambios que puedan afectar a los objetivos de la organi-
zación y evaluar los riesgos asociados. Dicho análisis incluye identificar las causas po-
tenciales de la consecución o no consecución de un objetivo, evaluando la probabilidad
de que dichas causas se produzcan, evaluando el efecto probable de la consecución de
los objetivos y teniendo en cuenta hasta qué punto se puede gestionar dicho riesgo.

.
96
ffi ffi § !| contror lnterno-l,larcolntesrado l'4ayo20ll
 Isfl¡",rÍe{iÉr del {0nlro! interno t tvaiu*cion ue Piesgol

Aunque el proceso por el cual una organización gestiona el cambio es similar a su pro-
ceso regular de evaluación de riesgo (o incluso forma pafte del mismo), dicho proceso
se analiza por separado . La razón de ello es que es imporlante llevar a cabo un control
interno efectivo, dado que podría pasarse por alto o prestarsele poca atención en el día
a día de la organización.

La dirección desarrolla enfoques para identificar cambios significativos en cualquier hi-

pótesis o situación material que pueda haberse producido o que se pueda producir en el
corto plazo. En la medida que sea aplicable, estos mecanismos serán de naturaleza
prospectiva, de manera que una organización pueda anticipar y planificar los cambios
significativos. Deberán implementarse sistemas de alertas tempranas para identificar in-
formación que señale nuevos riegos que puedan tener un impacto significativo en la or-
ganización. La dirección desarrolla e implementa controles relacionados con el
desarrollo de estos enfoques.

Esta atención orientada al cambio se basa en la premisa de que, debido a su potencial

impacto, determinadas condiciones deberían ser objeto de una consideración especial.
La medida en la que dichas condiciones exijan la atención de la dirección dependerá sin
duda, del efecto que puedan tener en las circunstancias particulares.

5J *nfarn¿: exferno
Entorno externo cambiante un entorno económico o regulatorio en continuo
-
cambio puede derivar en un incremento de presiones competitivas, de cambios en
los requisitos operativos y en riesgos significativamente diferentes. Los fallos en
materia de cumplimiento, de información o en operaciones a gran escala por parte
de una organización pueden derivar en la rápida introducción de amplias y nuevas
regulaciones. Por ejemplo, el veftido de materiales dañinos cerca de zonas pobla-
das o sensibles al medio ambiente puede derivar en nuevas restricciones de trans-
porte en todo el sector, las cuales pueden afectar a la logística y al transporle de
una organización; la información externa que se considere que tiene una deficiente
transparencia puede derivar en el aumento de los requisitos de información regula-
toria para todas las organizaciones que cotizan en el mercado de valores; y el trato
deficiente recibido por los pacientes de mayor edad en un hospital puede provocar
que se adopten requisitos adicionales en la atención sanitaria de todos los centros
hospitalarios. Cada uno de estos cambios puede obligar a una organización a que
examine con detenimiento el diseño de su sistema de control interno.

Entorno físico cambiante los desastres naturales que afectan directamente a la

organización,
-
a su cadena de suministro y a otros socios comerciales pueden deri-
var en un aumento de los riesgos que una organización debe tener en cuenta para
sostener su negocio. Por ejemplo, una organización puede que necesite encontrar
fuentes alternativas de materias primas o bien trasladar sus plantas de producción.

&f¿:d*l* rde negcrio

Modelo de negocio cambiante Cuando una organización se introduce en nuevas
líneas de negocio, modifica la
-
prestación de sus servicios a través de nuevas rela-

(ontrollnterno-Mar(olntesrado . l,4ayo2013 ! §§ II
 ciones de externalización o cambia drásticamente la composición de las Iíneas de
negocio existentes, por lo que, Ios controles internos que anteriormente eran efecti-
vos puede que ahora dejen de serlo. Puede que haya cambiado la composición de
los riesgos inicialmente evaluados como la base sobre la que establecer los contro-
les internos, o bien el impacto potencial de dichos riesgos puede haber aumentado
de manera que los controles internos anteriores ahora no sean suficientes. Por
ejemplo, algunas organizaciones de servicios financieros puede que hayan am-
pliado sus productos y su concentración sin analizar previamente cómo responde-
rán a los cambios en los riesgos asociados de sus productos.

Adquisiciones o desrnversiones significativas

- Cuando una organización decide
adquirir operaciones de negocio, puede que deba revisar y estandarizar los contro-
les internos a todos los niveles de la organización. Los controles existentes en las
operaciones anteriores a la adquisición, puede que no estén bien desarrollados, que
no sean adecuados parala nueva organización combinada resultante, o que no
sean escalables para el funcionamiento de estos nuevos negocios. De igual manera,
cuando se venda una operación, puede que varíe el nivel aceptable de variación en
dichas operaciones y la materialidad puede descender. De igual manera, determina-
dos controles a nivel de organización disponibles en la operación de negocio puede
que hayan dejado de estar ahora presentes. Tanto la adquisición como la desinver-
sión de un negocio pueden exigir a laorganización que revise y posiblemente modi-
fique sus controles internos para respaldar la consecución de los objetivos en la
med ida oportuna para la organización reestructurada.

Operaciones en el extranjero La expansión o adquisición de operaciones extran-

-
jeras conlleva a menudo una serie de riesgos nuevos y únicos. El desarrollo del ne-
gocio en nuevas geografías o la externalización de operaciones a oficinas en el
extranjero puede contribuir al crecimiento del negocio y/o a la reducción de costes,
pero también puede presentar nuevos desafíos y modificar el per.fil de riesgos exis-
tente. El hecho de que una organización opere en mercados con los que esté poco
familiarizada representará un riesgo debido a las diferentes costumbres y prácticas
de negocio aplicables. Por ejemplo, el entorno de control en un nuevo entorno es
probable que se vea influenciado por la cultura y las costumbres locales. Los ries-
gos de negocio pueden derivarse de factores únicos a la economía local y al en-
torno regulatorio así como a los canales de comunicación existentes.

Rápido crecimiento Cuando las operaciones crecen de manera significativa y con

-
gran rapidez, las estructuras, procesos de negocio, sistemas de información o re-
cursos existentes pueden verse forzados hasta el punto de que los controles inter-
nos fallen. Por ejemplo, añadir nuevos turnos de fabricación para satisfacer la
demanda o incrementar el personal de back office puede dar como resultado que
los responsables de la supervisión no sean capaces de adaptarse a los mayores ni-
veles de actividad y mantener un control adecuado.

/Vuevas tecnologías Cuando se incorporen las nuevas tecnologías a los sistemas

de producción,
-
a los procesos de prestación de servicios o a la información de res-
paldo, los controles internos probablemente deberán ser modificados. Por ejemplo,
la introducción de nuevas capacidades de ventas a través de dispositivos móviles
puede exigir controles de acceso específicos para dicha tecnología así como cam-
bios en los controles con respecto a los procesos de mercancÍas.

¡ (ontrollnterno-l"larcolntesraclo .
98
; §ll l4ayo2013
 icfiipsne,ites dr! (e¡lhsi intern$ I [vai*aiidn de Hiesgos

ü*rxbios En i* dlreeción
Cambios en los Miembros Principales del Personal Un miembro nuevo de la alta direc-
-
ción de la organización puede que no comprenda la cultura de la organización y refleje
una filosofía diferente, o bien pueda centrarse únicamente en los resultados conseguidos
en detrimento de las actividades de control relacionadas. Por ejemplo, un nuevo CEO
que se centre fundamentalmente en el crecimiento de los ingresos podría enviar al resto
de la dirección el mensaje de que el nivel de atención anteriormente dedicado al
desarrollo efectivo del control interno ahora tiene una importancia menor. De igual ma-
nera, una elevada rotación del personal, acompañada de una evidente ausencia de for-
mación eficazy supervisión, puede derivar en fallos significativos en el funcionamiento
de la organización. Por ejemplo, una organización que reduzca el número de empleados
en un 25%o para tratar de reducir costes puede provocar que se erosione la estructura
general del control interno de la misma.

f,frvrzOf § q9
(ontrol lnterno- Flarcolntegrado,
ffi § II
 &l¡rr$ ; [fitÉrl}e ri§ {siitr*! " E?¡iusr¡4il de É¡*s!*$ . A¿ti!¡dades de [0ntr0l ' iiif*tí]i*i;dii Y {*$it!§i{aiiiñ ' Áitividades #t §*pervisiún

lntroducc¡ón
Las actividades de control sirven como
mecanismos para gestionar la conse-
cución de los objetivos de una organi-
zación y forman parte integral de los
procesos que permiten a una organi-
zación esforzarse por conseguir di-
chos objetivos. Las actividades de
control deben tener una finalidad es-
pecífica, por lo que deberá evitarse
implementar este tipo de actividades
simplemente porque hay que hacerlo o
porque todo el mundo lo hace.

Las actividades de control pueden re-

forzar uno o más objetivos operacionales, de información y de cumplimiento de la orga-
nización. Por ejemplo, los controles llevados a cabo por una tienda online con respecto a
la seguridad de tecnologías de información afectará al procesamiento de las transaccio-
nes precisas y válidas con sus consumidores, así como a la protección de la información
confidencial relativa a las tarjetas de crédito de sus clientes y a Ia disponibilidad y segu-
ridad de su sitio web. En este caso, Ias actividades de control son necesarias para res-
paldar la consecución de los objetivos de información, de cumplimiento y operativos.

§elece ionñ y desarnol§a actlvidadcs de contnol

§ Rrincipio 1O: La organización define y desarrolla actividades

que contribuyen a la mitigación de los riesgos
! Oe control
n':l? p::: la consecución de los objetivos.
t r:":§: :::PI:b§:
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

o §e integra eon la evaluación t3e riesgos

- Las actividades de control contribuyen
a garantizar que las respuestas dadas para abordar y mitigar riesgos específicos se
llevan a cabo de manera eficaz.

. Tiene en cuenta fact*res específicos de la organizacién en cuestión

- La direc-
ción tendrá en cuenta cómo afectan a la selección y al desarrollo de las actividades
de control factores tales como el entorno, la complejidad, la naturalezay el alcance
de sus operaciones así como las características específicas de su organización.

(ontrol Interno l'larco lntesrado ,

r02 ffi §§ II I'4ayo 2011
 i.r:fri:r:**f,t"*¡ i¿i {-*;:i,í ii itli(:t i:,;: I lÍÍ';ld¡ri¡i lt {*til*i
ffi
pr***s*x ** n*,p**i* t*i*?*nte§ La dirección determina qué pro-
**:'rc¡rn:ir':* !*:;
-
cesos de negocio relevantes requieren la implementación de actividades de con-
trol.

*v*iu* *ixl¡r1*¡; iiñi)* *e e,;tii¡i*'*d** ** ***tr*i

- Entre las actividades de control
se incluyen una amplia variedad de controles, entre los cuales se puede aplicar un
equilibrio de enfoques y metodologías para mitigar los riesgos, teniendo en cuenta
tanto controles manuales como automatizados y controles preventivos y de detec-
ción.

li*¡:* ***¡-r*nta a i;,;* *ivel ;* xp!i*** i¡;* *.etivi**d*s

- La dirección tiene en
cuenta las actividades de control a los distintos niveles de la organización.

Ai:*s';iil la s*gr**;a*l*r d* i;¡*;!*rre§

- La dirección distribuye aquellas responsa-
bilidades que sean incompatibles y en caso de que no sea práctico llevar a cabo
una segregación de funciones, la dirección selecciona y desarrolla actividades de
control alternativas.

ir:1"*;r*;i*u i'il'1 ia *t*ir,;¡lli--.t ** .il.- -'-)'r

Las actividades de control soporlan todos los componentes de control interno, pero se
encuentran especialmente alineadas con el componente de evaluación de riesgos. Junto
con la evaluación de riesgos, la dirección identificará y pondrá en marcha las acciones
necesarias para llevar a cabo respuestas ante riesgos específicos. Por Io general, las ac-
tividades de control no son necesarias cuando una organización opta por aceptar o bien
evitar un riesgo específico. Sin embargo, puede que existan casos en los que una orga-
nización decida evitar un riesgo y opte por desarrollar actividades de control con el fin
de evitar dicho riesgo. Las medidas para reducir o compafiir un riesgo servirán como
punto de atención para seleccionar y desarrollar actividades de control. La naturaleza y
el grado de dicha respuesta así como las actividades de control relacionadas depende-
rán, al menos en parle, del nivel deseado de mitigación del riesgo aceptable para la di-
rección.

Las actividades de control son aquellas acciones que contribuyen a garantizar que las
respuestas dadas a los riesgos evaluados, así como otras acciones de la dlrección,
como pueda ser el establecimiento de normas de conducta en el entorno de control, se
llevan a cabo de forma adecuada y en el momento opoftuno. Por ejemplo, supongamos
que una organización establece como objetivo operativo "cumplir o superar los objetivos
de ventas durante el siguiente ejercicio contable" y la dirección identifica el riesgo de
que el personal de la organización tenga conocimientos insuficientes sobre las necesida-
des actuales y potenciales de los clientes. La respuesta de dirección para abordar este
riesgo identificado incluirá el desarrollo de argumentos de compra convincentes para los
clientes existentes y la realización de estudios de mercad o para que la organización in-
cremente su comprensión sobre cómo atraer a potenciales clientes. Las actividades de
control podrían incluir el seguimiento del desarrollo de estos argumentos de compra con
respecto a un calendario establecido y la adopción de medidas para garantizar la cali-
dad de los datos de marketing presentados.

[ontrol nterno - . 20]3

1,1arc0 lntegrado l,4ay0
§ ffi II 103
 firl i íri.:i*+ íi* í"tilli*ui ' i!.ii::.:1.i¿!!;ll¿: il*:r¿s' Lal:r¡a.¡;dt! aa i-:-:li!ac:

Érr; lr: lr: :; i:.iil il ali-r a ":: r a ¡ a j

; !.t j': f §:-

A la hora de determinar qué medidas a adoptar para mitigar un riesgo, la dirección de-
berá tener en cuenta todos los aspectos de los componentes del control interno
de la or-
ganizacióny los procesos de negocio relevantes, las tecnologías de información y los
puede exigir que
emplazamientos en los que se necesitan actividades de control' Esto
se tengan en cuenta actividades de control más allá de la unidad operativa,
incluidos por
y procesos o funciones llevadas a
ejemplo los centros de datos o servicios compartidos
que sea necesa-
cabo por proveedores de servicios externalizados. Por ejemplo, puede
rio que las organizaciones establezcan actividades de control para abordar Ia integridad
de la información remitida y recibida de los proveedores de servicios externalizados.

I*r:ti:r,.:: *Ii:';i:i l. ,'- . . ; ri3üa!{}il

Dado que cada organización tiene un conjunto específico de objetivos y de metodolo-

gías de implementación, existirán diferencias en los objetivos, riesgos, respuestas ante
que dos or-
dichos riesgos y actividades de control relacionadas. lncluso en el caso de
ganizaciones cuenten con estructuras y objetivos idénticos, sus actividades de control
que
podrían ser diferentes. Cada organización está gesiionada por individuos diferentes,
habilidades distintas, y utilizan su criterio profesional de forma específica a la hora
tienen
y
de llevar a cabo el control interno. De igual manera, los controles reflejan el entorno el
su
sector en el que opera una organización, así como la complejidad de su organización,
trayectoria histórica, y su cultura, naturaleza y alcance de sus operaciones.

Los factores específicos de cada organización pueden afectar a las actividades de con-
trol necesarias para respaldar el sistema de control interno. Por ejemplo:

. y
El entorno y la complejidad de una organización, así como la naturaleza el alcance
de sus operaciones, tanto física como lógicamente, afectan a sus actividades de
control.

. Las organizaciones que están altamente reguladas suelen tener por lo general unas
actividades de control y unas respuestas ante los riesgos más complejas que las or-
ganizaciones que disponen de una menor regulación'

. El alcance y la naturaleza de las respuestas dadas a los riesgos y de las actividades

de control en el caso de las organizaciones multinacionales con una amplia gama
de operaciones abordan generalmente una estructura de control interno más com-
pleja que en el caso de las organizaciones nacionales con actividades menos varia-
das.

. Una organización que disponga de un sistema ERP (planificación de recursos cor-

porativos) sofisticado tendrá unas actividades de control diferentes a las de una or-
ganización que utilice el sistema contable proporcionado por un software comercial.

. De igual manera, una organización con unas operaciones descentralizadas

y un
mayor énfasis en la innovación y autonomía locales presentará unas circunstancias
de control diferentes a las que pueda presentar una organización cuyas operaciones
sean constantes y altamente centralizadas.

[ontrollnterno l'4ar(0lntesrado'
104 §§!l lv1avo7013
 ii:i;:iüliqi;ir:,jti l.ijúiir.i i;l!*:iti: ; ¡,;i:rli¡rtj,: ti i.*ttf¡:

I ., , "-: : ",. i
-...: ., -: . ,.

Los procesos de negocio se establecen a todos los niveles de la organización para per-
mitir que la organización pueda lograr sus objetivos. Estos procesos de negocio pueden
ser comunes a todas las organizaciones (como es el caso del procesamiento de com-
pras, cuentas a pagar o ventas) o bien podrán ser exclusivas de un sector en particular
(como puedan ser el procesamiento de siniestros de una organización aseguradora, los
servicios fiduciarios en una organización financiera o las operaciones de perforación de
una compañíia petrolera). Cada uno de estos procesos transforma unos insumos en
unos productos mediante una serie de transacciones o actividadesla. Las actividades de
control que respaldan directamente las actuaciones para mitigar los riesgos del procesa-
miento de transacciones en los procesos de negocio de una organización a menudo se
denominan "controles de aplicaciones" o "controles de transacciones".ls

Los controles de transacciones son las actividades de control más fundamentales de

una organización ya que abordan directamente las respuestas dadas ante determinados
riesgos en los procesos de negocio establecidos para cumplir los objetivos de la direc-
ción. Los controles de transacciones se seleccionan y se desarrollan en aquellos ámbi-
tos donde puedan encontrarse los procesos de negocio, desde el proceso de
consolidación financiera de la organización a nivel de organización hasta el proceso de
atención al cliente en una unidad operativa específica.

Es probable que un proceso de negocio abarque múltiples objetivos y subobjetivos,

cada uno de los cuales tendrá su propio conjunto de riesgos y respuestas ante dichos
riesgos. Una forma habitual de consolidar estos riesgos de procesos de negocio en un
modelo más gestionable consiste en agruparlos conforme a los objetivosl6 del procesa-
miento de la información de la integridad, precisión y validez.

A continuación incluimos las definiciones de objetivos de procesamiento de la informa-

ción que se utilizan en el presenle Marco.17

. lntegridad Las transacciones que se producen son registradas. Por ejemplo, una
-
organización puede mitigar el riesgo de no procesar todas las transacciones de-
sarrolladas con proveedores seleccionando medidas y controles de transacciones
que respalden todas las transacciones de facturación que se procesan dentro del
proceso de negocio de cuentas a pagar.

14. El término "transacciones" suele asocrarse con los procesos financieros (por ejemplo, transacciones de
cuentas a pagar), mrentras que el término "actividades" se sue e aplicar más a procesos operativos o de
cump imiento. A os efectos del presente Marco, el término "transacciones" es ap icable a ambos.

I5, El término "controles de transacciones" se utiliza ea el Marco para hacer referencla tanto a controles ma
nuales como automatizados.

16. Si bien están relacionados en concepto y terminología, los obletivos de procesamiento de la rnformación y
las af rmaciones contables en los estados financieros son difere¡tes. Las afirmaciones contables en os
estados financieros hacen referencia específica a la fiabilidad de la nformación frnanciera, mientras que
os objetivos de procesamiento de información son ap icab es a procesamiento de las transacciones.

17. Los objet vos de procesamiento de informac ón hacen referencia a as metas de las actividades de control
de la organización y de este modo son sus objetivos en el contexto de un sistema de control interno,

[ontrol nterno - [4drc0 Inteqrado . l¡ayo 20]J * § § I 105

'ffi
'ffi
. Exactitud Las transacciones se registran conforme al impofte correcto en la
-
cuenta adecuada (y en el momento oporluno) en cada una de las fases del procesa-
miento. Por ejemplo, los controles de transacciones sobre elementos de datos y
datos maestros, tales como los precios unitarios en el archivo maestro del provee-
dor, pueden manejar la precisión del procesamiento de las transacciones de com-
pras. La precisión en el contexto de un proceso operativo se puede definir para que
abarque un mayor concepto de calidad (por ejemplo, la precisión y la exactitud de
una pieza fabricada).

. que se
Validez
- Las transacciones registradas representan eventos económicos
han producido en la realidad y que se han ejecutado de acuerdo con los procedi-
mientos establecidos. La validez generalmente se consigue a través de las activida-
des de control que incluyen la autorización de transacciones segÚn sean
especificadas en los procedimientos y políticas establecidos de la organización
(esto es, autorización por parle de un individuo que tenga facultades para ello). En
un contexto operativo, las piezas utilizadas en la fabricación de un automóvil se ob-
tendrán de un proveedor autorizado.

El riesgo de que una transacción se procese en un plazo diferente al correcto podrá va-
lorarse como un riesgo separado o bien incluirse como parte del objetivo de procesa-
miento de la información de la integridad o precisión. Los sistemas de acceso restringido
Son un aspecto importante para Ia mayoría de procesos de negocio y a menudo se in-
cluyen como un objetivo de procesamiento de la información porque, si no se restrin-
giera el acceso de forma oportuna a las transacciones en un proceso de negocio, Ias
actividades de control en dicho proceso de negocio podrían ser anuladas y la segrega-
ción de funciones podría fallar.

El acceso restringido es especialmente impodante cuando la tecnología es una parte in-

tegral de los procesos o actividades de una organización. Por ejemplo, muchas organi-
zaciones utilizan aplicaciones ERB la configuración de la seguridad en estas
aplicaciones para abordar el acceso restringido puede resultar muy compleja y requiere
de unos conocimientos técnicos avanzados y un enfoque estructurado. Las considera-
ciones del acceso restringido se analizan con mayor detenimiento en el apartado relativo
a Procesos de gestión de la seguridad del Principio 11.

Si bien los objetivos de procesamiento de información se asocian más a menudo con las
transacciones y los procesos financieros, el concepto se puede aplicar a cualquier activi-
dad de una organización. Por ejemplo, un fabricante de golosinas hará todo lo posible
por contar con actividades de control que contribuyan a garantizar que todos los ingre-
dientes de sus productos se incluyen en el proceso de elaboración de los mismos (inte-
gridad), de acuerdo con las cantidades adecuadas (precisión) y a partir de los
proveedores autorizados cuyos productos hayan aprobado las perlinentes pruebas de
calidad (validez).

Otro claro ejemplo de lo anterior, es que los objetivos de procesamiento de la informa-

ción y las actividades de control relacionadas también son aplicables a los procesos de
toma de decisión adoptados por la dirección con respecto a las estimaciones y juicios
de valor críticos adoptados conforme a su criterio profesional. En esta situación, la direc-
ción deberá tener en cuenta la integridad de la identificación de los factores significati-
vos que afecten a las estimaciones con respecto a las cuales la organización debe

.
106 ¡§§I (0ntrol Intern0 - l4ar(0 lntectrad0 lYlaYo 2013
desarrollar y respaldar las hipótesis adoptadas. De igual manera, la dirección deberá
tener en cuenta la validez y razonabilidad de dichas hipótesis y la precisión de sus mo-
delos de estimación.

Esto no quiere decir que si la dirección tiene en cuenta los objetivos de procesamiento
de la información, la organización nunca adoptará estimaciones o juicios de valor erró-
neos; las estimaciones y los juicios de valor adoptados conforme al criterio profesional
estarán siempre sujetos al error humano. sin embargo, cuando se disponga de unas ac-
tividades de control apropiadas, y la información que utilice la dirección sea, bajo su cri-
terio profesional, íntegra, precisa y válida, entonces la probabilidad de tomar mejores
decisiones será mayor.

rt i ;. titr-t

Se pueden seleccionar y desarrollar una amplia gama de actividades de control de trans-

acciones, entre las cuales se incluyen las siguientes:

. Autorizaciones y Aprobaciones Una autorización confirma que una transacción es

-
válida (es decir, representa un evento económico real o que se encuentra dentro de
la política de una organización). Una autorización normalmente se expresa mediante
un permiso proporcionado por un nivel superior de la dirección o a través de la veri-
ficación y determinación de que la transacción es válida. Por ejemplo, un supervisor
aulorizará un informe de gastos una vez que haya revisado que los gastos parecen
razonables y se encuentran dentro de los límites de Ia política establecida. Un ejem-
plo de una autorización automatizada se produce cuando el coste unitario de una
factura se compara automáticamente con el coste unitario de la orden de compra
relacionada de acuerdo con un nivel de tolerancia preestablecido. Las facturas que
se sitúan dentro del nivel de tolerancia son autorizadas automáticamente para acce-
der a su pago. Aquellas facturas que se encuentren fuera del nivel de tolerancia
serán marcadas de manera específica para que se proceda a realizar una investiga-
ción adicional.

Verificaciones
- Las verificaciones comparan dos o más elementos entre si o bien
comparan un efemento con una política, y llevan a cabo un seguimiento cuando los
dos elementos en cuestión no coinciden o el elemento no es coherente con la polí-
tica. Entre los ejemplos de este tipo de verificación se pueden incluir los análisis de
idoneidad y las comprobaciones automatizadas. Las verificaciones normalmente
abordan la integridad, precisión o validez del procesamiento de las transacciones.

Controles Fislcos
- Los equipos, existencias, valores, efectivo y otros bienes o ac-
tivos se garantizan de manera física (por ejemplo, en depósitos de almacenamiento
protegidos bajo llave o con vigilancia en los que el acceso físico está restringido a
personal autorizado) y se contabilizan periódicamente y se comparan con los impor-
tes reflejados en los registros y documento de control.

Controles sobre Datos Vigentes Los datos vigentes, como pueda ser por ejemplo
-
el archivo maestro de precios de una organización, se utilizan a menudo para res-
paldar el procesamiento de transacciones dentro de un proceso de negocio. La or-
ganización dispone de una serie de actividades de control sobre los procesos para

. 2013
(0ntr0 tnterno - varro tntesrado t'4ayo
i #I I 107
ffi
incluir la información correspondiente, actualizar dicha información y mantener la
precisión, integridad y validez de la misma.

. Reconciliaciones Las reconciliaciones comparan dos o más elementos de datos

-
y, en caso de que se identifiquen diferencias, se adoptarán medidas para acordar
los datos definitivos. Por ejemplo, se llevará a cabo una conciliación diaria sobre los
flujos de efectivo diarios con respecto a las posiciones netas notificadas por la casa
matrizparasu transferencia e inversión diaria. Las conciliaciones normalmente
abordan la integridad, precisión y/ovalidez del procesamiento de las transacciones.

. Controle.s de Supervlslón
- Los controles de supervisión evalÚan si se han llevado
a cabo otras actividades de control de transacciones (esto es, verificaciones especí-
ficas, conciliaciones, autorizaciones y aprobaciones, control sobre datos vigentes y
actividades de control físico) de forma íntegra, precisa y de acuerdo con los proce-
dimientos y políticas. La dirección normalmente utiliza su criterio profesional para
seleccionar y desarrollar controles de supervisión sobre las transacciones de mayor
riesgo. Por ejemplo, un supervisor podrá revisarls si uno de los integrantes del
equipo de contabilidad ha efectuado una conciliación de acuerdo con la política es-
tablecida. Este tipo de revisión puede ser una revisión de alto nivel (por ejemplo,
comprobar si se ha completado el formato de conciliación correspondiente) o bien
una revisión mucho más detallada (por ejemplo, comprobar si se ha realizado un se-
guimiento de determinadas parlidas de conciliación y si se han corregido y expli-
cado de forma oPortuna en su caso).

Las actividades de control pueden ser preventivas o de detección, y las organizaciones

normalmente seleccionan una combinación de ambos tipos. La principal diferencia es el
momento en el que se produce la actividad de control. Un control preventivo está dise-
ñado para evitar un evento o resultado no previsto en el momento en el que se produce
por primera vez (por ejemplo, cuando se registre inicialmente una transacción financiera
o cuando se inicie un proceso de fabricación). Un control de detección está diseñado
para identificar un evento o resultado no previsto después de que se haya producido el
procesamiento inicial pero antes de que se haya materializado el objetivo último del
mismo (por ejemplo, al emitir informes financieros o completar un proceso de fabrica-
ción). En ambos casos, la parle fundamental de la actividad de control es la acción lle-
vada a cabo para corregir o evitar un evento o resultado no previsto.

A la hora de seleccionar desarrollar actividades de control, la organización tomará en

cuenta la precisión de la actividad de control esto es, lo exacta que será a la hora de
evitar o detectar un evento o resultado no previsto. Por ejemplo, supongamos que el res-
ponsable de compras de una organización revisa todas las compras que superen el im-
porte de 1 millón de dólares. Esta actividad de control podrá mitigar el riesgo de que se
produzcan errores superiores a 1 millón de dólares, contribuyendo así a poner un límite a
la exposición de la organización, pero no cubrirá todas las transacciones realizadas. Por
el contrario, una comprobación automatizadaque compare los precios de todos los pe-
didos de compra con el archivo maestro de precios y que genere un informe de diver-

1Bf"*"ybb.* d. *e"rvisión pueden ser actividades de control o actividades de supervisiÓn. La diferen-

c a entre ambas activiclades se analiza con mayor cletenimiento en el Capitulo 9, Actividades de Supervi-
s ón.

r0B § ffi II
(ontrol lnterrro - l'4arco ntesrado ' tvlatlo 2013
 {íi*iin*::¡1i íi!i :.i;iiif§! !!-!ier:: i á11:!;d."lij{5 {i* iilllal;

gencias que sea revisado por el supervisor de compras abordará la precisión de todas
las transacciones. La precisión de las actividades de control está estrechamente relacio-
nada con la tolerancia al riesgo de la organización con respecto a un objetivo en particu-
lar (esto es, cuanto más reducida sea la tolerancia al riesgo, más precisas deberán ser
las medidas adoptadas para mitigar el riesgo y las actividades de control relacionadas).

A la hora de seleccionar y desarrollar actividades de control, es importante comprender

qué es lo que un control en particular está tratando de cumplir (esto es, la respuesta es-
pecífica a un riesgo que el control está abordando) y si se ha desarrollado o implantado
conforme a su diseño para mitigar dicho riesgo. Por ejemplo, una organización cuenta
con un sistema en el que las órdenes de ventas se canalizan a través de una comproba-
ción automatizada o manual que concuerda la dirección de facturación y el código pos-
tal del cliente con la información disponible en el archivo de datos vigentes de los
clientes. Si esta comparación no concuerda, se deben adoptar medidas correctivas.
Esta actividad de control contribuye a lograr el objetivo de exactitud en el procesamiento
de la información.

Sin embargo, no ayuda a lograr el objetivo de procesamiento de información de la inte-

gridad (esto es, si todas las órdenes de ventas autorizadas están siendo procesadas).
Para abordar el elemento de la integridad, sería necesario llevar a cabo otra actividad de
control, como pueda ser las órdenes de ventas autorizadas con una secuencia numérica
y su posterior comprobación para ver si todas ellas han sido procesadas.

i** r-, * l *; * l- i: {l'r. ;,,

i . 1-,.-r.-i'-' :, -,. -,, Í' i" i"{j i

La actividades de control y la tecnología1e están relacionadas entre sí de dos maneras:

. La tecnología respalda /os procesos de negocio Cuando la tecnología se incor-

-
pora a los procesos de negocio de la organización, por ejemplo a través de Ia auto-
matización robótica en una planta de producción, es necesario contar con
actividades de control para mitigar el riesgo y que la propia tecnología siga ope-
rando de manera adecuada para respaldar la consecución de los objetivos de la or-
ganización.

. Tecnología utitizada para automatizar las actividades de control Muchas activida-

-
des de control de una organización están automatizadas en pafte o en su totalidad
mediante el uso de tecnologías. Estos procedimientos se conocen como activida-
des de control automatizadas o controles automatizados en el presente Marco. Los
controles automatizados incluyen controles de transacciones automatizados rela-
cionados con procesos financieros, como pueda ser el caso de la comprobación a
tres bandas llevada a cabo dentro de un sistema ERP que respalde los subprocesos
de compras y de cuentas a pagar, o los controles automatizados en los procesos
operativos o de cumplimiento, tales como las comprobaciones del funcionamiento
adecuado de una planta de generación eléctrica. En ocasiones, la actividad de con-

19. "Tecnología" es un término muy amplio. En el presente Marco, su uso es aplicable a la tecnoLogía informa-
tlzada, lo cual incluye aquellas aplicaciones de software que funcionen en un equipo informático, en siste-
mas de control de producción, etc.

(0ntr0 lnterno-l,1arcolntegrado. l1ay020ll i§§l r09

 trol puede que esté totalmente automatizada, como por ejemplo cuando un sistema
detecte un error en la transmisión de datos, rechazando dicha transmisión y solici-
tando automáticamente que se efectúe una nueva transmisión. En otras ocasiones,
puede que exista una combinación de procedimientos automatizados y manuales.
Por ejemplo, que el sistema detecte automáticamente un error de transmisión, pero
que alguien tenga que repetir manualmente dicha transmisión. En otros casos, el
control manual dependerá de la información extraída de un sistema, como puedan
ser informes generados automáticamente que respalden los análisis de datos pre-
supuestados frente a datos reales.

La mayor parte de los procesos de negocio cuentan con una combinación de controles
manuales y controles automatizados, dependiendo de la disponibilidad de tecnologías
en Ia organización. Los controles automatizados suelen ser más confiables, siempre y
cuando se implementen y funcionen adecuadamente los controles generales relativos a
dichas tecnologías (tal y como se analiza más adelante en este capítulo), dado que son
menos susceptibles a errores humanos o de criterio profesional, y también porque sue-
len ser más eficientes.

A*t:virl*ii** Cü ,;*frir*i * *isii*ti:: i:¡."'*i*§

Además de los controles que funcionan al nivel de procesamiento de transacciones, la
organización debe seleccionar y desarrollar una combinación de actividades de control
que operen de manera más generalizaday que normalmente se producirán a un nivel su-
perior en la organización. Estas actividades de control más amplias normalmente son re-
visiones analíticas o análisis de desempeño empresarial20 que conllevan la realización de
comparaciones de distintos conjuntos de datos financieros u operativos. Las relaciones
serán analizadas e investigadas y se adoptarán una serie de medidas correctivas cuando
éstas no estén en línea con las políticas o las expectativas establecidas. Los controles
de transacciones y las revisiones del desempeño empresarial a distintos niveles funcio-
nan juntas para proporcionar un enfoque gradual para abordar los riesgos de la organi-
zación y constituyen una pieza fundamental de la combinación de controles existentes
dentro de la organización.

Por ejemplo, una unidad operativa puede contar con una serie de revisiones de desem-
peño empresarial sobre el proceso de compras que incluirá un análisis de la variación de
los precios de compra, el porcentaje de pedidos que sean pedidos de compras acelera-
das y el porcentaje de devoluciones con respecto al total de pedidos de compra efec-
tuados. Al analizar cualesquiera resultados no previstos o tendencias inusuales, la
dirección podrá detectar aquellas circunstancias en las que los objetivos del área de
compras puede que no se hayan cumplido.

Otro tipo de revisión del desempeño empresarial se produce cuando la alta dirección
lleva a cabo revisiones del desempeño real conseguido frente al desempeño presupues-
tado, frente a las previsiones, a los períodos anteriores y a los resultados conseguidos

20. Las revisiones de desempeño empresarial pueden ser actividades de control o activldades de supervi-
sión. La diferencia entre ambas actividades se analiza con mayor detenimiento en el Capítulo 9, Activida-
des de supervisión.

110 i§ ffi ¡! (ontrollnterno-l4ar(0lntesrado . l4ayo20lJ

por sus competidores. Las principales iniciativas son analizadas tales como los progra-
mas de marketing, las mejoras aplicadas a los procesos de producción y los programas
de reducción o contención de costes para medir hasta qué punto se han logrado dichos
objetivos. La dirección revisará el estatus del nuevo desarrollo de productos, de las
oportunidades de formalización de negocios conjuntos o las necesidades de financia-
ción. Las actuaciones y medidas llevadas a cabo por la dirección para analizar y supervi-
sar este tipo de información serán actividades de control.

El alcance de una revisión del desempeño empresarial (esto es, cuántos riesgos detalla-
dos cubre) suele ser mayor que en el caso de un control de transacciones. De igual ma-
nera, el alcance de la revisión a todos los niveles de la organización tenderá a ser mayor
dado que una revisión del desempeño empresarial se suele efectuar a niveles superiores
de la organización que un control de transacciones. Sin embargo, para responder de
manera eficaz a una serie de riesgos, la revisión deberá ser lo suficientemente precisa
para detectar todos los errores que superen la tolerancia al riesgo establecida. Un con-
trol de transacciones puede abordar un único riesgo específico, mientras que la revisión
del desempeño empresarial de una unidad operativa normalmente abordará una serie de
riesgos. Por ejemplo, la revisión del desempeño empresarial sobre los pedidos de com-
pras aceleradas abarcará varios riesgos del proceso de compras pero puede que no
aborde los riesgos relativos a la precisión e integridad de las transacciones específicas
de su procesamiento.

Muchas revisiones del desempeño empresarial son de detección por su propia natura-
leza dado que normalmente se producirán una vez que las transacciones se hayan efec-
tuado y hayan sido procesadas. Por tanto, si bien es ciefto que los controles a nivel
superior son importantes en la combinación de actividades de control Ilevadas a cabo,
resulta difícil abordar de forma íntegra y eficiente los riesgos de los procesos de negocio
sin llevar a cabo controles de transacciones.

.:
A la hora de seleccionar y desarrollar actividades de control, la dirección deberá tener en
cuenta si las responsabilidades han sido segregadas, asignadas o distribuidas entre di-
ferentes individuos para reducir así el riesgo de error o de actuaciones irregulares o frau-
dulentas. Este tipo de consideración deberá incluir el entorno legal, los requisitos
regulatorios y las expectativas de las pañes interesadas. La segregación de funciones
normalmente conlleva la asignación y división de las responsabilidades de registrar, au-
lorizar y aprobar transacciones así como de administrar los bienes o activos correspon-
dientes. Por ejemplo, un directivo que autorice las ventas a crédito no debe ser
responsable del mantenimiento de los registros de las cuentas a cobrar ni de la adminis-
tración de los cobros en efectivo. Si una persona está facultad a para llevar a cabo todas
estas actividades, dicho individuo podría, por ejemplo, crear ventas ficticias que podrían
no ser detectadas. De igual manera, el personal de ventas no debería tener autorización
para modificar los archivos de precios de los productos o los porcentajes de comisión.
Una actividad control en este ámbito podría incluir la revisión de las solicitudes de ac-
ceso al sistema para determinar si se ha mantenido esta segregación de funciones. Por
ejemplo, una solicitud por parte de un miembro del personal de ventas para acceder al

. 2013 if
(ontrot Lnterno - tvtarco tntesrado t'4ay0
ffi II
 l'.|ñn0 I [ntsrije d{ ({iñtr§! . fyalua{¡{in d* gi*§flc§ " Afiiy¡dades de (0nltsl " ll.¡ftrmaeión I (cm¡.¡¡itatiú¡l ' Adivid*des de $ilP*tv¡siú¡'l

sistema que le permita modificar los archivos de precios de los productos o los porcen-
tajes de comisión siempre debe ser rechazada.

La segregación de funciones puede abordar impoftantes riesgos relacionados con la

elusión de controles por parte de la dirección. Este tipo de elusión de controles puede
hacer posible que la dirección evite los controles existentes y a menudo se utiliza este
método como mecanismo para cometer actos fraudulentos. La segregación de funcio-
nes es fundamental para mitigar los riesgos de fraude porque reduce, pero en ningÚn
caso puede evitar al cien por cien, la posibilidad de que un individuo actúe de manera
unilateral. Sin embargo, siempre existirá el riesgo de que la dirección pueda anular las
actividades de control. Cuando las responsabilidades sobre los principales procesos se
distribuyen y se asignan entre al menos dos empleados de la organización, será necesa-
rio que exista connivencia entre ellos para poder llevar a cabo actividades fraudulentas.
De igual manera, la segregación de funciones reduce los errores dado que obliga a que
haya más de una persona a cargo de realizar o revisar las transacciones de un proceso,
incrementando así la probabilidad de identificar un error.

No obstante, en ocasiones, la segregación de funciones puede no resultar práctica, efi-

ciente en costos, o factible. Por ejemplo, en el caso de las organizaciones de menor ta-
maño, puede que no se disponga de los recursos necesarios para lograr una
segregación ideal de las responsabilidades, o que el costo de contratar a un número adi-
cional de profesionales resulte prohibido. En estas situaciones, la dirección deberá esta-
blecer actividades de control alternativas2l. En el ejemplo anterior, si un miembro del
personal de ventas puede modificar los archivos de precios de los productos, se podría
implementar una actividad de control de detección de manera que exista algún miembro
del personal no relacionado con el departamento de ventas que revise periódicamente si
el citado miembro del personal de ventas ha modificado los precios y en qué circunstan-
cias se ha efectuado dicha modificación.

21 . El Marco prefiere el término "controles alternativos" en lugar de "controles de compensación". Este último
término se utiliza para describir las actividades de control adicionales que se implantan cuando no se
puede llevar a cabo una adecuada segregación de funciones. Sin embargo, este término ha evolucionado
para referirse a las actividades de control que mitigan el impacto de una deficiencia de control iden.tificada
al evaluar la efectividad operativa de los controles y es así como se utiliza en este contexto en el presente
Marco.

(ontrol lnterno-14arc0 lntesrado' l'4ay02013

112
ffi §§ II
 {emp§!'ieirtes de! [sntr*t lñte.ne I Ad¡vidades de tsntrol

§eleee iCIna y desarrclla controles generales sobre

la teer:CIlogía

Principio'l'l: La organización define y desarrolla actividades

de control a nivel de entidad sobre la tecnología para apoyar
la consecución de los objetivos.

Pu¡rtos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

Estableee la dependencia existente entre el uso de tecnología en leis proce§Os

de negocio y los contrales generales sobre la tecnología
- La dirección com-
prende y establece la dependencia y la vinculación existente entre los procesos de
negocio, las actividades de control automatizadas y los controles generales sobre la
tecnología.

Establece actividades de control relevantes sobne las infraestructuras tecnolégi-

eas La dirección selecciona y desarrolla actividades de control sobre la infraes-
-
tructura tecnológica, que ha sido diseñada e implementada para garantizar la
integridad, precisión y disponibilidad del procesamiento de las tecnologías.

Estahlece actividades de control reievantes sohre tros pro§e§os de gestién de la

seguridad La dirección selecciona y desarrolla actividades de control que han
-
sido diseñadas e implementadas para restringir los derechos de acceso a las tecno-
logías a usuarios autorizados en proporción con sus responsabilidades profesiona-
les y para proteger los bienes y activos de la organización de amenazas externas'

Establece aetividades de control relevantes sol:re lc¡s procesos de adquisieién,

desarrollei y mantenirniento de tecnologías La dirección selecciona y desarrolla
-
actividades de control sobre la adquisición, desarrollo y mantenimiento de las tec-
nologías y sus infraestructuras para lograr los objetivos de la dirección.

Dependeneia entre el uso de las tecnoloEías en los procesos de

negocio y los controles gener§le§ sobre la tecnología
La confiabilidad de la tecnología dentro de los procesos de negocio, incluidos los con-
troles automatizados, depende de la selección, desarrollo y despliegue de actividades
de control generales sobre las tecnologías, a las cuales nos referiremos a partir de ahora
en el presente documento como controles generales sobre la tecnología22. Los controles

22. Los términos que se suelen ulilizar para describir estos controles incluyen expresiones tales como "con-
troles informáticos generales", "controles generales" o "controles sobre las tecnologías de informaciÓn", El
término "controles generales sobre la tecnología" se utiliza en el presente documento para referirse a "ac-
tividades de control generales sobre las tecnologias",

controllnterno-l4arcolntesrado . ll{ayo2013 i§§ll 111

 il::::t.l'¡'!.;t;-:::::::t;:l-¡:,',.-?:i,i::¿:,;ait-rir:.:a-,:t:+:j:.',1tii,rrr:jt:*r:ra:l¡iai,,1i.!f ir.',r. -i]. :

generales sobre la tecnología referentes a la adquisición y desarrollo de tecnologías se

despliegan para contribuir a garantizar que los controles automatizados func¡onan ade-
cuadamente cuando se implantan y se desarrollan por primera vez. Los controles gene-
rales sobre la tecnología también ayudan a los sistemas de información a seguir
funcionando adecuadamente una vez que han sido implementados.

Por ejemplo, supongamos que una organización quiere implementar un control de com-
probación y validación automática que examine los datos introducidos en su plataforma
online. Si alguno de los datos no concuerda o bien se introduce con un formato equivo-
cado, se proporcionará un aviso de forma inmediata para que se puedan aplicar las co-
rrecciones oportunas. Los mensajes de error indican cuál ha sido el problema con los
datos introducidos y los informes de excepción permitirán al usuario hacer el oportuno
seguimiento. Los controles generales sobre la tecnología relativos al despliegue de siste-
mas contribuyen a garantizar que este control automatizado funciona adecuadamente
cuando sea diseñado e implementado por primera vez (por ejemplo, los controles siguen
la lógica empresarial definida por la dirección, las comprobaciones de datos coinciden
con las transacciones correspondientes o con el archivo de datos vigentes, cualquier
mensaje de error refleja de forma íntegra y precisa cuál ha sido el error y todas las ex-
cepciones se incluyen en un informe de acuerdo con las políticas de la organización).

Una vez que este control automatizado se ha implementado de forma adecuada, los
controles generales sobre la tecnología contribuyen a garanlizar el correcto funciona-
miento (por ejemplo, que se están utilizando los archivos adecuados en el proceso de
verificación y que los archivos son precisos y completos). De igual manera, las aciivida-
des de control de la seguridad debidamente definidos limitarán el acceso al sistema úni-
camente a aquellos individuos que lo necesiten, reduciendo así la posibilidad de que
individuos no autorizados puedan modificar los archivos. Las actividades de control
sobre cualesquiera cambios realizados en las tecnologías contribuirán a garantizar que
dicha tecnologia siga funcionando tal como fue diseñado.

Al igual que en otras funciones de la organizaclón, se dispondrá de procesos para selec-

cionar, desarrollar, operar y mantener las tecnologías de la organización. Estos procesos
pueden limitarse a un número reducido de actividades con respecto al uso de tecnolo-
gías estándares adquiridas de proveedores externos (por ejemplo, una aplicación que
funcione sobre hojas de Excel) o bien podrán ampliarse para respaldar tanto tecnologías
desarrolladas internamente como de manera externa. Las actividades de control selec-
cionadas y desarrolladas contribuyen a mitigar los riesgos específicos que puedan pro-
ducirse en torno al uso de procesos tecnológicos.

i]t¡:ií¡]*::. i-:*a:i:a.f"*;i:::i :ia,i."ii"': i.: l.*,,-r -

..;

Los controles generales sobre la tecnología incluyen actividades de control sobre las in-
fraestructuras tecnológicas, la gestión de la seguridad, y la adquisición, desarrollo y
mantenimiento de tecnologías. Dichos controles son aplicables a todo tipo de tecnolo-
gías desde aplicaciones de tecnologías de la información que funcionen en un main-
frame, hasta entornos cliente/servidor, de escritorio, de usuario final, ordenadores
porlátiles y dispositivos móviles, así como tecnologías operativas sistemas de robótica
parala producción o sistemas de control en fábrica. El rigor de las actividades de control

crrt.r - . 20ll
114
§ II nterrlo l'4ar(0 nteq,raclo l4ay0
 ':-i:,í,i::,,1t!,,.ii i{ia l.*i.i;ttr i:::1.*rz:¿;: t }ali}ixai:t 1! r,:iii,

y el grado en el que éste se aplique variará en función de cada una de estas tecnologías
dependiendo de diversos factores tales como la complejidad de la tecnología y el riesgo
del proceso de negocio al que respalde. Similar a los controles de transacciones empre-
sariales, los controles generales sobre la tecnología podrán incluir tanto actividades de
control manuales como automatizadas.

jr i;' ;; *s í,'; {: i ¿.;ícj 5 19 ;;¡; 3 ¡ ;:g I;;,i.!

"

La tecnología requiere una infraestructura en donde poder operar, la cual variará desde
redes de comunicaciones que asocien tecnologías entre sí y con el resto de la organiza-
ción, hasta recursos informáticos para aplicaciones, y sistemas eléctricos que abastez-
can a las propias tecnologías. Las infraestructuras tecnológicas pueden ser muy
complejas. Estas infraestructuras pueden compaftirse entre diferentes unidades de ne-
gocio dentro de la organización (por ejemplo, un centro de servicios comparlidos) o bien
pueden externalizarse a proveedores de servicios externos o servicios tecnológicos sin
ubicación definida (por ejemplo, cloud computing o en la nube ). Estas complejidades
presentan riesgos que deberán ser comprendidos y abordados adecuadamente. Dado
que es muy probable que el amplio espectro de posibles cambios en el uso de tecnolo-
gías siga evolucionando en el futuro, la organización deberá efectuar un seguimiento de
estos cambios para evaluar y responder ante los nuevos riesgos.

Las actividades de control respaldan la integridad, precisión y disponibilidad del proce-

samiento de las transacciones. Con independencia de si la infraestructura se dedica a
programar lotes de producción para un mainframe, a efectuar un procesamiento en
tiempo real en un entorno cliente/servidor, a dispositivos móviles inalámbricos, o a redes
de comunicaciones altamente sofisticadas, la tecnología deberá comprobarse activa-
mente para identificar posibles problemas y adoptar medidas correctivas cuando sea
necesario. El mantenimiento de la tecnologÍa a menudo incluirá la adopción de procedi-
mientos de respaldo y de recuperación, así como planes de recuperación ante desas-
tres, dependiendo de los riesgos y de las consecuencias de un daño parcial o total.

....,
La gestión de la seguridad incluye los subprocesos y actividades de control relativos a
quiénes y qué acceso tienen a las tecnologías de la organización, lo cual incluirá identifi-
car quién tiene capacidad para ejecutar transacciones. Normalmente estos procesos in-
cluirán los derechos de acceso a los datos, al sistema operativo (software del sistema), a
la redes, a las aplicaciones y a los distintos niveles físicos. Los controles de seguridad
sobre el acceso protegen a una organización de posibles accesos inadecuados y el uso
no autorizado del sistema al tiempo que respalda la segregación de funciones. Al evitar
el uso no autorizado y la introducción inadecuada de cambios en el sistema, se protege
la integridad de los datos y de los programas frente a actuaciones adversas para la orga-
nización (por ejemplo, alguien podría tratar de acceder a la tecnologíapara cometer
actos fraudulentos, terroristas o de vandalismo) o frente a simples errores (por ejemplo,
un empleado podría intencionalmente, sin darse cuenta utilizar, la cuenta de un compa-
ñero que esté de vacaciones para hacer algún trabajo determinado y ejecutar una trans-
acción erróneamente o borrar un archivo simplemente porque no contara con la
formación adecuada para ello).

(orltroltnterno-tv1ar(olntegmdo, 1v1ay02013
§§ll 115
 {¡:*:¿qti,:Z;i*,; " ?, :!i:ti.1el'<:,:i t*!,ei ia!,it}t.

Las amenazas a la seguridad pueden proceder tanto de fuentes internas como externas.
Las amenazas externas son especialmente importantes para las entidad organizaciones
que dependen de las redes de telecomunicaciones o de lnternet. Los usuarios, clientes y
también agentes malintencionados que utilicen las tecnologías de la organización pue-
den encontrarse en el extremo opuesto del planeta o en el mismo edificio de la organiza-
ción. De igual manera, los múltiples usos de las tecnología y los puntos de acceso a las
mismas ponen de manifiesto la importancia de gestionar debidamente la seguridad.. Las
amenazas externas son cada vez más habituales en los entornos de negocio tan alta-
mente interconectados del panorama actual y para ello se necesitan esfuerzos continuos
con el fin de abordar estos riesgos.

Las amenazas internas pueden proceder de antiguos empleados o de empleados actua-

les descontentos con la organización, los cuales pueden representar una serie de ries-
gos únicos dado que pueden estar motivados para trabajar en contra de los intereses de
la organización y a la vez estar muy bien equipados para tener éxito a la hora de llevar a
cabo sus malintencionadas actuaciones dado que contarán con acceso y conocimientos
sobre los procesos y sistemas de gestión de seguridad de la organización.

El acceso de los usuarios a las tecnologÍas normalmente estará controlado mediante una
serie de actividades de control de autenticación en las que el usuario contará con una
identificación o un token único que será verificado con respecto a la lista de usuarios au-
torizados de la organización. Los controles generales sobre la tecnología están diseña-
dos para permitir el acceso únicamente a los usuarios autorizados que figuren en la lista
de usuarios autorizados. Estas actividades de control por lo general disponen de una
política que restringe a los usuarios autorizados el uso las aplicaciones o funciones que
no correspondan con sus responsabilidades profesionales, respaldando así una ade-
cuada segregación de funciones. Las actividades de control se utilizan para revisar las
solicitudes de acceso con respecto a la lista de usuarios autorizados. De igual manera,
se dispondrá de otras actividades de control para aclualizar el acceso cuando los em-
pleados cambien de puesto de trabajo o abandonen la organización. A menudo se reali-
zaráuna comprobación periódica de los derechos de acceso contrastándolos con la
política vigente para verificar que el acceso de los usuarios sigue siendo el correcto.
Además, el acceso deberá ser controlado cuando existan diferentes elementos de diver-
sas tecnologías que estén conectados entre sí.

Los controles generales sobre la tecnología soportan la adquisición, desarrollo y mante-

nimiento de las tecnologías. Por ejemplo, una metodología de desarrollo tecnológico23
proporcionará una estructura para el diseño e implementación de sistemas, definiendo
una serie de fases específicas, requisitos de documentación, autorizaciones y puntos de
verificación con controles sobre Ia adquisición, desarrollo y mantenimiento de tecnolo-
gías. Esta metodología proporcionará una serie de controles adecuados sobre los cam-
bios que se produzcan en las tecnologías, lo cual podrá incluir que se exijan

23. Este proceso recibe múltiples nombres,. Uno de los nombres más habituales es el de "ciclo de vida del
desarrollo de sistemas" (SDLC, por sus siglas en inglés).

116
 {fi#**i1ei'¡irs de} {*fttr*l !iilÉrna i A{tiv¡dader de ({}ntrol

autorizaciones para llevar a cabo solicitudes de cambios, verificar el derecho legal de la

organización a ulilizar la tecnología de la manera en la que Io esté haciendo, revisar los
cambios efectuados, autorizaciones y comprobar los resultados, así como implementar
protocolos para determinar si los cambios se han efectuado de forma adecuada.

En algunas compañías, Ia metodología de desarrollo abarca un proceso continuo que va

desde los grandes proyectos de desarrollo hasta la aplicación de pequeños cambios. En
otras compañías, puede existir un proceso diferenciado para desarrollar nuevas tecnolo-
gías y otro proceso diferente para la gestión de cambios. En ambos casos, se dispondrá
de un proceso de gestión de cambios para efectuar un seguimiento de los cambios reali-
zados desde su inicio hasta su disposición final. Los cambios pueden producirse como
consecuencia de un problema en Ia tecnología que debe ser solucionado o a raíz de la
solicitud de un grupo de usuarios.

Los controles generales sobre la tecnología incluidos en una metodología de desarrollo

variarán en función de los riesgos de la iniciativa tecnológica en cuestión. Una iniciativa
de gran complejidad o grandes dimensiones generará normalmente unos riesgos mayo-
res que una iniciativa sencilla o de pequeño tamaño. El alcance y el rigor de los controles
aplicados sobre dicha iniciativa deberá ser proporcional a su tamaño.

Una de las alternativas existentes al desarrollo interno es sin duda el uso de software co-
mercial. Los proveedores de tecnologías ofrecen sistemas flexibles e integrados que per-
miten a su vez personalizar dichos sistemas mediante el uso e incorporación de
opciones adicionales. Muchas metodologías para el desarrollo de tecnologías abordan la
adquisición de aplicaciones de software comerciales como alternativa de desarrollo e in-
cluyen además una serie de pasos necesarios para proporcionar el control adecuado
sobre su selección e implementación. Una vez seleccionados e implementados, los
controles generales sobre la tecnología definidos anteriormente también serán de aplica-
ción sobre el desarrollo continuo y el mantenimiento de las tecnologías.

Otra alternativa posible es la externalización. Si bien en principio serán aplicables las

mismas consideraciones tanto si los controles se ejecutan internamente o bien a través
de un proveedor de servicios externalizados, la práctica de la externalización presenta
una serie de riesgos únicos y a menudo exige que se seleccionen y desarrollen controles
adicionales sobre Ia integridad, precisión y validez de la información entregada y recibida
de los proveedores de servicios externalizados.

- . 2013 ti § § I
tontrol lnterno l,4ar(0 Intesrado I,4ay0
I 11t
 Eesp!íega pcáítteas y prüeedtnni*ntos
Prñr:cip[* 1á: La organización despliega las actividades de
control a través de políticas que establecen las líneas
generales del control interno y procedimientos que llevan
dichas políticas a la práctica.

Flu¡ntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

. Establece po!íticas y proeedinnient*s pana r*spaldar" la lmplan*aei*n qie ias

instruee ior¡es adoptadas por la cÍiree*ién
- La dirección establece actividades de
control que se incorporan en los procesos de negocio y en el día a día de las activi-
dades de los empleados a través de políticas que establecen lo que se espera de
ellos así como procedimientos relevantes que especifican las actuaciones a realizan

r §stablese rsspofisabilidades sobre ejecueión de las pclíticas y pr*cedirnien-

§a

tos La dirección establece las responsabilidades oportunas sobre las actividades

-
de control por parte de la dirección (u otros personal designado) de la unidad de ne-
gocio o función en la que residan los riesgos correspondientes.

. §e efeetúa en el r¡-¡onr*mta *B*rtuno El personal responsable lleva a cabo las

-
de control en el momento oportuno según lo definido en las políticas en
actividades
los procedimientos.

. y
Adopta medidas ccrreetiuas
- Se define el personal responsable de investigar
actuar con respecto a los asuntos identificados como resultado de la ejecución de
las actividades de control.

. §e po'ie en ¡*ráetica a través cl* perscnaÍ eornpetente

- El personal competente
que dispone de las facultades apropiadas lleva a cabo las actividades de control
con diligencia y con una continua atención

o ñ*visa las poiítíeas y precedimlente¡s La dirección revisa periódicamente las ac-

tividades de control para determinar
-
que siguen siendo relevantes y las actualiza
cuando es necesario.

Foliticas 5/ prüa€din:ientos
Las políticas reflejan la visión de la dirección sobre lo que debe hacerse para llevar a
cabo el control. Dicha visión puede documentarse por escrito y plasmarse expresamente
en otras comunicaciones o bien de manera implícita a través de las decisiones y medi-
das adoptadas por la dirección. Los procedimientos se componen de medidas que im-
plementan una política.

.
ll8
ffi ffi § I I (ontrol lnterno-laar(olntesrado l,4ayo20ll
Las actividades de control hacen referencia específicamente a aquellas polítlcas y proce-
dimientos que contribuyen a la mitigación de los riesgos para la consecución de los ob-
jetivos en niveles aceptables. Una política, por ejemplo, podría exigir que se revisen las
actividades bursátiles llevadas a cabo con clientes por parle del gestor de una sucursal
de intermediación financiera. El procedimiento será la revisión en sí, llevada a cabo en el
momento opoduno y prestando atención a los factores establecidos en la política, tales
como la naluraleza y el volumen de los valores negociados, y su relación con la edad y el
patrimonio neto del cliente.

Las políticas y los procedimientos a menudo se comunican oralmente. Las políticas no

escritas pueden ser eficaces cuando la política en sí es una práctica bien comprendida y
establecida en el seno de la organización, así como en el caso de organizaciones de
menor tamaño en las que los canales de comunicación implican un número limitado de
niveles directivos y en las que existe una estrecha interacción y supervisión del perso-
nal. Sin embargo, a pesar de que constituyen una alternativa eficiente en costes para al
gunas organizaciones , las políticas y procedimientos no escritos pueden ser más
fáciles de evitar, resultando muy costosas para la organización si existe una elevada ro-
tación de personal y pudiendo reducir la responsabilidad por la rendición de cuentas al
respecto. Cuando se sometan a la revisión de partes externas e independientes a la or-
ganización,las políticas y procedimientos deberán estar formalmente documentadas2a.

En cualquier caso, independientemente de si una política se documenta por escrito o no,

deberá establecer claramente las responsabilidades derivadas de la misma, las cuales
recaerán en último término en la dirección de la organización y de las unidades de nego-
cio en las que residan los riesgos. Los procedimientos deberán dejar claras las respon-
sabilidades que asumirá el personal que lleve a cabo la actividad de control. De igual
manera, las políticas deberán ser puestas en práctica de manera consciente y meditada,
al tiempo que los procedimientos relacionados deberán ser llevados a cabo en el mo-
mento oportuno, con diligencia y con coherencia por parte del personal competente.

". ; : .. . ,..

Los procedimientos deberán incluir el plazo en el que una actividad de control y cuales-
quiera medidas correctivas de seguimiento deban ser llevadas a Ia práctica. Los proce-
dimientos que se lleven a cabo en un momento que no sea el apropiado podrán reducir
la utilidad de la actividad de control. Por ejemplo, una revisión ordinaria de las cuentas
de usuarios para identificar derechos de acceso no autorizados deberá ser llevada a
cabo por el propietario del proceso de negocio en el momento oportuno para reducir el
riesgo (hasta niveles aceptables) de que se produzcan accesos no autorizados. Si se
permite que los intervalos de tiempo sean mayores entre las revisiones se incrementará
la posibilidad de que la detección de dichos accesos no autorizados se produzca dema-
siado tarde.

24. En el Capítulo 4, Conslderaciones adicionales, podrá encontrar un análisis más detallado sobre el aspecto
de la dooumentaoión.

tontrollnterno-l,1arcolntesrado. lvlayo2013 I9
§§ll
 Msdidas correcfit¡*s
A la hora de llevar a cabo la actividad de control deberán investigarse y, en caso opor-
tuno, adoptarse medidas correctivas con respecto a los asuntos identificados para su
seguimiento. Por ejemplo, supongamos el caso de que en un ejercicio de conciliación de
cuentas de tesorería se detecte una discrepancia en una de las cuentas. El empleado del
depadamento de contabilidad efectuará un seguimiento al respecto junto con la persona
responsable de realizar los registros documentales de los movimientos en efectivo y de-
terminará que un cobro en efectivo no fue registrado de forma adecuada. Por tanto, el
cobro será aplicado de nuevo y se reflejará la corrección realizada en la conciliación.

Compefencias
Una actividad de control debidamente diseñada por lo general no podrá ser gestionada
por miembros del personal que no cuenten con las competencias y con facultades sufi-
cientes para desarrollar dicha actividad de control. El nivel de competencias requeridas
para llevar a cabo una actividad de control dependerá de factores tales como la comple-
jidad de la actividad de control y la complejidad y el volumen de las transacciones co-
rrespondientes. De igual manera, un procedimiento no será de utilidad si se lleva a cabo
de memoria, y sin prestar la atención adecuada y de forma continua a los riesgos a los
que se dirija dicha política. De igual manera, puede que sea necesario que el personal
cuente con facultades suficientes para llevar a cabo todos los aspectos del control, in-
cluida la adopción de medidas correctivas.

ñeevaluacidn p*dddlea
La dirección deberá reevaluar de manera periódica las políticas y los procedimientos así
como las actividades de control relacionadas para garantizar que se mantiene su efica-
cia y relevancia, con independencia de su capacidad de respuesta ante los cambios sig-
nificativos que se puedan producir en los riesgos o en los objetivos de la organización.
Los cambios significativos que se puedan producir serán evaluados a través del proceso
de evaluación de riesgos. Los cambios que se produzcan en el personal, en los proce-
sos y en las tecnologías podrán reducir la eficacia de las actividades de control y hacer
que en algunos casos sean redundantes y por tanto innecesarias. Siempre que se pro-
duzca uno de estos cambios, la dirección deberá reevaluar la relevancia de los controles
existentes y actualizarlos según sea necesario. Por ejemplo, la dirección podrá actualizar
el módulo de compras de un sistema ERP e introducir actividades de control de transac-
ciones automatizadas que den lugar a que las antiguas actividades de control manual
sean redundantes y por tanto dejen de ser necesarias.

tontrol Interno-l'lar(o lntesrado . lvlayo20ll

120
§ I§I I
 lntroducción
El componente lnformación y comuni-
cación del Marco respalda el funciona-
miento de todos los componentes del
control interno. En combinación con
los otros componentes, lnformación y
comunicación respalda la consecución
de los objetivos de la organización, in-
cluidos objetivos relevantes para la in-
formación interna y externa. Los
controles existentes dentro de lnfor-
mación y comunicación soporlan la
capacidad de la organización para uti-
lizar la información adecuada y para
llevar a cabo sus responsabilidades de
control interno.
Se entiende por información aquellos datos que se combinan y se resumen en base a su
relevancia de cara a los requisitos de información existentes. Los requisitos de informa-
ción se establecen mediante el funcionamiento de los otros componentes del control in-
terno, teniendo en cuenta las expectativas de todos los usuarios, tanto internos como
externos. Los sistemas de información respaldan la toma de decisiones en base a la in-
formación y el funcionamiento del control interno mediante el procesamiento de informa-
ción relevante, oportuna y de calidad procedente tanto de fuentes internas como
externas.
La comunicación permite que la organización pueda compartir información relevante y
de calidad tanto a nivel interno como externo. La comunicación proporciona la informa-
ción necesaria a la hora de diseñar, implementar y ejecutar el control interno y evaluar
su eficacia. La dirección comunica la información internamente para hacer posible que
su personal pueda comprender los objetivos de la organización y la imporlancia de sus
responsabilidades de control. La comunicación interna facilita el funcionamiento del con-
trol interno compartiendo información a todos los niveles, en sentido ascendente, des-
cendente y transversal en la organizaciÓn. La comunicación externa permite que la
dirección pueda obtener y compartir información entre la organización y partes externas
a la misma con relación a los riesgos, cuestiones regulatorias, cambios en las circuns-
tancias del negocio, satisfacción del cliente y otros aspectos de la información relevan-
tes para el funcionamiento del control interno.
Un sistema de información es un conjunto de actividades, que implica tanto a personas,
procesos, datos y/o tecnologías, que permite alaorganización además obtener, generar,
utilizar y comunicar transacciones e información para mantener la adecuada responsabi-
lidad por la rendición de cuentas, medir y revisar el desempeño de la organización o el
avance en la la consecución de los objetivos.
El Marco diferencia este componente de la categoría de objetivos de información finan-
ciera. lnformación y comunicación es tan sólo un componente del Marco. Este compo-
nente sirve para proporcionar información relevante y de calidad que soporle todos los
componentes del control interno. Por otro lado, una organización que trate de obtener
una seguridad razonable a la hora de preparar y elaborar sus informes externos requerirá
que se disponga de los cinco componentes del control interno. La comunicación puede
parecer un aspecto muy amplio en ocasiones (por ejemplo, la información comunicada
sobre los eventos o tendencias externas), pero en el contexto del presente Marco, su
uso podrá ser definido de manera más ajustada (por ejemplo, comunicación que permite
a un usuario llevar a cabo los controles oportunos dentro de la evaluación de riesgos).

122 ! §! I Control lnterno l,1arco Intesraclo ' l'4ayo 2013

 íomIanentes dei {onlrai intcrn¡ I lnformación y (omuniocién

Utillza informacíón relevante

Principio 13: La organización obtiene o genera y utiliza
información relevante y de calidad para apoyar el
funcionamiento del control interno.

Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

. ldentifica requisitos de información

- Se dispone de un proceso para identificar la
información necesaria y que se espera para respaldar el funcionamiento de los
otros componentes del control interno y la consecución de los objetivos de la
organización.

. Capta fuentes de datos internos y externos

- Los sistemas de información captan
fuentes de datos tanto internas como externas.

. Frocesa datos relevantes y los transforrna en inforrnación

- Los sistemas de in-
formación procesan y transforman datos relevantes en información de utilidad.

. Mantiene la calidad a lo largo de todo el proceso

- Los sistemas de información
generan información aclualizada en el momento oportuno, la cual es precisa, ínte-
gra, accesible, protegida, verificable y que se custodia de forma oporluna. Se revisa
la información para evaluar su relevancia a la hora de soportar los componentes del
control interno.

. Evalúa costes y beneficios La naturaleza, cantidad y precisión de la información

-
comunicada es proporcional y soporta la consecución de los objetivos.

Requisitos de información
La información es necesariapara que la organización pueda llevar a cabo sus responsa-
bilidades de control interno en aras de conseguir sus objetivos. La información sobre los
objetivos de la organización se obtiene de manos del consejo de administración y de la
alta dirección y se resume de manera que la dirección y otros miembros del personal
puedan comprender los objetivos y su función de cara a su consecución.

Por ejemplo, veamos el caso de un distribuidor mayorista que haya identificado que al-
gunos de sus directivos no cuentan con un sólido entendimiento de los principales obje-
tivos de la organización. Puede que el plan de negocio sea detallado y difícil de
comunicar de manera concisa. Para ello, el consejo de administración trabajará con la
alta dirección para resumir los principales objetivos de la organización en un documento
explicativo que sea claro y que acompañará a los estados financieros distribuidos inter-
namente. De igual manera, el consejo proporcionará todos los meses un cuadro de
mando integral en el que quedarán representados estos objetivos y su relación con los
parámetros y resultados actuales, tanto de naluraleza financiera como no financiera. Una

[ontrollnterno-llar(olntesmdo . l'4ayo20l] i §§n I 173

 fl:*r{4 i E*ls[ü* d3 {s!itr*i " I{Eliia{¡4r de Air;-*ci , Á*livi¡lades ** {&¡itrsi " lnformae¡ón 1l tomunita(ión ' .&(tivi{i*d§s d* 5ilP*rvle¡óil

vez realizados estos cambios, el distribuidor mayor¡sta solicitó los comentarios y opinio-
nes de sus empleados a través de una encuesta y dicha encuesta puso de manifiesto
que tanto la dirección como el resto del personal habían logrado comprender mejor los
obietivos de la organización.

La obtención de información relevante requiere que la dirección identifique y defina los

requisitos de información en base a un nivel oportuno y al grado de detalle requerido. La
identificación de los requisitos de información constituye un proceso continuado e itera-
tivo que se produce a lo largo del desarrollo de un sistema de control interno efectivo'

La dirección desarrolla e implementa controles relacionados con la identificación de la

información relevante que soporta el funcionamiento de los componentes. Los siguien-
tes ejemplos ilustran cómo se define y se identifica la información que soporta el funcio-
namiento de otros componentes de control interno.

Componentes del control interno Ejemplo de información utilizada

.:' 1 ¡ i'..

Entorno de control La dirección lleva a cabo una encuesta anual a nivel de organizaciÓn entre sus
empleados para recopilar informaciÓn sobre su conducta personal en relación
con el código de conducta de la organizaciÓn. La encuesta forma parte de un
proceso que genera información para soportar el componente del Entorno de
control y también puede aportar información de cara a la selecclÓn, desarrollo,
implementación o mantenim¡ento de actividades de control.

Evaluación de riesgos Como resultado de los cambios que se producen en las exigencias de los
clientes, una organizaciÓn cambia su mix de productos y sus mecanismos
para llegar hasta sus clientes. El aumento de las ventas online ha hecho que se
incrementen de manera significativa el nÚmero de transacciones con tarjeta de
crédito. Para evaluar el riesgo de incumplimiento con las regulaciones de pri-
vacidad y seguridad asociadas con la información en las tarjetas de crédito, Ia
dirección recopila información sobre el número de transacciones realizadas, el
valor general de las mismas y el perfil de los datos conservados al Último
ejercicio fiscal, y evalúa su importancia de cara a la realizaciÓn de su análisis
de riesgos.

Actividades de control Determinados equipos que se utilizan en un entorno de producciÓn de alto vo-
lumen se deterioran si funcionan durante un periodo de tiempo mayor del es-
pecif icado. Para maximizar la vida de los equipos, la dirección 0btiene y rev¡sa
los registros de funcionamiento diario y los compara con los rangos fijados
por la alta dirección. Esta informaciÓn respalda las actividades de control y
aborda los procedimientos de mitigación requeridos cuando se superan los ni-
veles de f uncionam¡ento máximos.

Actividades de supervisión Una gran compañía del sector utilities (servicios públicos) recopila, procesa y
comunica sus registros de accidentes y lesiones relacionados con su unidad
operativa de generación de energía. Al comparar esta información con las ten-
dencias registradas por las reclamaciones de compensación y siniestros expe-
rimentados por los empleados en el marco de sus seguros de salud identifica
variaciones importantes c0n respecto a las expectativas establecidas" Esto
puede indicar que las actividades de control sobre la identificaciÓn, procesa-
miento, información, investigación y resolución de accidentes o lesiones pue-
dan no estar funcionando según lo previsto.

tontrollnterno-ltarcolntesrailo'
124 ffi § §¡l 1,44t,02013
 {ampefisfitss de¡ {sfifrsl iiiternú | lnforma(¡én y (0munica(¡én

Los controles incorporados dentro de los cinco componentes establecen una serie de
requisitos de información. Estos requisitos facilitan y dirigen a la dirección y al resto del
personal a identificar fuentes de información confiables y relevantes así como otra serie
de datos pertinentes. El volumen de información y de datos pertinentes disponible para
la dirección puede ser mayor del necesario debido al aumento de las fuentes de informa-
ción y a los progresos conseguidos en la recopilación de información, en su procesa-
miento y almacenamiento. En otros casos, puede que resulte difícil obtener datos al nivel
adecuado o con el nivel de detalle necesario. Por tanto, un claro entendimiento de los
requisitos de información permite a la dirección y al resto del personal identificar fuentes
de información y datos confiables y relevantes.

El hecho de conseguir el equilibrio adecuado entre los beneficios y costos de obtener y

gestionar esta información, y los sistemas de información, es un aspecto clave a la hora
de establecer un sistema de información que cumpla las necesidades de la organización.

lnformación procedente de fuentes relevantes

La información se recibe de una serie de fuentes y en diversos formatos. La siguiente
tabla resume algunos ejemplos de fuentes de información y datos internos y externos a
padir de los cuales la dirección puede generar información de utilidad y relevante para el
control interno.

' Ej--emplo§ de fúe¡tes :iflte!:§a§td,e, datos :,'.rr,.,i, - ,Ejempi0!:.de,iJáto§r,iniáinoi

..

. Comunicaciones vía email . Cambios en la organización

lnspecciones en el procesamiento realizado en las . Registros de producción y de calidad oportunos
plantas de producción

Actas o notas de reuniones de comités operativos . Medidas adoptadas c0m0 respuesta a los parámetros
de consumo energético
Sistema de información de horas de trabajo incurridas . Horas incurridas en proyectos facturados por horas
por el personal

lnformes procedentes de sistemas de producción . Número de unidades transportadas a clientes al mes

Respuestas proporcionadas en las encuestas a clientes . Factores que afectan a los niveles de bajas de clientes
Canal de denuncias, quejas y reclamos . Ouejas sobre comportamiento de directivos

' '
Eiemplo§,.iqqJuenhs ,cxtcrnasiid§':dat0,§,. ,,i :' r
, i.,..r, ,,
t8ryq
E ¡9,,9¡t0.s1,ax!qinqs..,1.,:,,. ,,.,,¡:. i
, ,1¡¡r
1,..r 1,,,¡r : ¡¡:,¡ 11

. Datos recibidos de proveedores de servicios externali- . Productos recibidos de fabricantes extern0s

zados
. lnformes de estudios del sector . lnformación sobre productos de la competencia
. lnformes de resultados de organizaciones homólogas . Parámetros del mercado y del sector
. 0rganismosreguladores . Nuevos requisitos y aumento de requisitos existentes
. Redes sociales o posts de otros blogs . 0piniones sobre la organización
. Ferias comerciales . Evolución de preferencias de clientes
. Canal de denuncias, quejas y reclamos . Afirmaciones de uso indebido de fondos o de sobor-
n0s

(0nk0l lnterno- lvlar(olntesrado . l'1ayo20ll [ §§ II

 La dirección considera un amplio abanico de eventos, actividades y fuentes de informa-
ción disponibles internamente y también procedentes de fuentes externas confiables, y
define los más relevantes y útiles parala actual estructura organizacional, modelo de ne-
gocio u objetivos de la organización. A medida que se producen cambios en la organiza-
ción, Ios requisitos de información también cambiarán. Por ejemplo, las organizaciones
que operan en un entorno económico y de negocio altamente dinámico, experimentan
continuos cambios tales como competidores altamente innovadores y que evolucionan a
gran velocidad, expectativas de clientes en constante cambio, evolución de los requisi-
tos regulatorios, el avance de la globalización y la innovación tecnológica. Por tanto, la
dirección reevaluará sus requisitos de información y los ajustará para satisfacer sus con-
tinuas necesidades.

Procesamiento de datos a través de sistemas de información

Las organizaciones desarrollan sistemas de información para obtener, captar y procesar
grandes volúmenes de datos procedentes de fuentes internas y externas y para poder
transformarlos en información que tenga un verdadero valor para ellos y que les permita
actuar con el fin de cumplir los requisitos de información definidos. Los sistemas de in-
formación abarcan una amplia combinación de elementos entre los que se incluyen las
personas, los procesos, los datos y la tecnología, que respaldan los procesos de nego-
cio gestionados internamente así como aquellos que cuentan con el apoyo de proveedo-
res de servicios externalizados y de otros grupos de interés externos que interactúan
con la organización.

La información se puede obtener a través de diversas formas, entre las que se incluyen
la recopilación o introducción manual de datos, o el uso de tecnologías de información
tales como el intercambio de datos electrónicos (EDl) o las interfases de programación
de aplicaciones (APl). Las conversaciones que se puedan mantener con los clientes,
proveedores, reguladores y empleados también son unas fuentes valiosas de datos e in-
formaciones críticas que resultan necesarias para identificar y evaluar tanto los riesgos
como las oportunidades. En algunos casos, la información y los datos subyacentes cap-
tados requieren que se lleven a cabo una serie de procesos manuales o automáticos
para garantizar que tienen el nivel de detalle relevante y cumplen las definiciones reque-
ridas. En otros casos, la información puede obtenerse directamente de fuentes externas
o internas. La dirección desarrolla e implanta actividades de control sobre la integridad
de los datos introducidos en los sistemas de información así como sobre la precisión e
integridad del procesamiento de dichos datos para transformarlos en información que
pueda ser utilizada por otros controles.

El volumen de información accesible parala organización presenta importantes oportuni-

dades y riesgos. El hecho de que una organización tenga un mayor acceso a informa-
ción puede mejorar el control interno. Sin embargo, el aumento del volumen de
información y de los datos subyacentes puede generar riesgos adicionales, tales como
riesgos operacionales y de negocio causados por ineficiencias debidas a una sobre-
carga de datos, riesgos de cumplimiento asociados con las leyes y regulaciones relativas
a la protección y retención de datos, y riesgos de seguridad y privacidad derivados de la
naluraleza de los datos almacenados por la organización o por agentes externos en
nombre de ésta.

(ontrol lnterno .
126
ffi §§ It - !1ar(0 Intesrado Mayo 2013
 i.rr:*¡J1+rfüi l,!; i*i1i;*i !liiéiai, : lnfolmaeidn y (omunicaiién

La naturaleza y el alcance de los requisitos de información, la complejidad y el volumen

de información, y la dependencia que tenga de determinados grupos de interés externos
afeclarán al grado de sofisticación de los sistemas de información, incluido ei alcance
tecnológico desplegado por la organización. Con independencia del nivel de sofistica-
ción adoptado, los sistemas de información representan el procesamiento integral de la
información relacionada con las transacciones y datos que permiten ala organización re-
copilar, almacenar y resumir información uniforme y de calidad procedente de los distin-
tos procesos clave, ya sea mediante procesos manuales, automáticos o una
combinación de ambos.

Los sistemas de información desarrollados con procesos integrados y sopofiados por

tecnologías proporcionan oportunidades para mejorar la eficiencia, la velocidad y la ac-
cesibilidad de la información a los usuarios. De igual manera, tales sistemas de informa-
ción pueden mejorar el control interno sobre los riesgos de seguridad y privacidad
asociados con la información obtenida y generada por la organización. Los sistemas de
información diseñados e implementados para restringir el acceso a la información Única-
mente a aquellas personas que lo necesiten y para reducir el número de puntos de ac-
ceso mejoran la eficacia de la mitigación de riesgos asociada con la seguridad y la
privacidad de la información.

Los sistemas ERP (planificación de recursos corporativos), los sistemas AMS (gestión de
asociaciones), las intranets corporativas, las herramientas colaborativas, los social
media, los centros de datos, los sistemas de inteligencia de negocio, los sistemas ope-
rativos (por ejemplo, sistemas de automáticos en fábricas o sistemas de uso energético),
las aplicaciones web y demás soluciones tecnológicas presentan oportunidades para
que la dirección de la organización pueda aprovechar las tecnologías y desarrollar e im-
plementar unos sistemas de información eficaces y eficientes.

ealidad de la información
Para mantener la calidad de la información, es necesario que el sistema de control in-
terno sea eticaz, en especial con relación a los volúmenes de datos que se mueven en la
actualidad y la elevada dependencia existente de sistemas de información sofisticados y
automáticos. La capacidad para generar información de calidad comienza con la capta-
ción de los datos relevantes. Si se dispone de datos poco precisos o incompletos, la in-
formación derivada de dichos datos puede provocar que Se adopten decisiones
equivocadas, que se efectúen estimaciones erróneas o que se aplique de manera defi-
ciente el criterio profesional de la dirección.

La calidad de la información dependerá de si ésta es:

. Accesible La información es fácil de obtener por parte de aquellos que la necesi-

-
ten. Los usuarios saben qué información está disponible y en qué parte del sistema
de información se encuentra dicha información.

. precisos y completos. Los sistemas de in-

Correcta
- Los datos subyacentes son
formación deberán incluir comprobaciones que validen y aborden la integridad y
precisión de la información, incluidos los procedimientos necesarios de resolución
de incidencias.

[6ntrgl l¡1terng - tvlar(¡ tntegraclo , l4ay0 20]3 I §§ I 177

 Actual Los datos recopilados se obtienen de fuentes actuales y se recopilan con
-
la frecuencia necesaria.

Protegida El acceso a información sensible se restringe al personal autorizado.

-
La categorización de los datos (por ejemplo, en niveles diferenciados como informa-
ción "confidencial", "secreto" o "altamente confidencial") facilita la protección de la
información.

Se conserva La información se encuentra disponible durante un período prolon-

-
gado de tiempo para hacer posible que se lleven a cabo consultas e inspecciones
por parte de grupos de interés externos.

Suficiente Se dispone de información suficiente y relevante con el nivel adecuado

-
de detalle para los requisitos de información. Los datos irrelevantes se eliminan
para evitar ineficiencias, usos indebidos o errores de interpretación.

Oportuna La información se encuentra disponible en el sistema de información

-
cuando se requiere. La información opoftuna contribuye a la identificación tem-
prana de posibles eventos, tendencias y problemas.

Válida La información se obtiene a través de fuentes autorizadas, se recopila

-
conforme a los procedimientos establecidos y representa eventos que realmente
han ocurrido.

. Verificable La información está soportada por evidencias que justifican la fuente

-
de información. La dirección establece las políticas de gestión de información tras
haber definido claramente las responsabilidades sobre la calidad de la información.

La dirección establece las políticas de gestión de información tras haber definido clara-
mente las responsabilidades sobre la calidad de la información. Estas políticas abordan
las líneas generales existentes con respecto al gobierno de Ia información y sirven a su
vez para orientar los procesos que definen las categorías o clases de datos y para esta-
blecer los correspondientes requisitos sobre la gestión física de los datos, su almacena-
miento, seguridad y privacidad. Estas políticas ayudan a la dirección y al resto del
personal de la organización responsable de la protección de datos y de la información ,
evitando accesos y cambios no autorizados en la información, así como en el cumpli-
miento de los requisitos de mantenimiento de los datos.

Por ejemplo, en un caso, la alta dirección de una agencia del gobierno altamente des-
centralizada y con diversas oficinas en ubicaciones geográficas diferentes, identificó un
riesgo específico para lograr un objetivo operacional relacionado con la calidad de los
datos operativos recabados a través de sus 2.000 unidades de campo. La dirección de-
sarrolló una serie de requisitos de datos específicos y un formato de generación de infor-
mes para que los utilizaran todas las unidades de campo. La alta dirección llevó a cabo
una serie de revisiones mensuales de manera sistemática de los parámetros clave deri-
vados de los datos obtenidos en todas las unidades de campo. Las unidades de campo
que obtenían los mejores y los peores resultados tenían que explicar el origen de sus
datos a un equipo de auditoría interna. De igual manera, la dirección de la agencia utilizó
los informes de datos operativos de las unidades y de parámetros relativos a las visitas
de campo y comenzó a plantear preguntas para evaluar el entendimiento que las unida-
des tenían de los datos incluidos en dichos informes. Seis meses después de haber im-

(0ntr0 lnterno l,larcolnteqrado. Mayo2013

128
I *#§l
 iümF0ficnie5 de¡ {0fltr*¡ lfitgrilü i lnformacién y (omunitatión

plantado este sistema de información, las revisiones mensuales, las visitas de campo y
el feedback o retroalimentación obtenida y comparlida en los distintos niveles del
pro-
ceso, la calidad de la información mejoró hasta alcanzar el nivel aceptable esperado por
la dirección. Para mantener el nivel conseguido, la dirección aplicó cambios a las políti-
cas y procesos de información de los datos operativos y adoptó tecnologías de inteli-
gencia de negocio que permitieron a la organización presentar la información de manera
coherente y opoftuna.

La información que se obtiene a partir de proveedores de servicios externalizados que

gestionan procesos de negocio de la organización, y de otros grupos de interés externos
que también dependen de la organización, debe ser objeto de las mismas expectativas
en materia de control interno. Los requisitos de información son desarrollados por la or-
ganización y se comunican a los proveedores de servicios externos y a otros grupos de
interés externos de naturaleza similar. Los controles facilitan la capacidad de la organiza-
ción para confiar en dicha información, incluido el control interno sobre los proveedores
de servicios externalizados, tales como los procedimientos de due diligence (debida dili-
gencia) sobre proveedores, la introducción de cláusulas contractuales que les confiera el
derecho a auditar a dichos proveedores, y la obtención de una evaluación independiente
sobre los controles de dichos proveedores de servicios'

La dirección tendrá en cuenta sus requisitos a la hora de retener las comunicaciones in-
tercambiadas, en particular aquellas enviadas o recibidas de grupos de interés externos
y aquellas relacionadas con el cumplimiento de las leyes y regulaciones por pade de la
organización. Dado el volumen y la capacidad para guardar y recuperar dicha informa-
ción, este requisito puede constituir todo un desafío cuando la dirección dependa de co-
municaciones en tiempo real procesadas por medios tecnológicos. Los controles sobre
la retención de información relativa al control interno tendrán en cuenta los retos que su-
ponen los avances tecnológicos, incluidas las tecnologías de comunicación y colabora-
ción utilizadas para facilitar otros componentes del control interno y la consecución de
los objetivos de la organización.

(ontrollnterno-Mar(olntesrado' ¡aavo201l t §üIl 129

 !4árce i Ent§rnc de {*lití01 - Ii;ñ¡iinridn de ftiesg*s - Áetivieiades ris tüiltral " lnformacién y [omunicacidn " Adividades de §!r*rvisi{i¡l

Se cornunica internamente

Piincipis 14: ta organización comunica la información

internamente, incluidos los objetivos y responsabilidades que
son nedésaiios'par.a apoyar el fU,ncionamiento del sisterna,de
control interno.

Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una importante serie de caracterís-
ticas relativas a este principio:

o Comunica la información de control interno Existe un proceso destinado a co-

-
municar la información necesaria para posibilitar que todo el personal comprenda y
desempeñe sus responsabilidades de control interno.

. Se comunica con el consejo de administración Hay una comunicación entre la

y
dirección el consejo de administración de forma que ambas partes dispongan de
-
la información necesaria para cumplir sus funciones en línea con los objetivos de la
organización.

. Facilita líneas de comunicación independientes Existen canales de comunica-

-
ción independientes -como canales de denuncias- que actúan como mecanismos
seguros, de forma que Ia comunicación de información se haga de manera anónima
o confidencial en aquellos casos en los que los canales habituales se encuentran in-
operativos o carecen de eficacia.

. Define el método de comunicación nelevante El método de comunicación tiene

en cuenta el marco temporal, el público y la naturaleza de la información.
-

Comunicación del Control lnterno

La comunicación de información que se transmite a los distintos niveles de la organiza-
ción incluye:

. Políticas y procedimientos que ayuden al personal en el desempeño de sus respon-

sabilidades de control interno.

o Objetivosespecíficos.

. lmportancia, relevancia y ventajas de un sistema de control interno eficaz.

. Funciones y responsabilidades de la dirección y del resto del personal en el

desarrollo de los controles.

. lmporlancia de comunicar en la organización en sentido ascendente, descendente

y a los distintos niveles de la organización los aspectos clave relativos al control in-
terno, incluidos casos en los que se identifiquen debilidades, quebrantos o incum-
plimientos en el control interno.

(ontrol lnterno - .
t30
§§§ It l4ar(0lntesrado l'4ay0 2013
La organización establece e implanta políticas y procedimientos que facilitan una comu-
nicación interna efectiva. Esto incluye comunicaciones específicas y directas que abor-
dan cuestiones como facultades individuales, responsabilidades y normas de conducta
desplegadas en los distintos niveles de la organización. La alta dirección comunica los
objetivos de la organización con claridad a los distintos niveles de la organización, de
manera que el resto de la dirección y del personal de la organización, incluidos aquellos
que no sean empleados directos de Ia misma, tales como contratistas, comprendan sus
funciones específicas en la organización. Este tipo de comunicación se producirá con in-
dependencia de la ubicación en la que se encuentre el personal, así como de su nivel de
autoridad o de sus responsabilidades funcionales. La comunicación interna comienza
con la comunicación de los objetivos definidos. A medida que la dirección traslada la co-
municación de los objetivos específicos de la organización a los distintos niveles de la
organización, es cada vez más imporlante que los subobjetivos relacionados con los re-
quisitos específicos se comuniquen al personal de forma que puedan comprender cuá-
les son sus funciones y responsabilidades y cómo impactan a la consecución de los
objetivos de la organización.

Esto hace posible que todo el personal reciba un mensaje claro, por parte de la alta di-
rección, de que las responsabilidades de control interno se deben aplicar rigurosamente.
A través de la comunicación de los objetivos y los subobjetivos correspondientes, el per-
sonal comprenderá cómo sus funciones, responsabilidades y actuaciones afectan al tra-
bajo de los demás dentro de la organización; qué responsabilidades tienen en cuanto al
control interno; y qué tipo de comportamiento se considera aceptable o inaceptable. Tal
y como hemos mencionado en el apartado Entorno de control, al establecer las estruc-
turas, funciones y responsabilidades pedinentes, se facilita el poder llevar a cabo una
comunicación efectiva al personal sobre las expectativas que se tienen de ellos en lo
que respecta a control interno. Sin embargo, la comunicación de las responsabilidades
de control interno puede que no sean suficientes en sí mismas para garantizar que la di-
rección y el resto del personal asuman sus responsabilidades pertinentes y que respon-
dan como deban hacerlo. A menudo, la dirección deberá aplicar medidas oportunas que
sean coherentes con esta comunicación para reforzar los mensajes transmitidos.

La dirección definirá, pondrá en funcionamiento y desplegará controles que contribuyan

a garanlizar que la información se comparte mediante la comunicación interna y, que
ayudan a la dirección y al resto del personal a desempeñar sus responsabilidades de
control a través de las múltiples funciones, unidades operativas o divisiones. Por ejem-
plo:

El personal del departamento de ventas de una organización recaba información

sobre el número de defectos registrados en determinadas piezas. Esta información
también resulta útil para los directores de producción e ingeniería, dado que puede
indicar determinados problemas con el diseño de los productos o con la calidad de
la producción. De igual manera, los resultados de las actividades de supervisión se
comunican al resto del personal para ayudarles a identificar las causas originarias
del problema y adoptar medidas correctivas al respecto.

El deparlamento de auditoría interna lleva a cabo una auditoría sobre las comisio-
nes que se pagan a los distribuidores en un territorio en el que opera la organiza-
ción. La auditoría pone de manifiesto que se han producido casos de reporle de
información fraudulenta en los datos de ventas efectuadas a través de determina-

tontrol nterno - . 2013 ü

144rc0 lntegr¿do l'1ay0
,:, § fI
 dos distribuidores. La investigación posterior revela que un distribuidor ha realizado
pagos al representante de ventas. Esta información es compaftida con aquellas per-
sonas responsables de responder ante el supuesto fraude y también con Ia direc-
ción de ventas en otros territorios, permitiéndoles así analizar la información de
manera más crítica para determinar si se trata de un hecho aislado y para adoptar
las medidas necesarias.

eo¡Trunicac¡ón clel Control lnterno con e¡ Consejo

La comunicación entre la dirección y el consejo de administración proporciona al con-
sejo la información necesaria para ejercer sus responsabilidades de supervisión de con-
trol interno. La información relacionada con el control interno que se comunica al
consejo, generalmente incluye aspectos relevantes relacionados con el cumplimiento del
sistema de control interno, posibles cambios que se hayan producido en él o problemas
que tengan relación con el mismo. La frecuencia y el nivel de detalle de la comunicación
establecida entre la dirección y el consejo deberán ser suficientes para permitir al con-
sejo de administración comprender los resultados de las evaluaciones continuas e inde-
pendientes efectuadas por la dirección, así como el impacto de sus resultados en la
consecución de los objetivos. De igual manera, la frecuencia y el nivel de detalle deben
ser suficientes para permitir que el consejo de administración pueda responder sin dila-
ción ante posibles indicios de ineficacia en el sistema de control interno.

Por otro lado, es importante que exista una comunicación directa entre el consejo de ad-
ministración y el resto del personal. Los miembros del consejo deben tener acceso di-
recto a los empleados sin interferencia de la dirección. Por ejemplo, algunas
organizaciones animan a los miembros de su consejo a reunirse con la dirección y el
resto del personal sin que la alta dirección esté presente. Esto permite que los miembros
del consejo puedan hacer preguntas de manera independiente y evaluar aspectos clave
que, de lo contrario, los empleados quizá no se sintieran cómodos comentando, tales
como cuestiones relacionadas con el cumplimiento del código de conducta, la compe-
tencia del personal, o posibles casos de elusión de controles por parte de la dirección.
De igual manera, el sistema de control interno en su conjunto se verá mejorado por
aquel deparlamento de auditoría interna que sea independiente de la dirección. La co-
municación del área de auditoría interna con el consejo de administración será general-
mente directa, libre de interferencia por parte de la dirección y, en caso necesario,
confidencial.

Cornunicacién más allé de los canales ordinarios

Para que la información pueda fluir en sentido ascendente, descendente y a los distintos
niveles de la organización, deben existir canales de comunicación abierlos y una clara
disposición a informar y a escuchar. La dirección y el resto del personal deben tener la
seguridad de que sus supervisores realmente quieren conocer sus problemas y afrontar-
los con ellos en caso necesario. En la mayoría de los casos, las líneas de comunicación
ordinarias establecidas en una organización son el canal de comunicación más ade-
cuado. Sin embargo, el personal se dará pronto cuenta de si la dirección no tiene el
tiempo, el interés o los recursos necesarios para afrontar los problemas que ellos hayan
podido identificar. Más grave aún suele ser el hecho de que los gerentes poco receptivos

[0ntr0 lnterno - Intesrado .

137 ii § ! I l,larco I'layo 2013
o escasamente accesibles suelen ser los últimos en darse cuenta de que un canal de co-
municación ordinario no funciona de manera efectiva u operativa'

En algunas circunstancias, es necesario que existan líneas de comunicación indepen-

dientes que actúen como mecanismos a prueba de fallos para permitir la comunicación
de información de manera anónima o confidencial en aquellos casos en los que los ca-
nales habituales se encuentren inoperativos o carezcan de eficacia. Muchas organizacio-
nes disponen de un canal para este tipo de comunicaciones, e informan a los empleados
acerca de su existencia, lo que permite trasladar un mensaje directamente al conseio de
administración, a un delegado del consejo o a un miembro del comité de auditoría. En
algunos casos, las leyes o las regulaciones pueden exigir que las empresas dispongan
de este tipo de canal de comunicación alternativa (por ejemplo, un canal de denuncias).
Los sistemas de información deberán incluir mecanismos para comunicar información
de manera anónima y confidencial. Los empleados deberán comprender plenamente
cómo funcionan estos canales, cómo deben utilizarse y en qué medida serán protegidos
para poder utilizar con total confianza dichos mecanismos. Deben existir políticas y pro-
cedimientos en la organización que exijan que todas las comunicaciones efectuadas a
través de estos canales sean evaluadas, priorizadas e investigadas. Para ello, deberán
existir procedimientos de comunicación ascendente que garanticen que la información
necesaria se transmite a un miembro específico del consejo, que será responsable de
garanfizar que se llevan a cabo las evaluaciones, investigaciones y adopción de medidas
adecuadas en el momento oPortuno.

Estos mecanismos alternativos, que animan a los empleados a comunicar sospechas de

posibles infracciones del código de conducta de una organización sin miedo a represa-
lias, envían un claro mensaje de que la alta dirección está plenamente comprometida a
establecer canales de comunicación abiertos y a actuar con respecto a la información
que se les comunique.

Método de cornunicacién
para
La claridad de la información y la eficacia con la que se comunique son importantes
garantizar que los mensajes se reciben como se ha pretendido. De igual manera, las for-
mas activas de comunicación, tales como las reuniones cara a cara, Son a menudo más
efectivas que otras alternativas más pasivas, tales como las comunicaciones generales
por email o los anuncios en la intranet. La evaluación periódica de la eficacia de la co-
municación ayuda además a garantizar que estos métodos funcionan. Esto se puede
conseguir a través de distintos procesos existentes, tales como las evaluaciones del
desempeño de los empleados, las revisiones anuales de la dirección y demás programas
de feedback o retroalimentación.
pú-
La dirección definirá el método de comunicación que prefiera, teniendo en cuenta el
el momento en que se trate, el coste y
blico objetivo, la naturaleza de la comunicación,
posibles requisitos legales o regulatorios. La comunicación se puede llevar a cabo de di-
versas maneras, tales como:

a Cuadros de mando
a Comunicaciones vía email
a Formación presencial u online

(ontrot tnterno - l,1ar(0 lntegrado . lulayo 20ll i ffi I I 13\

 . Memorandosinformativos
. Conversaciones "Ltno a uno"
. Evaluaciones del desempeño
¡ Políticas y procedimientos
¡ Presentaciones
o Publicación en redes sociales
. Mensajes de texto
. Webcasts y otros formatos de vídeo
. Comunicaciones en el sitio web u otros sitios de publicación

A la hora de definir el método de comunicación, la dirección deberá tener en cuenta los

siguientes aspectos:

. Cuando los mensajes se transmiten de forma oral -ya sea en grupos grandes o pe-
queños, o en sesiones individuales- el tono de voz de quien habla y el lenguaje no
verbal sirven para enfalizar el mensaje que se está transmitiendo y potencian el en-
tendimiento, aumentando las posibilidades de que el receptor responda ante la co-
municación transmitida.

o Las diferencias culturales, étnicas y generacionales pueden afectar a la manera en

que se reciben los mensajes y deberán tenerse en cuenta a la hora de definir el mé-
todo de comunicación para poder respaldar a un amplio espectro de públicos (por
ejemplo, traduciendo el mensaje a distintos idiomas, celebrando reuniones indivi-
duales que respeten la privacidad de determinados aspectos que se vayan a tratar y
utilizando medios tecnológicos).

¡ Las comunicaciones que sean directamente relevantes para la eficacia del control
interno pueden exigir un método que permita que el mensaje se retenga y se con-
serve a largo plazo. En algunos casos, deberá conservarse la aceptación o acuse de
recibo y de entendimiento de determinadas políticas por parte de los empleados
(por ejemplo, del código de conducta, de prevención del blanqueo de capitales y de
seg uridad corporativa).

. Las comunicaciones que sean temporalmente más sensibles podrán enviarse a tra-
vés de métodos más informales y eficientes como el correo electrónico, mensajes
de texto o publicaciones en redes sociales, sobre todo si no fuera necesario conser-
var los mensajes y el contenido no fuera confidencial.

. La dirección y el personal que sólo se comunique a través de canales formales (por

ejemplo, memorandos oficiales de la organización) puede que no alcance a trasla-
dar el mensaje a todo el público objetivo, y puede que no reciba contestación de
aquellos que estén más acostumbrados a ulilizar métodos más informales (como el
correo electrónico, mensajes de texto o las publicaciones en redes sociales).

En cualquier caso, la mera comunicación de información relativa a las responsabilidades

de control interno puede que no sea suficiente para garantizar que la dirección y el resto
del personal reciban dicha información y respondan como deban hacerlo. A menudo, la
dirección deberá aplicar medidas puntuales que sean coherentes con esta comunicación
para reforzar los mensajes transmitidos.

t34 7$§ II iontrol Interno - l,1ar(0 lntesrado ' Mayo 2013

 {i}§1¡}en*i¡t€$ de! {á;l¿rci inierl1á i lnforma(ión y (omuni(a(ión

Se comunica con el exteríor

Principio 15: La organización se comunica con las partes
interesadas externas sobre los aspectos clave que afectan al
funcionamiento del control interno.

Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:

. Se comunica con las partes interesadas externas Existen procesos destinados

-
a comunicar información relevante y oportuna a las partes interesadas externas, in-
cluidos accionistas, socios, propietarios, organismos reguladores, clientes y analis-
tas financieros, entre otras.

. Permite la recepción de comunicaciones

- La existencia de canales de comuni-
cación abiertos permite que los clientes, consumidores, proveedores, auditores ex-
ternos, reguladores, analistas financieros y demás terceros realicen contribuciones,
Io cual permite que Ia dirección y el consejo de administración reciban información
relevante.

. Se comunica con el consejo de adminístración La información relevante que se

-
obtiene de las evaluaciones que llevan a cabo terceros externos se comunica al
consejo de administración.

. Facilita líneas de comunicación independientes

- Existen canales de comunica-
ción independientes -como los canales de denuncia- que actúan como mecanis-
mos seguros que permiten Ia comunicación de información de manera anónima o
confidencial en aquellos casos en los que los canales habituales se encuentran
inoperativos o carecen de eficacia.

¡ Define el método de comunicación pertinente El método de comunicación

-
tiene en cuenta el marco temporal, el público al que se dirige y Ia naturaleza de la
comunicación, así como los requisitos y asuntos de carácter jurídico, normativo y fi-
duciario.

Comunicación externa
La comunicación no sólo se produce dentro de la organización, sino que también se
lleva a cabo hacia fuera de la organización. A través de canales abiertos de comunica-
ción externa, se puede transmitir información impoftante sobre los objetivos de la orga-
nización a los accionistas u otros propietarios, a socios comerciales, organismos
reguladores, clientes, analistas financieros, organizaciones públicas y demás grupos de
interés externos. Tal y como se analiza en el Capítulo 2 Objetivos, componentes y prind-
pios, la comunlcación entrante desde el exterior hacia la organización debe abordarse de
manera diferente al resto de información externa.

lnterno- lntegrado . f'frvrZOfl *

§§I !
Control l,4arco 135
 f4a€* | ii1l*fii* *r {srt[:: " E?¡i:;iai;** d* qi*r*s:, Áii:,ii4i+{,1 d*'.i]nirtl ' lnforma(idn y (0muni(a(¡én ' Ai,"1t'1i:}*+ri*5ü?rn?=:,1}*

La organización desarrolla e implementa controles que facilitan Ia comunicaciÓn ex-

terna. Entre ellos podrán incluirse políticas y procedimientos para obtener o recibir infor-
mación procedente de grupos de interés externos y para comparlir dicha información
internamente, permitiendo a la dirección y al resto del personal identificar tendencias,
eventos o circunstancias que puedan afectar a la consecución de los objetivos. Por
ejemplo, las reclamaciones o consultas de clientes o proveedores acerca de envÍos de
productos, recepciones de mercancías, facturación u otras actividades inusuales podrán
indicar la existencia de problemas operativos, actividades fraudulentas o errores.

Comunicación saliente
La comunicación con las partes externas interesadas permite a dichos grupos Com-
prender los eventos, actividades o demás circunstancias que puedan afectar la manera
cómo interactúan con la organización. La comunicación llevada a cabo por la dirección
con las partes interesadas externas dará un mensaje sobre la importancia del control in-
terno en la organización al dejar clara la existencia o no de líneas abiertas de comunica-
ción. De igual manera, la comunicación con proveedores externos y clientes respaldará
la capacidad de la organización para mantener un entorno de control adecuado. Los
proveedores y clientes deben comprender completamente los valores y la cultura de la
organización. Para ello, deberán ser informados acerca del código de conducta de la or-
ganización y deberán reconocer sus responsabilidades a la hora de contribuir al cumpli-
miento del mismo. Por ejemplo, la dirección comunicará a los nuevos proveedores sus
controles relativos a las relaciones del negocio con proveedores y exigirá a todo nuevo
proveedor que acepte su cumplimiento antes de proceder a aulorizar la primera orden
de compra con dicho Proveedor.

Las herramientas tecnológicas y de comunicación permitirán a las partes interesadas ex-

ternas tener acceso a foros públicos para publicar y analizar las actividades, negocios y
controles de una organización. Cuando una organización utilice o autorice a sus emplea-
dos el uso de este tipo de foros públicos -tales como las redes sociales o herramientas
similares de comunicación sin restricciones- la dirección desarrollará e implementará
una serie de controles que definan las líneas generales de uso adecuado de dichos
foros, para evitar que pongan en peligro los objetivos de la organización.

Comunicación entrante para la dirección y el conseio

Las comunicaciones procedentes de las partes interesadas externas también pueden
aportar información imporlante sobre el funcionamiento del sistema de control interno
de una organización. Estas comunicaciones pueden incluir las siguientes:

. Una evaluación independiente de los controles internos de un proveedor de servi-

cios externalizados, relativos a los objetivos de la organización.

. Una evaluación del control interno efectuada por un auditor independiente, relativa
a la información financiera o no financiera de la organización.

. Feedback o retroalimentación procedente de los clientes en relación con la calidad

de sus productos, cargos inadecuados y errores o pérdida de recibos.

(ontrollntemo-l/arcolntesrado'
136 l§ §¡t I4at,o2013
 i,:nti;;¡¡li;i¿: r¡ri ir*ii*! l¡:l.r::t} i lnlormacidn y (omuniratión

. Adopción de cambios o promulgación de nuevas leyes, reglamentos, regulaciones,

normas y demás requisitos de organismos reguladores.

o Resultados de revisiones o análisis de cumplimiento regulatorio, tales como autori-

dades tributarias, bancarias o bursátiles.

. Preguntas planteadas por proveedores en relación con errores en los pagos realiza-
dos por productos vendidos.

. lnformaciones publicadas en medios de comunicación o sitios web de redes socia-

les respaldados o patrocinados por la organización.

La información resultante de las evaluaciones externas sobre las actividades de la orga-

nización que relacionadas con aspectos de control interno, es evaluada por la dirección
y, en caso oportuno, se comunica al consejo de administración. Por ejemplo, la dirección
de una organización puede firmar un acuerdo que permita ala organización utilizar perió-
dicamente unos servicios tecnológicos gestionados externamente para llevar a cabo el
procesamiento de transacciones en lugar de contratar a personal interno o de adquirir e
implementar hardware y software adicional dentro de la organización. La organización
utiliza datos sensibles de clientes en determinados procesos. Para mantener el cumpli-
miento de las políticas de la organización y las leyes, regulaciones y normas externas, un
proveedor externo lleva a cabo una evaluación del control interno sobre Ia seguridad y la
privacidad de los datos transmitidos externamente (incluidos datos transmitidos por ln-
ternet). Los resultados de dicha evaluación revelan debilidades en el control interno que
podrían afectar a la seguridad y privacidad de los datos. La dirección evalúa la imporlan-
cia de las debilidades identificadas y comunica la información necesaria para permitir al
consejo de administración llevar a cabo sus responsabilidades de supervisión.

La interdependencia de los procesos de negocio entre la organización y los proveedores

de servicios tercerizados servicios tercerizados puede desdibujar las líneas de responsa-
bilidad entre el sistema de control interno de la organización y el de los proveedores de
servicios externalizados. Esto genera la necesidad de adoptar controles más rigurosos
con respecto a la comunicación entre las pañes. Por ejemplo, la gestión de la cadena de
suministro de una multinacional minorista se produce a través del intercambio dinámico
e interactivo de actividades entre la propia organización, sus proveedores, los proveedo-
res de logística y los fabricantes contratados. El control interno sobre los procesos inte-
grales se conviefte en una responsabilidad compartida, pero pueden surgir dudas acerca
de qué organización es responsable en una fase específica del proceso. La comunica-
ción con los proveedores de servicios externalizados responsables de las actividades
que respalden los objetivos de la organización puede facilitar el proceso de evaluación
de riesgos, la supervisión de las actividades del negocio, la toma de decisiones y la
identificación de las responsabilidades para el control interno a lo largo del proceso, in-
dependientemente de dónde se produzcan las actividades.

Comunicacién más aliá de los canaNes regulares

Las relaciones de negocio entre la organización y las partes interesadas externos pue-
den ser complejas debido a los acuerdos formalizados con los proveedores de servicios
y demás acuerdos de externalización, negocios conjuntos, alianzas comerciales o estra-

(0ntr0 lnterno - . 2013

I44rc0 lntesrado lqayo
f &§ I 131
 (ü!itro! . lnformación y (omunicatión ' ártividedes de si¡ünril!5¡*n
llaffs ! Í!]t*rl}ü de {ríilrci . Er*iüá{ión d¡ Rielgc: ' Áciiviriad*s de

Este tipo de
tégicas y otro tipo de transacciones que generen dependencias mutuas.
cabo las actividades
complejidad puede generar preocupaciones sobre cómo se llevan a
de negocio por ambas partes o cómo se organizan entre ellas. En este
caso, la organiza-
ción debe establecer canales de comunicación separados a disposición de los clientes y
proveedores de servicios externalizados de forma que puedan comunicarse directa-
el caso de que
mente con la dirección y el resto del personal. Por ejemplo, puede darse
conjunto se
un cliente de una serie de productos desarrollados a través de un negocio
del negocio conjunto haya vendido produc-
entere de que uno de los socios integrantes
en virtud del contrato de
tos en un país en el que no tiene autorización para hacerlo
provocar que este cliente
dicho negocio conjunto. un incumplimiento de este tipo puede
en el negocio
no pueda utilizar ni revender los productos, con el consiguiente impacto
de dicho cliente. El cliente necesitará por tanto un canal en el que poder comunicar sus
preocupaciones al resto de miembros de la organización sin poner en peligro la continui-

dad de sus oPeraciones.

Método de comunicación
Los métodos utilizados por la dirección para comun¡carse externamente
afectan su ca-
pacidad para obtener la información necesaria así como para garantizar que los princi-
pales mensa.ies de la organización sean debidamente recibidos y comprendidos' La
los
dirección deberá tener en cuenta el método o métodos de comunicación utilizados,
la comunicación' el
cuales pueden variar en función del público objetivo, la naturaleza de
o regulatorios' Por ejemplo, los clientes
momento del que se trate y los requisitos legales
través del portal de
que habitualmente accedan a la información de la organización a
colgada
clientes de la organización podrán recibir mensajes a través de la información
en el sitio web corPorativo.
canales de in-
Por su parte, las notas de prensa y demás noticias publicadas a través de
a una mayor
versores o de relaciones pÚblicas a menudo son eficaces a la hora de llegar
audiencia de grupos de interés externos, garantizando así una amplia
distribución y au-
sociales,
mentando la probabilidad de que se reciba la información. Los blogs, las redes
las plataformas electrónicas y el email son también medios habituales de comunicación
que ayudan a
externa que pueden adaptarse y dirigirse a los destinatarios específicos,
permiten que
controlar la información obtenida de los grupos de interés externos y que
se pueda enviar y recibir información con mayor rapidez, gracias al uso
de los dispositi-
vos de comunicación móviles'

Control lnterno - lntesrado ' l4av0 2013

138 §§§ It lvlarco