Documentos de Académico
Documentos de Profesional
Documentos de Cultura
COSO MarcoYApendices2
COSO MarcoYApendices2
is:tr"r:*Liüe !#n
Todas las organizaciones, con inde-
pendencia de su tamaño, estructura,
naluraleza o sector en el que operen,
se enfrentan a riesgos a todos los ni-
veles. El riesgo se define en el Marco
como la posibilidad de que un evento
ocurra y afecte negativamente a la
consecución de los objetivos.
Como parte del proceso de identificación y evaluación de riesgos, una organización tam-
bién podrá identificar oportunidades, como pueda ser la posibilidad de que un evento se
produzca y afecte positivamente a la consecución de los objetivos. Estas oportunidades
son importantes para determinar y comunicar los procesos de fijación de objetivos. Por
ejemplo, en el caso anterior, la dirección canalizaría las opoftunidades de nuevas ventas
en los procesos de fijación de objetivos. Sin embargo, identificar y evaluar oportunida-
des potenciales, tales como nuevas opoftunidades de ventas, no es parle del control in-
terno.
El riesgo afecta a la capacidad de una organización para tener éxito, competir dentro de
su sector, mantener su solidez financiera y una reputación positiva, y mantener la calidad
general de sus productos, servicios y profesionales. En la práctica, resulta imposible re-
ducir el riesgo a un nivel de cero. De hecho, la mera decisión de participar en un negocio
ya conlleva un riesgo. La dirección debe determinar cuánto riesgo debe aceptar, esfor-
zarse por mantener el riesgo dentro de ese nivel y comprender cuánta tolerancia al
riesgo tiene para superar sus niveles objetivo de riesgos.
El riesgo a menudo se incrementa cuando los objetivos difieren del desempeño histórico
y cuando Ia dirección implementa cambios. De igual manera, una organización no suele
fijar objetivos explícitos cuando considera que su desempeño es aceptable. Por ejemplo,
puede que una organización considere que su servicio al cliente ha sido históricamente
- .
6B
ffi ffi § ¡I controt tnterno l4arco lntesrado lulatlo 2013
iorqpoflent+s del {nriir$i ¡[ffiils i [va¡il¡(ión de Riesg0s
aceptable y por tanto no necesite hacer cambios para mantener los niveles actuales de
servicio. Sin embargo, como parte del proceso de evaluación de riesgos, la organización
deberá disponer de un entendimiento común de los objetivos a nivel de organización re-
levantes para las operaciones, parala información y para el cumplimiento, y cómo estos
objetivos se despliegan a todos los niveles de la organización.
Toieranciñ al riessü
La tolerancia al riesgo es el nivel aceptable de variación del desempeño en relación con
h consecución de los objetivos. El hecho de operar dentro de un rango de tolerancia al
riresgo proporciona a la dirección una mayor confianza de que la organización logrará sus
objetivos. La tolerancia al riesgo se puede expresar de muy diversas maneras adaptán-
dose a cada categoría de objetivos. Por ejemplo, a la hora de considerar la información
financiera, la tolerancia al riesgo suele expresarse en términos de materialidadl0, mien-
fas que en áreas como el cumplimiento y las operaciones, la tolerancia al riesgo a me-
nudo se expresa en términos de nivel aceptable de variación del desempeño.
tle igual manera, la alta dirección tendrá en cuenta la importancia relativa de los distintos
obietivos y prioridades (algunos de los cuales podrían ser incluso contradictorios o ex-
ctryentes) a la hora de tratar de lograr dichos objetivos. Por ejemplo, puede que el COO
Sirector de operaciones) considere que los objetivos operacionales requieren un mayor
rúvel de precisión que las consideraciones de materialidad de los objetivos de informa-
ciín, y al contrario le sucederá al CFO (director financiero). No obstante, resultaría pro-
Hemático que las organizaciones que cotizan en el mercado de valores realizaran un
qcesivo énfasis en los objetivos operacionales hasta tal punto que afectarán negativa-
¡nente a la confiabilidad de la información financiera. Estos aspectos deberán ser teni-
dos en cuenta en el marco del proceso de planificación estratégica y de fijación de
ot{etivos, y las tolerancias deberán ser fijadas en consecuencia. Este tipo de decisiones
Bnbién podrá afectar a nivel de recursos asignados para la consecución de los respec-
livos objetivos.
Los parámetros de desempeño se utilizan para ayudar a una organización a operar den-
tro de una tolerancia de riesgo establecida. La mejor manera de medir la tolerancia al
1C. Los reguladores y otros organismos emisores de estándares definen el término "materialidad". La direc-
ción desarrolla un entendimiento de esa materialidad según se define este concepto en leyes, reglas y
rlormas a la hora de aplicar el Marco en el contexto de dichas leyes, reglas y normas.
. urvrzofl §§
tontrollnterno-l,lar(olntegmdo
§I I 6q
lsHa¡,n
riesgo a menudo es la misma unidad que los objetivos relacionados. Por ejemplo, una
organización:
Puede fijarse como objetivo que el 90% de aquellos profesionales que asistan a
cursos de formación aprueben los exámenes correspondientes, si bien puede acep-
tar que tan sólo un 75Yo Io haga.
Puede prever que los miembros de su personal respondan a todas las reclamacio-
nes de los clientes en un plazo de 24 horas, pero puede aceptar que hasta un 1O%o
de las reclamaciones puedan recibir una respuesta en un plazo de 36 horas.
.
70
§ IIII tontrol lnterno - Mar(o lntesrado l,4ay0 2013
[omponcnies dei (ontrol lntcrnc , [valuacidn de Riesgos
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de impodantes caracte-
rísticas relativas a los objetivos operacionales, de información y de cumplimiento:
O bj et ivos O pe raci o na I es
o Considera Ia rnaterialidad
- La dirección tiene en cuenta la materialidad en Ia pre-
sentación de los estados financieros.
(ontrolnterno - . zoB
tvlano tnresrado uavo
§ |!II
[n!§r§0 S* (0|1trf¡ . Esñlila{i{iñ de §iesgos " árli¡id¡d*s de {¿fitrs! " inÍrrme{idn I {e$ur:ke¿idfi " &etisidad*sde 5¡pervisiór
Effif{¿r,a
üi;lefivos de lnfr.rmacirsn §ro Fin*nciera §xt*rna
. Cumpie las norn:a* y smar§c¡§ estahleclslcs exterrlamente -La dirección establece
objetivos coherentes con las leyes y regulaciones, o normas y marcos de organiza-
ciones externas reconocidas.
ü bj et i v* s d * Ctt rn B llmfen fo
. R*fl*ja las sey** y regr.llaeienes externas - Las leyes y regulacionesestablecen
normas mínimas de conducta que la organización integra en sus objetivos de cum-
plimiento.
. Tlene er.? cu*nta las toloraneias al riesg* - La dirección tiene en cuenta los niveles
aceptables de variación en relación con la consecución de los objetivos de cumpli-
miento.
La alineación de los objetivos a otras circunstancias que requieran una atención es-
pecífica por parle de la organización.
Cuando los objetivos de estas categorías no estén claros, cuando no esté claro en qué
:redida estos objetivos respaldan la dirección estratégica, cuando existan dudas o preo-
cupaciones de que los objetivos puedan no ser adecuados en base a las circunstancias,
a los hechos y a las leyes, reglas, regulaciones y normas establecidas aplicables a la or-
ganización, o cuando la organización tenga que basar su evaluación de riesgos en una
serie de objetivos comprendidos pero no autorizados, la dirección comunicará esta pre-
ccupación para que se incorpore al proceso de establecimiento de la estrategia y de fija-
:ión de objetivos.
I os objetivos operacionales reflejan las opciones elegidas por la dirección dentro del en-
torno específico de negocio, sectorial y económico en el que opera la organización. Por
ejemplo, una agencia pública municipal puede que cuente con varios objetivos operacio-
rales, cada uno de los cuales respaldado por una serie de iniciativas y criterios. Entre
sus objetivos se encuentran por ejemplo:
Una organización con ánimo de lucro puede establecer objetivos operacionales que se
centren en el uso eficiente de recursos. Por ejemplo, una gran cadena comercial puede
tener entre sus objetivos:
Mefes y rsc{"Jr§#s
Un conjunto claro de objetivos operacionales proporciona un claro punto de atención
sobre el que la organización comprometerá los recursos significativos necesarios para
conseguir las metas de desempeño deseadas. Entre dichas metas se incluyen objetivos
relativos al desempeño financiero, que serán aplicables a todos los tipos de organiza-
ciones . Una organización con ánimo de lucro puede centrarse en los ingresos, rentabili-
dad, liquidez o cualquier otro parámetro, mientras que una organización sin ánimo de
lucro o una agencia pública puede que haga un menor énfasis general en los parámetros
financieros, pero seguirá esforzándose por alcanzar metas en cuestión de ingresos, liqui-
dez y gasto. Si los objetivos operacionales de una organización no están bien concebi-
dos o claramente especificados, sus recursos podrían ser utilizados de manera
deficiente.
ios por las instrucciones estratégicas de la organización y por los requisitos y expectati-
, as de información establecidos por la dirección y el consejo de administración.
-as organizaciones deben lograr los objetivos de información financiera para satisfacer
as obligaciones externas. La información financiera y los estados financieros publicados
son necesarios para acceder a los mercados de capital y pueden resultar críticos a la
-ora de optar a la concesión de determinados contratos o al negociar con proveedores.
-os inversores, analistas y acreedores pueden utilizar los estados financieros y otro tipo
:e información financiera para evaluar el desempeño de la organización y para compa-
-arlos con sus homólogos y con otras alternativas de inversión.
-os objetivos de información financiera son coherentes con los principios contables ade-
:uados y disponibles para Ia organización y apropiados a las circunstancias. Los objeti-
,cs de información financiera externa abordan en la preparación de los estados
'nancieros a efectos externos, incluidos los esiados financieros publicados, otros esta-
:cs e informes financieros, y otras formas de información financiera externa derivadas
:e los registros y libros financieros y de contabilidad de gestión de la organización.
. Los estados financieros para propósitos externos se preparan de acuerdo con las
normas, reglas y regulaciones contables aplicables. Estos estados financieros pue-
den incluir los estados financieros intermedios y anuales, los estados financieros
consolidados y la información financiera específica que se derive de dichos esta-
dos. Estos estados, por ejemplo, puede que se presenten públicamente ante un re-
gulador, se distribuyan en las asambleas anuales, se publiquen en el sitio web de la
organización o se distribuyan a través de medios electrónicos.
. Otros estados e informes financieros puede que se preparen de acuerdo con otras
bases contables y estén fundamentalmente motivados por las autoridades fiscales,
las agencias públicas o por otros requisitos contractuales. Los informes y estados
financieros puede que sean distribuidos a usuarios externos (por ejemplo, para in-
formar a un banco sobre los covenants o acuerdos financieros establecidos en un
contrato de préstamo, o a una autoridad fiscal en relación con la presentación de
declaraciones de impuestos, o a una agencia de financiación por parte de una orga-
nización sin ánimo de lucro en las que dichas declaraciones no se hagan públicas).
' Relevancla
- información que es capaz de marcar la diferencia en las decisiones
del usuario.
o Representación Fiel información que es completa, neutral y exenta de errores.
-
Las características de mejora hacen referencia a la comparabilidad,
verificabilidad, opor-
tunidad y comprensibiridad, tar y como se indica a continuación:
' Comparabilidad información que puede ser comparada con otra Información si-
-
milar sobre otras organizaciones y con información similar sobre Ia propia
organiza-
ción correspondiente a otro periodo u otra fecha.
' Verificabilidad
- diferentes observadores independientes y debidamente informa-
dos alcanzan un consenso, aunque no necesariamente un acuerdo
completo, de
que una descripción específica es una representación fiel.
' Oportunidad
- contar con información disponible para los responsables de la toma
de decisión en el momento adecuado para su uso.
o Comprensibilidad
- información que es clasificad a, caracterizada y presentada con
claridad y concisión.
'1
1. Derivadas de las Normas rnternacionares de rnformación Financiera,
l2 Algunas.iurisdicciones pueden describir las afirmaciones contables de
los estados financieros utilizando
térmjnos tales como "existencia u ocurrencia,, ,,integridad, ualoraoon
ciones", y "presentación e información a revelar,'
oii,g;;¿.",
,,derechos
y obriga_
.
las características cualitativas indicadas anteriormente se aplican junto con las normas
contables adecuadas y las informaciones contables en los estados financieros. Dichas
drmaciones normalmente se encuadran en las categorías relativas a:
¡ Utiliza criterios establecidos por terceras paftes así como normas o marcos exter-
nos, según sea oportuno.
Los objetivos de información interna varían de una organización a otra dado que las
dife-
rentes organizaciones tendrán distintas metas, direcciones estratégicas, y niveles de
to-
lerancia al riesgo. Al igual que sucede con Ia información externa, la información interna
también refleja el nivel requerido de precisión y exactitud adecuado a las necesidades
internas y para las actividades subyacentes de la organización, presentando transaccio-
nes y eventos dentro de un rango de límites aceptables.
Muchas organizaciones aplicarán normas externas para asistir en la gestión de sus ope-
raciones. Dichas normas pueden hacer referencia al control sobre la tecnología, la ges-
tión de los recursos humanos y la gestión de los registros documentales. Sin embargo,
dado que las normas que son aplicables a la información externa pueden no ser aplica-
bles a la información interna, la dirección puede elegir un conjunto diferente de niveles
de variación aceptable parala información externa e interna.
o Utiliza criterios establecidos por terceras parles así como normas o marcos exter-
nos, según sea opoduno.
' Clasifica y resume la información de una forma razonable y con un nivel apropiado
de detalle de manera que no sea ni demasiado pormenorizadani demasiado gene-
ral.
' Presenta las transacciones y eventos de acuerdo con nivel requerido de precisión y
exactitud adecuadas para las necesidades del usuario.
.
ffi §§ II (ontrot tnterno - t4arco tntesraclo I,fayo 20tj
¡
{smpñiielli*s d*¡ {0§hai i¡rterrlo i fualuaiién dr PiÉs$o§
tables en el contexto del cumplimiento de las leyes y regulaciones. Dichas leyes y regu-
laciones pueden hacer que la dirección fije unos menores niveles de variación aceptable
para seguir cumpliendo con dichas leyes y regulaciones.
Las organizaciones deben llevar a cabo sus actividades, y a menudo adoptar medidas
específicas, de acuerdo con las leyes y regulaciones aplicables. A la hora de especificar
sus objetivos de cumplimiento, la organización debe comprender qué leyes y regulacio-
nes son aplicables ala organización. Muchas leyes y regulaciones son, en general, bien
conocidas, como por ejemplo aquellas que guardan relación con la prevención de sobor-
nos, Ias prácticas laborables justas y el cumplimiento de la legislación medioambiental,
pero otras pueden resultar menos conocidas parala organización, como por ejemplo las
aplicables a una organización que quiera llevar a cabo sus operaciones en un territorio
extranjero.
¡ Contar con una flota de vehículos que se encuentren dentro de los requimientos
máximos de control de emisiones.
Furitos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
!dentificacién de riesgos
La identificación del análisis de riesgos es un proceso iterativo continuado que se lleva a
cabo para ampliar la capacidad de la organización para lograr sus objetivos. Aunque una
organización podría no indicar explícitamente todos sus objetivos, esto no significa que
un objetivo implícito se encuentre exento de un riesgo interno o externo. Con indepen-
dencia de si un objetivo se indica expresamente o implícitamente, el proceso de evalua-
ción de riesgos de Ia organización deberá tener en cuenta los riesgos que puedan
ocurrir. Este proceso se ve respaldado por una serie de actividades, técnicas y mecanis-
mos, cada uno de ellos relevantes para el conjunto de la evaluación de riesgos. La direc-
ción desarrolla e implementa controles relacionados con el desarrollo de estas
actividades.
La dirección tiene en cuenta los riesgos a todos los niveles de la organización y adopta
las medidas necesarias para responder ante ellos. La evaluación efectuada por una or-
ganización tendrá en cuenta factores que influyan en la gravedad, velocidad y persisten-
tonnollntuno-Marcolntesrado .
BO
#§§ ¡| t4ay02013
it:.fi:it::á*nri:ll
cia del riesgo, la probabilidad de que se produzcan pérdidas de activos, y el impacto re-
lacionado en las actividades de operaciones, de información y de cumplimiento. De igual
manera, la organización debe comprender su tolerancia a la hora de aceptar riesgos y su
capacidad para operar dentro de dichos niveles de riesgo. La identificación de riesgos
debe ser muy detallada. Deberá tener en cuenta todas las interacciones significativas
-
de productos, servicios e información- internas que se generen dentro de una organi-
zación y entre la propia organización y los correspondientes socios comerciales y
proveedores de servicios externalizados. Estas organizaciones pueden incluir a provee-
dores, inversores, acreedores, accionistas, empleados, clientes, compradores, interme-
diarios y competidores potenciales y existentes así como organismos públicos y medios
de comunicación. De igual manera,la organización deberá tener en cuenta los riesgos
que se deriven de factores externos tales como la aprobación o modificación de leyes y
regulaciones, aspectos medioambientales y eventos naturales que puedan producirse.
De igual manera, es imporlante tener en cuenta que los riesgos que hacen referencia
fundamentalmente a una categoría de objetivos pueden influir en los objetivos de otras
categorías. Por ejemplo, un riesgo que hace referencia fundamentalmente a un objetivo
operacional en lo que respecta a la producción y entrega oporluna de los productos de
una compañía, también puede afectar a la información financiera si los contratos comer-
ciales de la compañía contienen sanciones por retrasos en las entregas. En aquellos
casos en los que una organización esté valorando los riesgos que hagan referencia fun-
la información financiera-
damentalmente a una categoría de objetivos
-por ejemplo a que
el proceso de evaluación de riesgos puede que también tenga considerar objetivos
de otras categorías que puedan impactar en dichos objetivos de información financiera.
La identificación de riesgos tiene en cuenta los riesgos a los distintos niveles de la es-
tructura organizacional, incluido el conjunto de la organización y sus unidades de nego-
cio y procesos tales como ventas, recursos humanos, marketing, producción y compras.
La identificación de riesgos a nivel de organización suele llevarse a cabo a un nivel relati-
vamente alto y, por lo general, no incluye la evaluación de los riesgos a nivel de transac-
ciones. Por el contrario, la identificación de riesgos a nivel de procesos es, por su propia
naturaleza, más detallada e incluiría los riesgos a niveles de transacciones.
De igual manera, la evaluación de riesgos tiene en cuenta los riesgos que se originan en
los proveedores de servicios externalizados, en los principales proveedores y socios co-
merciales que puedan impactar directa o indirectamente en la consecución de los objeti-
vos por parle de la organización.
- . 201]
[ontrol lnterno l,4arco lntegrado I4ay0
; §¡ I
flÉff* ¡ ñíiierns fle {sí::rsl " Ev¡iLrd(iéfi de &aes§0s
- Á{tir;dfrde5 de {ritrql - inisr:8f{i{i:i y i*ñrl!,]i{*íi¿!l . Ártivldades de 5¡¡p*:visi*r':
. Regulatorio Una nueva norma de información financiera que pueda exigir infor-
-
mación diferente o adicional a una organización jurídica, al modelo operativo adop-
tado por la dirección o a una línea de negocio; una nueva ley o regulación
antimonopolio que pueda exigir la aplicación de determinados cambios en las estra-
tegias o políticas operativas o de información.
.
B2
ffi §§ II tontrollnterno-l'4aÍ(0lntesrado ¡4ay02013
i$mpsnentes d*l {§nirsl !ñterfls I [vaiuacidn de Riesgos
. y
Acceso a activos
- La naturaleza de las actividades de la organización la accesi-
bilidad de los empleados a los activos que pueden contribuir a la apropiación inde-
bida de recursos.
Por ejemplo, un importador de calzado y ropa puede establecer el objetivo a nivel de or-
ganización de convertirse en el líder del sector en moda de alta calidad. La organización
iendrá en cuenta riesgos generales como el impacto del deterioro de las condiciones
económicas, la aceptación de los productos por parte del mercado, la aparición de nue-
vos competidores en el mercado y los cambios que se puedan producir en las regulacio-
nes y leyes medioambientales o regulatorias. De igual manera, la organización podrá
tomar en cuenta riesgos a nivel de organización tales como:
Los riesgos se identifican a nivel de transacción dentro de las filiales, divisiones, unida-
des operativas o funciones, incluidos procesos de negocio tales como ventas, compras,
producción y marketing. La gestión de riesgos a este nivel contribuye a la consecución
de los objetivos y/o subobjetivos que se han desplegado en sentido descendente a par-
. uavtzou
tonfollnterno-laarcolntesrado
§l§ I t
tir de los objetivos a nivel de organización. Una evaluación adecuada de riesgos a nivel
de transacciones, también contribuye al mantenimiento de unos niveles aceptables a
nivel de organización.
Una vez que se han identificado los riesgos tanto a nivel de organización como a nivel de
transacción, será necesario llevar a cabo un análisis de riesgos. La metodología para
analizar los riesgos puede variar, fundamentalmente porque muchos riesgos resultan difí-
ciles de cuantificar. En cualquier caso, el proceso -que podrá ser más o menos formal-
normalmente incluirá Ia evaluación de la probabilidad de que se produzca el riesgo y la
evaluación de su impacto. De igual manera, el proceso podrá tomar en cuenta otros cri-
terios en la medida en que la dirección lo considere necesario.
Al igual que sucede con otros procesos del control interno, la responsabilidad por la ren-
dición de cuentas y la comunicación de información de cara a la identificación de ries-
gos y a los procesos de análisis, le corresponde a la dirección en el conjunto de la
organización y de sus unidades de negocio. La organización dispone de mecanismos de
evaluación de riesgos efectivos que implican a los niveles oportunos de la dirección que
dispongan de los conocimientos adecuados.
Como parte del análisis de riesgos, la organización evalúa la importancia de los riesgos
de cara a la consecución de los objetivos y de los subobjetivos. Las organizaciones pue-
den evaluar la importancia de los riesgos utilizando criterios tales como los siguientes:
La velocidad a la que se produzca un riesgo hará referencia al ritmo al que se espera que
la organización experimente el impacto del riesgo. Por ejemplo, un fabricante de electró-
nica de consumo puede tratar de cambiar las preferencias de los clientes y el cumpli-
miento de los límites energéticos de las radiofrecuencias. El hecho de no poder
gestionar estos riesgos puede resultar en una erosión significativa del valor de la organi-
zacion, hasta el punto de que pueda terminar quedándose fuera del mercado. En este
caso, los cambios en los requisitos regulatorios se desarrollarán mucho más lentamente
que los cambios en las preferencias de los consumidores.
Un riesgo que no tenga un impacto significativo en la organizaciÓn y que sea poco pro-
bable que se produzca, por lo general, no exigirá una respuesta detallada ante dicho
riesgo. Un riesgo que tenga una mayor probabilidad de que se produzca y/o que tenga
un potencial impacto significativo, por lo general, derivará en una mayor atención pres-
tada. Pero incluso aquellos riesgos con un elevado impacto potencial y una baja proba-
bilidad de que se produzcan, deberán ser evaluados, evitando hipótesis como que "este
tipo de riesgos no se produce en esta organización", dado que incluso los riesgos de es-
casa probabilidad pueden llegar amaterializarse. La importancia de comprender los ries-
gos que han sido evaluados como de baja probabilidad es mayor cuando el potencial
impacto del riesgo puede prolongarse durante un mayor período de tiempo. Por ejem-
plo, el impacto a largo plazo sobre la organización de un problema medioambiental oca-
sionado por las actuaciones de una organización podrá considerarse de manera muy
diferente que el impacto a largo plazo de que una tecnología no esté operativa en una
planta de fabricación durante varios días.
De igual manera, la dirección puede que prefiera evaluar los riesgos utilizando un hori-
zonte temporal coherente con el horizonte temporal de los objetivos relacionados. Dado
que los objetivos de muchas organizaciones se centran en el cotlo o medio plazo, la di-
rección analiza los riesgos asociados con dichos marcos temporales. Sin embargo, algu-
nos objetivos se prolongan hasta el largo plazo y la dirección no debe ignorar estos
riesgos que podrían prolongarse de manera considerable en el futuro.
La dirección tiene en cuenta tanto el riesgo inherente como el riesgo residual. El riesgo
inherente es el riesgo que afecta a la consecución de los objetivos de la organización en
caso de que no concurran medidas algunas adoptadas por la dirección para alterar la
probabilidad o el impacto del riesgo. El riesgo residual es el riesgo que afecta a la conse-
cución de los objetivos y que sigue existiendo una vez adoptadas e implementadas las
respuestas pertinentes por parle de la dirección. El análisis de riesgos se aplica primero
al riesgo inherente. Una vez que las respuestas ante los riesgos han sido desarrolladas,
tal y como se analiza posteriormente, la dirección considerará el riesgo residual. La eva-
luación del riesgo inherente además del riesgo residual puede ayudar ala organización a
comprender hasta qué punto se necesitan adoptar respuestas ante los riesgos.
Una vez que ha sido evaluada la impoftancia potencial de los riesgos, la dirección tendrá
en cuenta cómo debe gestionar el riesgo. Para ello, será necesario aplicar el criterio pro-
fesional en base a las hipótesis sobre el riesgo y un análisis razonable de los costes aso-
ciados con la reducción del nivel de riesgo. La respuesta adoptada no derivará
necesariamente en un menor volumen de riesgo residual. Pero en caso de que una res-
86
§ !| crrtrr Lnterno - l,4arco lntesrado ' l,1ay0 2013
r.¡::i:a::¡:ti.¡:::¡:i!:11;
:ti?3aa:iit¡tjlt:iii:{1é
:iaf li::i*1i:i§:|ii.'i
i.ri:i.;$g4!a::::}l§
i.ir¡**r!#+i {iri i{:i'iir¿:i i::i¡l-;: i :, ,:,.,rr r!r.i!la:§+;,1i:lilllii;1ii
¡ilt+:rj¡.iiiiil§i*
puesta ante el riesgo derive en un riesgo residual que supere los niveles aceptables para
la dirección del consejo, la dirección deberá volver a analizar y revisar dicha respuesta.
En consecuencia, el equilibrio entre el riesgo y la tolerancia al riesgo puede ser iterativo.
Los recursos siempre tienen limitaciones, y las organizaciones deberán tener en cuenta
los costes y beneficios asociados a las distintas alternativas de respuesta disponibles.
Antes de implementar procedimientos adicionales, la dirección deberá tener en cuenta
si algunos de los procedimientos ya existentes pueden ser adecuados para abordar los
riesgos identificados. Dado que determinados procedimientos pueden cumplir múltiples
objetivos, la dirección podría darse cuenta de que no son necesarias nuevas medidas o
l4ay020tl
Controttnterno-tularcotntesrado.
Éffi !I
i{:tta1: I l:':r.,:,;'.:. :l: ,.il..'.lti '
de que los procedimientos existentes podrían ser suficientes o sencillamente deben ser
llevados a la práctica con un mayor nivel de exigencia.
Existe una diferencia importante entre la evaluación de riesgos, que forma parte del con-
trol interno, y la elección de respuestas específicas ante los riesgos y los planes, progra-
mas u otras medidas relacionadas, que forman parte del proceso de gestión de riesgos y
no de los controles internos. El control interno no incluye asegurarse de que se adopta la
respuesta más óptima para abordar los riesgos identificados. Por ejemplo, la dirección
de una organización puede optar por compadir el riesgo relativo a las tecnologías al ex-
ternalizar determinados aspectos de su procesamiento tecnológico a una organización
con mayor experiencia en ese ámbito (reconociendo que esta práctica podría introducir
también nuevos riesgos en la organización), mientras que otra organización puede optar
por mantener el procesamiento tecnológico dentro de su propia organización y desarro-
llar controles generales sobre las actividades para gestionar los riesgos tecnológicos
asociados. Tanto una alternativa como otra pueden ser correctas o incorrectas en fun-
ción de la organización, dado que ambas alternativas pueden resultar eficaces para ges-
tionar los riesgos tecnológicos. Pero en caso de que una respuesta ante el riesgo derive
en un riesgo residual que supere los niveles de tolerancia al riesgo para alguna categoría
de objetivos, la dirección deberá volver a analizar y revisar dicha respuesta.
Una vez que la dirección haya optado por reducir o compadir un riesgo, podrá determi-
nar las medidas a adoptar para dar respuesta a dicho riesgo y seleccionar y desarrollar
las actividades de control relacionadas. La naturalezay el grado de dicha respuesta así
como las actividades de control relacionadas dependerán, al menos en pafte, del nivel
deseado de mitigación del riesgo (que es el punto que se analiza en el Capítulo 7). En al-
gunos casos, la dirección podrá seleccionar una respuesta que requiera la adopción de
medidas dentro de otro componente del control interno, por ejemplo, ampliando o mejo-
rando una par.te del entorno de control.
Por lo general, las actividades de control no son necesarias cuando una organización
opta por aceptar o bien evitar un riesgo específico. Por ejemplo, una organización mi-
nera que tenga un riesgo significativo ante los precios de las materias primas podrá de-
cidir aceptar el riesgo, al considerar que los inversores son conscientes de dicho riesgo
y lo aceptan. En este caso, la dirección no llevarÍa a cabo ninguna actividad de control
en relación con su exposición al riesgo por el precio de las materias primas, pero proba-
blemente implementaría actividades de control relacionadas con otras afirmaciones
contables que se efectúen en los informes financieros externos, incluidas cuestiones de
integridad y valoración. Sin embargo, puede que existan casos en los que una organiza-
ción decida evitar un riesgo, y opte por desarrollar actividades de control a fin de evitar
dicho riesgo. Por ejemplo, para evitar preocupaciones sobre posibles prácticas anticom-
petitivas, una organización podría implementar actividades de control que impidan la
compra de productos a determinadas organizaciones. De igual manera, la dirección
puede que tenga que revisar el nivel de riesgo a la vista de los cambios que puedan pro-
ducirse y hacer que la aceptación de un riesgo deje de ser deseable gara la organiza-
ción, por ejemplo si dicho riesgo supera la tolerancia establecida por la organización.
Cuando la dirección opte por no evaluar un riesgo o no identifique un riesgo, esto será
equivalente a aceptar el riesgo sin tener en cuenta posibles cambios en el nivel de riesgo
relacionado o si dicho riesgo sigue situándose dentro de la tolerancia al riesgo de la or-
ganización.
i:
jl,; ::. * * l': i; ¡¡ * :,
l-' :."J I t"
Los siguientes puntos de interés ponen de manifiesto una serie de imporlantes caracte-
rísticas relativas a este principio:
. 'i:q:t+ f¡": l-.:;.1r1* ¡j¡Sl¡nir:; i.;ai*:; i:É .:1..t,-:¡,j'l La evaluaCión del fraUde tiene en
-
cuenta posibles informaciones fraudulentas, pérdida de activos y casos de corrup-
ción que se deriven de las distintas maneras en que se pueden producir casos de
fraude y conductas irregulares.
'j-:
l,:e¡* i:,t' i:'*u,-jt
La evaluación de riesgos incluye, la valoración por parte de la dirección de los riesgos
relativos a la información fraudulentay ala protección de los activos de Ia organización.
De igual manera, la dirección tiene en cuenta posibles actos de corrupción, tanto por
parte del personal de la organización como de proveedores de servicios externalizados
que impacten directamente en la capacidad de la organización para lograr sus objetivos.
Las medidas que se pueden llevar a cabo como parte de la aplicación de este principio
guardan una estrecha relación con el principio anterior ("ldentifica y analiza el riesgo"),
que evalúa los riesgos en base a la hipótesis de que las normas de conducta ética que
se esperan de la organización serán cumplidas por la dirección, por el resto del personal
y por los proveedores de servicios externalizados. Este principio, "Evalúa el riesgo de
fraude", evalúa el riesgo en un contexto diferente, cuando las medidas de un individuo
pueden no estar alineadas con las normas de conducta que se esperan del mismo. La
dirección podrá además tener en cuenta el punto de atención referente al principio ante-
rior "ldentificay analiza el riesgo" a la hora de desarrollar, implementar y llevar a cabo el
control interno. Por ejemplo, las respuestas dadas a los riesgos identificados como parte
de este principio, se enmarcan dentro de las mismas categorías indicadas anteriormente
(aceptar, evitar, reducir y compartir). De igual manera, tal y como se ha indicado anterior-
,
(0ntr0l lnterno - l,Iarro lntegrado l,layo 2013 rr'
ffi ffi II B9
mente, la selección y el desarrollo de controles adoptados por la dirección para llevar a
cabo respuestas ante riesgos específicos, resulta esencial para mitigar los riesgos de
fraude.
! n {a r rn a c ion &;:udr"¡ien fa
La información fraudulenta puede producirse cuando los informes de una organización
se elaboran de manera premeditada con omisiones o errores. Estos eventos pueden pro-
ducirse a través de gastos o cobros no autorizados, irregularidades financieras y cual-
quier otro tipo de conducta irregular en la divulgación de información. Un sistema de
control interno sobre la información financiera está diseñado y se ejecutapara evitar o
detectar, de manera opoftuna, una omisión o error material en los estados financieros
debido a un error o a un fraude.
Cuando se evalúan los riesgos para la consecución de los objetivos de información fi-
nanciera, las organizaciones suelen tener en cuenta el potencial de fraude existente en
los siguientes ámbitos:
. lnformación financiera fraudulenta Un acto intencionado dirigido a engañar a los
-
usuarios de los informes financieros externos y que puede dar como resultado un
error u omisión material en dichos informes financieros.
¡ Acfos ilícitos
- lncumplimiento de leyes o regulaciones públicas que podrían tener
un impacto material directo o indirecto en los informes financieros externos.
Como parte del proceso de evaluación de riesgos ,la organización deberá identificar las
distintas maneras en las que puede producirse la información fraudulenta, teniendo en
cuenta:
o La imparcialidad mostrada por la dirección, por ejemplo, a la hora de seleccionar los
principios contables.
(ontrollnterno-l'aarcolntesrado .
90
ffi §§lI [4ay0201]
i.'¡ *z* t;i:*.-:;',t : 4 *i i+ I ¿i! lii, 111 2t, 1,
Transacciones poco habituales o complejas que estén sujetas a una significativa in-
fluencia de la dirección.
Puede que existan casos en los que la organización no sea capaz de gestionar directa-
mente la información capturada en el marco de la información financiera, y sin embargo
se espera de ella que disponga de controles dentro de la organización que identifiquen,
analicen y respondan ante ese riesgo en parlicular. Por ejemplo, la dirección de un pro-
veedor de software puede que no tenga capacidad para evitar que el personal de uno de
sus clientes online manipule las cifras de ventas registradas para reducir el importe que
deba pagar al proveedor de software. Sin embargo, la compañía de software podrá im-
plementar actividades de control para detectar este tipo de información fraudulenta al
comparar los niveles de registro de software nuevo con los volÚmenes de ventas.
De igual manera, los riesgos relativos al registro completo y preciso de las pérdidas de
activos en los estados financieros de la organización representan un objetivo de informa-
ción. En relación con los objetivos de información financiera, pueden surgir omisiones o
errores por el hecho de no haber registrado la pérdida de activos, por la manipulación de
los estados financieros para ocultar dichas pérdidas o por el registro de transacciones
fuera del período correspondiente. Por ejemplo, una organización puede mantener abier-
tos sus libros contables durante un período de tiempo posterior al cierre del ejercicio
para incluir en ese período ventas adicionales, o contabilizar de manera ilícita traspasos
de existencias entre organizaciones de un mismo grupo, o manipular la amortización de
sus activos de capital.
Con independencia del objetivo que pueda verse afectado por dicha actuación, la res-
ponsabilidad por la prevención de pérdidas y por los procedimientos y políticas anti-
fraude seguirá recayendo en la dirección de la organización y de las unidades de
negocio en las que resida al riesgo.
que se pueden adoptar para anular estos controles no se suelen documentar ni revelar,
dado que su propósito es precisamente la de encubrir determinadas actuaciones.
Como parte de la evaluación del riesgo de fraude, la dirección evaluará el riesgo de elu-
sión del control interno por pañe de la dirección. El consejo de administración o cual-
quier otro comité dependiente del mismo (por ejemplo, el comité de auditoría)
supervisará esta evaluación y cuestio nará a la dirección en función de las circunstancias.
El entorno de control de la organización puede influir significativamente en el riesgo de
elusión de controles por pafie de la dirección. Esto es especialmente importante en el
caso de las organizaciones de menor tamaño, en las que la alta dirección puede partici-
par de manera muy activa en el desarrollo e implementación de múltiples controles.
dlpcrf¿-¡,q¡da#
. :,
(6ntr¡l lntern¡ - l,lar(o lnteqrado [1ay0 2013
ffi § II 93
Por ejemplo, la probabilidad de que se produzca una pérdida de activos o una informa-
ción externa fraudulenta aumenta cuando existe:
Una persona considera que la organización le debe algo como resultado de su ele-
vada insatisfacción profesional (salario, entorno de trabajo, trato por parte de sus
jefes, etc.).
.
94
ffi ffi § tI [ontrol lnterno-lvlar(o lntesrado ]v1ay02013
{*mpeneniÉs del {sntro! ¡liics1o i Evaluarión de Riesgos
y
podrá ser menos vulnerable ante la influencia de directivos de operaciones locales
número de programas
podrá implementar de manera más eficiente en costos un mayor
de prevención del fraude'
95
Control lnterno-l'larcolntesrado'r'lrvrZOrl §§§tf
14*ric I Éiltcrn* de {0nlrü} " lsalua{idfi de É!ers*! " Á*iHid*dss de {únirül ' ¡nf0rfi};lii*fi trr {rffitJ'1;i*{!*!} " A{fidid;rd*s de 5üÉeír,isió*
,r}ur:t*s de lnterés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
¡ *§ r¡;*d*l* #* r-l*g**i*
ñv*itia l*s *a¡'s:hi*s *n La organización tiene en cuenta
los impactos potenciales en las nuevas líneas de negocio, Ios grandes cambios
-
efectuados en las líneas de negocio existentes, Ias operaciones de negocio adquiri-
das o vendidas relativas al sistema de control interno, el rápido crecimiento, los
grandes cambios con respecto a la dependencia de una organización de distintas
geografías extranjeras y de nuevas tecnologías.
§v*!i¡**i*n d* e**rL":i*s
A medida que cambian el entorno económico, regulatorio y sectorial, el alcance y la na-
luraleza de la dirección de la organización, sus prioridades, el modelo de negocio, la or-
ganización, los procesos de negocio y las actividades necesarias deben adaptarse y
evolucionar. El control interno efectivo conforme a una serie de condiciones no tiene por
qué ser efectivo cuando dichas condiciones cambien significativamente. Como parte de
la evaluación de riesgos, la dirección identifica los cambios que podrían impactar signifi-
cativamente en el sistema de control interno de la organización y adopta medidas
cuando sea necesario. De este modo, cada organización exigirá un proceso para identifi-
car y evaluar dichos factores internos y externos que puedan afectar de manera signifi-
cativa a su capacidad para lograr sus objetivos.
.
96
ffi ffi § !| contror lnterno-l,larcolntesrado l'4ayo20ll
Isfl¡",rÍe{iÉr del {0nlro! interno t tvaiu*cion ue Piesgol
Aunque el proceso por el cual una organización gestiona el cambio es similar a su pro-
ceso regular de evaluación de riesgo (o incluso forma pafte del mismo), dicho proceso
se analiza por separado . La razón de ello es que es imporlante llevar a cabo un control
interno efectivo, dado que podría pasarse por alto o prestarsele poca atención en el día
a día de la organización.
5J *nfarn¿: exferno
Entorno externo cambiante un entorno económico o regulatorio en continuo
-
cambio puede derivar en un incremento de presiones competitivas, de cambios en
los requisitos operativos y en riesgos significativamente diferentes. Los fallos en
materia de cumplimiento, de información o en operaciones a gran escala por parte
de una organización pueden derivar en la rápida introducción de amplias y nuevas
regulaciones. Por ejemplo, el veftido de materiales dañinos cerca de zonas pobla-
das o sensibles al medio ambiente puede derivar en nuevas restricciones de trans-
porte en todo el sector, las cuales pueden afectar a la logística y al transporle de
una organización; la información externa que se considere que tiene una deficiente
transparencia puede derivar en el aumento de los requisitos de información regula-
toria para todas las organizaciones que cotizan en el mercado de valores; y el trato
deficiente recibido por los pacientes de mayor edad en un hospital puede provocar
que se adopten requisitos adicionales en la atención sanitaria de todos los centros
hospitalarios. Cada uno de estos cambios puede obligar a una organización a que
examine con detenimiento el diseño de su sistema de control interno.
(ontrollnterno-Mar(olntesrado . l,4ayo2013 ! §§ II
ciones de externalización o cambia drásticamente la composición de las Iíneas de
negocio existentes, por lo que, Ios controles internos que anteriormente eran efecti-
vos puede que ahora dejen de serlo. Puede que haya cambiado la composición de
los riesgos inicialmente evaluados como la base sobre la que establecer los contro-
les internos, o bien el impacto potencial de dichos riesgos puede haber aumentado
de manera que los controles internos anteriores ahora no sean suficientes. Por
ejemplo, algunas organizaciones de servicios financieros puede que hayan am-
pliado sus productos y su concentración sin analizar previamente cómo responde-
rán a los cambios en los riesgos asociados de sus productos.
¡ (ontrollnterno-l"larcolntesraclo .
98
; §ll l4ayo2013
icfiipsne,ites dr! (e¡lhsi intern$ I [vai*aiidn de Hiesgos
ü*rxbios En i* dlreeción
Cambios en los Miembros Principales del Personal Un miembro nuevo de la alta direc-
-
ción de la organización puede que no comprenda la cultura de la organización y refleje
una filosofía diferente, o bien pueda centrarse únicamente en los resultados conseguidos
en detrimento de las actividades de control relacionadas. Por ejemplo, un nuevo CEO
que se centre fundamentalmente en el crecimiento de los ingresos podría enviar al resto
de la dirección el mensaje de que el nivel de atención anteriormente dedicado al
desarrollo efectivo del control interno ahora tiene una importancia menor. De igual ma-
nera, una elevada rotación del personal, acompañada de una evidente ausencia de for-
mación eficazy supervisión, puede derivar en fallos significativos en el funcionamiento
de la organización. Por ejemplo, una organización que reduzca el número de empleados
en un 25%o para tratar de reducir costes puede provocar que se erosione la estructura
general del control interno de la misma.
f,frvrzOf § q9
(ontrol lnterno- Flarcolntegrado,
ffi § II
&l¡rr$ ; [fitÉrl}e ri§ {siitr*! " E?¡iusr¡4il de É¡*s!*$ . A¿ti!¡dades de [0ntr0l ' iiif*tí]i*i;dii Y {*$it!§i{aiiiñ ' Áitividades #t §*pervisiún
lntroducc¡ón
Las actividades de control sirven como
mecanismos para gestionar la conse-
cución de los objetivos de una organi-
zación y forman parte integral de los
procesos que permiten a una organi-
zación esforzarse por conseguir di-
chos objetivos. Las actividades de
control deben tener una finalidad es-
pecífica, por lo que deberá evitarse
implementar este tipo de actividades
simplemente porque hay que hacerlo o
porque todo el mundo lo hace.
Las actividades de control son aquellas acciones que contribuyen a garantizar que las
respuestas dadas a los riesgos evaluados, así como otras acciones de la dlrección,
como pueda ser el establecimiento de normas de conducta en el entorno de control, se
llevan a cabo de forma adecuada y en el momento opoftuno. Por ejemplo, supongamos
que una organización establece como objetivo operativo "cumplir o superar los objetivos
de ventas durante el siguiente ejercicio contable" y la dirección identifica el riesgo de
que el personal de la organización tenga conocimientos insuficientes sobre las necesida-
des actuales y potenciales de los clientes. La respuesta de dirección para abordar este
riesgo identificado incluirá el desarrollo de argumentos de compra convincentes para los
clientes existentes y la realización de estudios de mercad o para que la organización in-
cremente su comprensión sobre cómo atraer a potenciales clientes. Las actividades de
control podrían incluir el seguimiento del desarrollo de estos argumentos de compra con
respecto a un calendario establecido y la adopción de medidas para garantizar la cali-
dad de los datos de marketing presentados.
A la hora de determinar qué medidas a adoptar para mitigar un riesgo, la dirección de-
berá tener en cuenta todos los aspectos de los componentes del control interno
de la or-
ganizacióny los procesos de negocio relevantes, las tecnologías de información y los
puede exigir que
emplazamientos en los que se necesitan actividades de control' Esto
se tengan en cuenta actividades de control más allá de la unidad operativa,
incluidos por
y procesos o funciones llevadas a
ejemplo los centros de datos o servicios compartidos
que sea necesa-
cabo por proveedores de servicios externalizados. Por ejemplo, puede
rio que las organizaciones establezcan actividades de control para abordar Ia integridad
de la información remitida y recibida de los proveedores de servicios externalizados.
Los factores específicos de cada organización pueden afectar a las actividades de con-
trol necesarias para respaldar el sistema de control interno. Por ejemplo:
. y
El entorno y la complejidad de una organización, así como la naturaleza el alcance
de sus operaciones, tanto física como lógicamente, afectan a sus actividades de
control.
. Las organizaciones que están altamente reguladas suelen tener por lo general unas
actividades de control y unas respuestas ante los riesgos más complejas que las or-
ganizaciones que disponen de una menor regulación'
[ontrollnterno l'4ar(0lntesrado'
104 §§!l lv1avo7013
ii:i;:iüliqi;ir:,jti l.ijúiir.i i;l!*:iti: ; ¡,;i:rli¡rtj,: ti i.*ttf¡:
I ., , "-: : ",. i
-...: ., -: . ,.
Los procesos de negocio se establecen a todos los niveles de la organización para per-
mitir que la organización pueda lograr sus objetivos. Estos procesos de negocio pueden
ser comunes a todas las organizaciones (como es el caso del procesamiento de com-
pras, cuentas a pagar o ventas) o bien podrán ser exclusivas de un sector en particular
(como puedan ser el procesamiento de siniestros de una organización aseguradora, los
servicios fiduciarios en una organización financiera o las operaciones de perforación de
una compañíia petrolera). Cada uno de estos procesos transforma unos insumos en
unos productos mediante una serie de transacciones o actividadesla. Las actividades de
control que respaldan directamente las actuaciones para mitigar los riesgos del procesa-
miento de transacciones en los procesos de negocio de una organización a menudo se
denominan "controles de aplicaciones" o "controles de transacciones".ls
. lntegridad Las transacciones que se producen son registradas. Por ejemplo, una
-
organización puede mitigar el riesgo de no procesar todas las transacciones de-
sarrolladas con proveedores seleccionando medidas y controles de transacciones
que respalden todas las transacciones de facturación que se procesan dentro del
proceso de negocio de cuentas a pagar.
14. El término "transacciones" suele asocrarse con los procesos financieros (por ejemplo, transacciones de
cuentas a pagar), mrentras que el término "actividades" se sue e aplicar más a procesos operativos o de
cump imiento. A os efectos del presente Marco, el término "transacciones" es ap icable a ambos.
I5, El término "controles de transacciones" se utiliza ea el Marco para hacer referencla tanto a controles ma
nuales como automatizados.
16. Si bien están relacionados en concepto y terminología, los obletivos de procesamiento de la rnformación y
las af rmaciones contables en los estados financieros son difere¡tes. Las afirmaciones contables en os
estados financieros hacen referencia específica a la fiabilidad de la nformación frnanciera, mientras que
os objetivos de procesamiento de información son ap icab es a procesamiento de las transacciones.
17. Los objet vos de procesamiento de informac ón hacen referencia a as metas de las actividades de control
de la organización y de este modo son sus objetivos en el contexto de un sistema de control interno,
. que se
Validez
- Las transacciones registradas representan eventos económicos
han producido en la realidad y que se han ejecutado de acuerdo con los procedi-
mientos establecidos. La validez generalmente se consigue a través de las activida-
des de control que incluyen la autorización de transacciones segÚn sean
especificadas en los procedimientos y políticas establecidos de la organización
(esto es, autorización por parle de un individuo que tenga facultades para ello). En
un contexto operativo, las piezas utilizadas en la fabricación de un automóvil se ob-
tendrán de un proveedor autorizado.
El riesgo de que una transacción se procese en un plazo diferente al correcto podrá va-
lorarse como un riesgo separado o bien incluirse como parte del objetivo de procesa-
miento de la información de la integridad o precisión. Los sistemas de acceso restringido
Son un aspecto importante para Ia mayoría de procesos de negocio y a menudo se in-
cluyen como un objetivo de procesamiento de la información porque, si no se restrin-
giera el acceso de forma oportuna a las transacciones en un proceso de negocio, Ias
actividades de control en dicho proceso de negocio podrían ser anuladas y la segrega-
ción de funciones podría fallar.
Si bien los objetivos de procesamiento de información se asocian más a menudo con las
transacciones y los procesos financieros, el concepto se puede aplicar a cualquier activi-
dad de una organización. Por ejemplo, un fabricante de golosinas hará todo lo posible
por contar con actividades de control que contribuyan a garantizar que todos los ingre-
dientes de sus productos se incluyen en el proceso de elaboración de los mismos (inte-
gridad), de acuerdo con las cantidades adecuadas (precisión) y a partir de los
proveedores autorizados cuyos productos hayan aprobado las perlinentes pruebas de
calidad (validez).
.
106 ¡§§I (0ntrol Intern0 - l4ar(0 lntectrad0 lYlaYo 2013
desarrollar y respaldar las hipótesis adoptadas. De igual manera, la dirección deberá
tener en cuenta la validez y razonabilidad de dichas hipótesis y la precisión de sus mo-
delos de estimación.
Esto no quiere decir que si la dirección tiene en cuenta los objetivos de procesamiento
de la información, la organización nunca adoptará estimaciones o juicios de valor erró-
neos; las estimaciones y los juicios de valor adoptados conforme al criterio profesional
estarán siempre sujetos al error humano. sin embargo, cuando se disponga de unas ac-
tividades de control apropiadas, y la información que utilice la dirección sea, bajo su cri-
terio profesional, íntegra, precisa y válida, entonces la probabilidad de tomar mejores
decisiones será mayor.
rt i ;. titr-t
Verificaciones
- Las verificaciones comparan dos o más elementos entre si o bien
comparan un efemento con una política, y llevan a cabo un seguimiento cuando los
dos elementos en cuestión no coinciden o el elemento no es coherente con la polí-
tica. Entre los ejemplos de este tipo de verificación se pueden incluir los análisis de
idoneidad y las comprobaciones automatizadas. Las verificaciones normalmente
abordan la integridad, precisión o validez del procesamiento de las transacciones.
Controles Fislcos
- Los equipos, existencias, valores, efectivo y otros bienes o ac-
tivos se garantizan de manera física (por ejemplo, en depósitos de almacenamiento
protegidos bajo llave o con vigilancia en los que el acceso físico está restringido a
personal autorizado) y se contabilizan periódicamente y se comparan con los impor-
tes reflejados en los registros y documento de control.
Controles sobre Datos Vigentes Los datos vigentes, como pueda ser por ejemplo
-
el archivo maestro de precios de una organización, se utilizan a menudo para res-
paldar el procesamiento de transacciones dentro de un proceso de negocio. La or-
ganización dispone de una serie de actividades de control sobre los procesos para
. 2013
(0ntr0 tnterno - varro tntesrado t'4ayo
i #I I 107
ffi
incluir la información correspondiente, actualizar dicha información y mantener la
precisión, integridad y validez de la misma.
. Controle.s de Supervlslón
- Los controles de supervisión evalÚan si se han llevado
a cabo otras actividades de control de transacciones (esto es, verificaciones especí-
ficas, conciliaciones, autorizaciones y aprobaciones, control sobre datos vigentes y
actividades de control físico) de forma íntegra, precisa y de acuerdo con los proce-
dimientos y políticas. La dirección normalmente utiliza su criterio profesional para
seleccionar y desarrollar controles de supervisión sobre las transacciones de mayor
riesgo. Por ejemplo, un supervisor podrá revisarls si uno de los integrantes del
equipo de contabilidad ha efectuado una conciliación de acuerdo con la política es-
tablecida. Este tipo de revisión puede ser una revisión de alto nivel (por ejemplo,
comprobar si se ha completado el formato de conciliación correspondiente) o bien
una revisión mucho más detallada (por ejemplo, comprobar si se ha realizado un se-
guimiento de determinadas parlidas de conciliación y si se han corregido y expli-
cado de forma oPortuna en su caso).
r0B § ffi II
(ontrol lnterrro - l'4arco ntesrado ' tvlatlo 2013
{íi*iin*::¡1i íi!i :.i;iiif§! !!-!ier:: i á11:!;d."lij{5 {i* iilllal;
gencias que sea revisado por el supervisor de compras abordará la precisión de todas
las transacciones. La precisión de las actividades de control está estrechamente relacio-
nada con la tolerancia al riesgo de la organización con respecto a un objetivo en particu-
lar (esto es, cuanto más reducida sea la tolerancia al riesgo, más precisas deberán ser
las medidas adoptadas para mitigar el riesgo y las actividades de control relacionadas).
19. "Tecnología" es un término muy amplio. En el presente Marco, su uso es aplicable a la tecnoLogía informa-
tlzada, lo cual incluye aquellas aplicaciones de software que funcionen en un equipo informático, en siste-
mas de control de producción, etc.
La mayor parte de los procesos de negocio cuentan con una combinación de controles
manuales y controles automatizados, dependiendo de la disponibilidad de tecnologías
en Ia organización. Los controles automatizados suelen ser más confiables, siempre y
cuando se implementen y funcionen adecuadamente los controles generales relativos a
dichas tecnologías (tal y como se analiza más adelante en este capítulo), dado que son
menos susceptibles a errores humanos o de criterio profesional, y también porque sue-
len ser más eficientes.
Por ejemplo, una unidad operativa puede contar con una serie de revisiones de desem-
peño empresarial sobre el proceso de compras que incluirá un análisis de la variación de
los precios de compra, el porcentaje de pedidos que sean pedidos de compras acelera-
das y el porcentaje de devoluciones con respecto al total de pedidos de compra efec-
tuados. Al analizar cualesquiera resultados no previstos o tendencias inusuales, la
dirección podrá detectar aquellas circunstancias en las que los objetivos del área de
compras puede que no se hayan cumplido.
Otro tipo de revisión del desempeño empresarial se produce cuando la alta dirección
lleva a cabo revisiones del desempeño real conseguido frente al desempeño presupues-
tado, frente a las previsiones, a los períodos anteriores y a los resultados conseguidos
20. Las revisiones de desempeño empresarial pueden ser actividades de control o activldades de supervi-
sión. La diferencia entre ambas actividades se analiza con mayor detenimiento en el Capítulo 9, Activida-
des de supervisión.
El alcance de una revisión del desempeño empresarial (esto es, cuántos riesgos detalla-
dos cubre) suele ser mayor que en el caso de un control de transacciones. De igual ma-
nera, el alcance de la revisión a todos los niveles de la organización tenderá a ser mayor
dado que una revisión del desempeño empresarial se suele efectuar a niveles superiores
de la organización que un control de transacciones. Sin embargo, para responder de
manera eficaz a una serie de riesgos, la revisión deberá ser lo suficientemente precisa
para detectar todos los errores que superen la tolerancia al riesgo establecida. Un con-
trol de transacciones puede abordar un único riesgo específico, mientras que la revisión
del desempeño empresarial de una unidad operativa normalmente abordará una serie de
riesgos. Por ejemplo, la revisión del desempeño empresarial sobre los pedidos de com-
pras aceleradas abarcará varios riesgos del proceso de compras pero puede que no
aborde los riesgos relativos a la precisión e integridad de las transacciones específicas
de su procesamiento.
Muchas revisiones del desempeño empresarial son de detección por su propia natura-
leza dado que normalmente se producirán una vez que las transacciones se hayan efec-
tuado y hayan sido procesadas. Por tanto, si bien es ciefto que los controles a nivel
superior son importantes en la combinación de actividades de control Ilevadas a cabo,
resulta difícil abordar de forma íntegra y eficiente los riesgos de los procesos de negocio
sin llevar a cabo controles de transacciones.
.:
A la hora de seleccionar y desarrollar actividades de control, la dirección deberá tener en
cuenta si las responsabilidades han sido segregadas, asignadas o distribuidas entre di-
ferentes individuos para reducir así el riesgo de error o de actuaciones irregulares o frau-
dulentas. Este tipo de consideración deberá incluir el entorno legal, los requisitos
regulatorios y las expectativas de las pañes interesadas. La segregación de funciones
normalmente conlleva la asignación y división de las responsabilidades de registrar, au-
lorizar y aprobar transacciones así como de administrar los bienes o activos correspon-
dientes. Por ejemplo, un directivo que autorice las ventas a crédito no debe ser
responsable del mantenimiento de los registros de las cuentas a cobrar ni de la adminis-
tración de los cobros en efectivo. Si una persona está facultad a para llevar a cabo todas
estas actividades, dicho individuo podría, por ejemplo, crear ventas ficticias que podrían
no ser detectadas. De igual manera, el personal de ventas no debería tener autorización
para modificar los archivos de precios de los productos o los porcentajes de comisión.
Una actividad control en este ámbito podría incluir la revisión de las solicitudes de ac-
ceso al sistema para determinar si se ha mantenido esta segregación de funciones. Por
ejemplo, una solicitud por parte de un miembro del personal de ventas para acceder al
. 2013 if
(ontrot Lnterno - tvtarco tntesrado t'4ay0
ffi II
l'.|ñn0 I [ntsrije d{ ({iñtr§! . fyalua{¡{in d* gi*§flc§ " Afiiy¡dades de (0nltsl " ll.¡ftrmaeión I (cm¡.¡¡itatiú¡l ' Adivid*des de $ilP*tv¡siú¡'l
sistema que le permita modificar los archivos de precios de los productos o los porcen-
tajes de comisión siempre debe ser rechazada.
21 . El Marco prefiere el término "controles alternativos" en lugar de "controles de compensación". Este último
término se utiliza para describir las actividades de control adicionales que se implantan cuando no se
puede llevar a cabo una adecuada segregación de funciones. Sin embargo, este término ha evolucionado
para referirse a las actividades de control que mitigan el impacto de una deficiencia de control iden.tificada
al evaluar la efectividad operativa de los controles y es así como se utiliza en este contexto en el presente
Marco.
Pu¡rtos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
22. Los términos que se suelen ulilizar para describir estos controles incluyen expresiones tales como "con-
troles informáticos generales", "controles generales" o "controles sobre las tecnologías de informaciÓn", El
término "controles generales sobre la tecnología" se utiliza en el presente documento para referirse a "ac-
tividades de control generales sobre las tecnologias",
Por ejemplo, supongamos que una organización quiere implementar un control de com-
probación y validación automática que examine los datos introducidos en su plataforma
online. Si alguno de los datos no concuerda o bien se introduce con un formato equivo-
cado, se proporcionará un aviso de forma inmediata para que se puedan aplicar las co-
rrecciones oportunas. Los mensajes de error indican cuál ha sido el problema con los
datos introducidos y los informes de excepción permitirán al usuario hacer el oportuno
seguimiento. Los controles generales sobre la tecnología relativos al despliegue de siste-
mas contribuyen a garantizar que este control automatizado funciona adecuadamente
cuando sea diseñado e implementado por primera vez (por ejemplo, los controles siguen
la lógica empresarial definida por la dirección, las comprobaciones de datos coinciden
con las transacciones correspondientes o con el archivo de datos vigentes, cualquier
mensaje de error refleja de forma íntegra y precisa cuál ha sido el error y todas las ex-
cepciones se incluyen en un informe de acuerdo con las políticas de la organización).
Una vez que este control automatizado se ha implementado de forma adecuada, los
controles generales sobre la tecnología contribuyen a garanlizar el correcto funciona-
miento (por ejemplo, que se están utilizando los archivos adecuados en el proceso de
verificación y que los archivos son precisos y completos). De igual manera, las aciivida-
des de control de la seguridad debidamente definidos limitarán el acceso al sistema úni-
camente a aquellos individuos que lo necesiten, reduciendo así la posibilidad de que
individuos no autorizados puedan modificar los archivos. Las actividades de control
sobre cualesquiera cambios realizados en las tecnologías contribuirán a garantizar que
dicha tecnologia siga funcionando tal como fue diseñado.
Los controles generales sobre la tecnología incluyen actividades de control sobre las in-
fraestructuras tecnológicas, la gestión de la seguridad, y la adquisición, desarrollo y
mantenimiento de tecnologías. Dichos controles son aplicables a todo tipo de tecnolo-
gías desde aplicaciones de tecnologías de la información que funcionen en un main-
frame, hasta entornos cliente/servidor, de escritorio, de usuario final, ordenadores
porlátiles y dispositivos móviles, así como tecnologías operativas sistemas de robótica
parala producción o sistemas de control en fábrica. El rigor de las actividades de control
crrt.r - . 20ll
114
§ II nterrlo l'4ar(0 nteq,raclo l4ay0
':-i:,í,i::,,1t!,,.ii i{ia l.*i.i;ttr i:::1.*rz:¿;: t }ali}ixai:t 1! r,:iii,
y el grado en el que éste se aplique variará en función de cada una de estas tecnologías
dependiendo de diversos factores tales como la complejidad de la tecnología y el riesgo
del proceso de negocio al que respalde. Similar a los controles de transacciones empre-
sariales, los controles generales sobre la tecnología podrán incluir tanto actividades de
control manuales como automatizadas.
La tecnología requiere una infraestructura en donde poder operar, la cual variará desde
redes de comunicaciones que asocien tecnologías entre sí y con el resto de la organiza-
ción, hasta recursos informáticos para aplicaciones, y sistemas eléctricos que abastez-
can a las propias tecnologías. Las infraestructuras tecnológicas pueden ser muy
complejas. Estas infraestructuras pueden compaftirse entre diferentes unidades de ne-
gocio dentro de la organización (por ejemplo, un centro de servicios comparlidos) o bien
pueden externalizarse a proveedores de servicios externos o servicios tecnológicos sin
ubicación definida (por ejemplo, cloud computing o en la nube ). Estas complejidades
presentan riesgos que deberán ser comprendidos y abordados adecuadamente. Dado
que es muy probable que el amplio espectro de posibles cambios en el uso de tecnolo-
gías siga evolucionando en el futuro, la organización deberá efectuar un seguimiento de
estos cambios para evaluar y responder ante los nuevos riesgos.
....,
La gestión de la seguridad incluye los subprocesos y actividades de control relativos a
quiénes y qué acceso tienen a las tecnologías de la organización, lo cual incluirá identifi-
car quién tiene capacidad para ejecutar transacciones. Normalmente estos procesos in-
cluirán los derechos de acceso a los datos, al sistema operativo (software del sistema), a
la redes, a las aplicaciones y a los distintos niveles físicos. Los controles de seguridad
sobre el acceso protegen a una organización de posibles accesos inadecuados y el uso
no autorizado del sistema al tiempo que respalda la segregación de funciones. Al evitar
el uso no autorizado y la introducción inadecuada de cambios en el sistema, se protege
la integridad de los datos y de los programas frente a actuaciones adversas para la orga-
nización (por ejemplo, alguien podría tratar de acceder a la tecnologíapara cometer
actos fraudulentos, terroristas o de vandalismo) o frente a simples errores (por ejemplo,
un empleado podría intencionalmente, sin darse cuenta utilizar, la cuenta de un compa-
ñero que esté de vacaciones para hacer algún trabajo determinado y ejecutar una trans-
acción erróneamente o borrar un archivo simplemente porque no contara con la
formación adecuada para ello).
(orltroltnterno-tv1ar(olntegmdo, 1v1ay02013
§§ll 115
{¡:*:¿qti,:Z;i*,; " ?, :!i:ti.1el'<:,:i t*!,ei ia!,it}t.
Las amenazas a la seguridad pueden proceder tanto de fuentes internas como externas.
Las amenazas externas son especialmente importantes para las entidad organizaciones
que dependen de las redes de telecomunicaciones o de lnternet. Los usuarios, clientes y
también agentes malintencionados que utilicen las tecnologías de la organización pue-
den encontrarse en el extremo opuesto del planeta o en el mismo edificio de la organiza-
ción. De igual manera, los múltiples usos de las tecnología y los puntos de acceso a las
mismas ponen de manifiesto la importancia de gestionar debidamente la seguridad.. Las
amenazas externas son cada vez más habituales en los entornos de negocio tan alta-
mente interconectados del panorama actual y para ello se necesitan esfuerzos continuos
con el fin de abordar estos riesgos.
El acceso de los usuarios a las tecnologÍas normalmente estará controlado mediante una
serie de actividades de control de autenticación en las que el usuario contará con una
identificación o un token único que será verificado con respecto a la lista de usuarios au-
torizados de la organización. Los controles generales sobre la tecnología están diseña-
dos para permitir el acceso únicamente a los usuarios autorizados que figuren en la lista
de usuarios autorizados. Estas actividades de control por lo general disponen de una
política que restringe a los usuarios autorizados el uso las aplicaciones o funciones que
no correspondan con sus responsabilidades profesionales, respaldando así una ade-
cuada segregación de funciones. Las actividades de control se utilizan para revisar las
solicitudes de acceso con respecto a la lista de usuarios autorizados. De igual manera,
se dispondrá de otras actividades de control para aclualizar el acceso cuando los em-
pleados cambien de puesto de trabajo o abandonen la organización. A menudo se reali-
zaráuna comprobación periódica de los derechos de acceso contrastándolos con la
política vigente para verificar que el acceso de los usuarios sigue siendo el correcto.
Además, el acceso deberá ser controlado cuando existan diferentes elementos de diver-
sas tecnologías que estén conectados entre sí.
23. Este proceso recibe múltiples nombres,. Uno de los nombres más habituales es el de "ciclo de vida del
desarrollo de sistemas" (SDLC, por sus siglas en inglés).
116
{fi#**i1ei'¡irs de} {*fttr*l !iilÉrna i A{tiv¡dader de ({}ntrol
Una de las alternativas existentes al desarrollo interno es sin duda el uso de software co-
mercial. Los proveedores de tecnologías ofrecen sistemas flexibles e integrados que per-
miten a su vez personalizar dichos sistemas mediante el uso e incorporación de
opciones adicionales. Muchas metodologías para el desarrollo de tecnologías abordan la
adquisición de aplicaciones de software comerciales como alternativa de desarrollo e in-
cluyen además una serie de pasos necesarios para proporcionar el control adecuado
sobre su selección e implementación. Una vez seleccionados e implementados, los
controles generales sobre la tecnología definidos anteriormente también serán de aplica-
ción sobre el desarrollo continuo y el mantenimiento de las tecnologías.
- . 2013 ti § § I
tontrol lnterno l,4ar(0 Intesrado I,4ay0
I 11t
Eesp!íega pcáítteas y prüeedtnni*ntos
Prñr:cip[* 1á: La organización despliega las actividades de
control a través de políticas que establecen las líneas
generales del control interno y procedimientos que llevan
dichas políticas a la práctica.
Flu¡ntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
. y
Adopta medidas ccrreetiuas
- Se define el personal responsable de investigar
actuar con respecto a los asuntos identificados como resultado de la ejecución de
las actividades de control.
Foliticas 5/ prüa€din:ientos
Las políticas reflejan la visión de la dirección sobre lo que debe hacerse para llevar a
cabo el control. Dicha visión puede documentarse por escrito y plasmarse expresamente
en otras comunicaciones o bien de manera implícita a través de las decisiones y medi-
das adoptadas por la dirección. Los procedimientos se componen de medidas que im-
plementan una política.
.
ll8
ffi ffi § I I (ontrol lnterno-laar(olntesrado l,4ayo20ll
Las actividades de control hacen referencia específicamente a aquellas polítlcas y proce-
dimientos que contribuyen a la mitigación de los riesgos para la consecución de los ob-
jetivos en niveles aceptables. Una política, por ejemplo, podría exigir que se revisen las
actividades bursátiles llevadas a cabo con clientes por parle del gestor de una sucursal
de intermediación financiera. El procedimiento será la revisión en sí, llevada a cabo en el
momento opoduno y prestando atención a los factores establecidos en la política, tales
como la naluraleza y el volumen de los valores negociados, y su relación con la edad y el
patrimonio neto del cliente.
". ; : .. . ,..
Los procedimientos deberán incluir el plazo en el que una actividad de control y cuales-
quiera medidas correctivas de seguimiento deban ser llevadas a Ia práctica. Los proce-
dimientos que se lleven a cabo en un momento que no sea el apropiado podrán reducir
la utilidad de la actividad de control. Por ejemplo, una revisión ordinaria de las cuentas
de usuarios para identificar derechos de acceso no autorizados deberá ser llevada a
cabo por el propietario del proceso de negocio en el momento oportuno para reducir el
riesgo (hasta niveles aceptables) de que se produzcan accesos no autorizados. Si se
permite que los intervalos de tiempo sean mayores entre las revisiones se incrementará
la posibilidad de que la detección de dichos accesos no autorizados se produzca dema-
siado tarde.
24. En el Capítulo 4, Conslderaciones adicionales, podrá encontrar un análisis más detallado sobre el aspecto
de la dooumentaoión.
tontrollnterno-l,1arcolntesrado. lvlayo2013 I9
§§ll
Msdidas correcfit¡*s
A la hora de llevar a cabo la actividad de control deberán investigarse y, en caso opor-
tuno, adoptarse medidas correctivas con respecto a los asuntos identificados para su
seguimiento. Por ejemplo, supongamos el caso de que en un ejercicio de conciliación de
cuentas de tesorería se detecte una discrepancia en una de las cuentas. El empleado del
depadamento de contabilidad efectuará un seguimiento al respecto junto con la persona
responsable de realizar los registros documentales de los movimientos en efectivo y de-
terminará que un cobro en efectivo no fue registrado de forma adecuada. Por tanto, el
cobro será aplicado de nuevo y se reflejará la corrección realizada en la conciliación.
Compefencias
Una actividad de control debidamente diseñada por lo general no podrá ser gestionada
por miembros del personal que no cuenten con las competencias y con facultades sufi-
cientes para desarrollar dicha actividad de control. El nivel de competencias requeridas
para llevar a cabo una actividad de control dependerá de factores tales como la comple-
jidad de la actividad de control y la complejidad y el volumen de las transacciones co-
rrespondientes. De igual manera, un procedimiento no será de utilidad si se lleva a cabo
de memoria, y sin prestar la atención adecuada y de forma continua a los riesgos a los
que se dirija dicha política. De igual manera, puede que sea necesario que el personal
cuente con facultades suficientes para llevar a cabo todos los aspectos del control, in-
cluida la adopción de medidas correctivas.
ñeevaluacidn p*dddlea
La dirección deberá reevaluar de manera periódica las políticas y los procedimientos así
como las actividades de control relacionadas para garantizar que se mantiene su efica-
cia y relevancia, con independencia de su capacidad de respuesta ante los cambios sig-
nificativos que se puedan producir en los riesgos o en los objetivos de la organización.
Los cambios significativos que se puedan producir serán evaluados a través del proceso
de evaluación de riesgos. Los cambios que se produzcan en el personal, en los proce-
sos y en las tecnologías podrán reducir la eficacia de las actividades de control y hacer
que en algunos casos sean redundantes y por tanto innecesarias. Siempre que se pro-
duzca uno de estos cambios, la dirección deberá reevaluar la relevancia de los controles
existentes y actualizarlos según sea necesario. Por ejemplo, la dirección podrá actualizar
el módulo de compras de un sistema ERP e introducir actividades de control de transac-
ciones automatizadas que den lugar a que las antiguas actividades de control manual
sean redundantes y por tanto dejen de ser necesarias.
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
Requisitos de información
La información es necesariapara que la organización pueda llevar a cabo sus responsa-
bilidades de control interno en aras de conseguir sus objetivos. La información sobre los
objetivos de la organización se obtiene de manos del consejo de administración y de la
alta dirección y se resume de manera que la dirección y otros miembros del personal
puedan comprender los objetivos y su función de cara a su consecución.
Por ejemplo, veamos el caso de un distribuidor mayorista que haya identificado que al-
gunos de sus directivos no cuentan con un sólido entendimiento de los principales obje-
tivos de la organización. Puede que el plan de negocio sea detallado y difícil de
comunicar de manera concisa. Para ello, el consejo de administración trabajará con la
alta dirección para resumir los principales objetivos de la organización en un documento
explicativo que sea claro y que acompañará a los estados financieros distribuidos inter-
namente. De igual manera, el consejo proporcionará todos los meses un cuadro de
mando integral en el que quedarán representados estos objetivos y su relación con los
parámetros y resultados actuales, tanto de naluraleza financiera como no financiera. Una
vez realizados estos cambios, el distribuidor mayor¡sta solicitó los comentarios y opinio-
nes de sus empleados a través de una encuesta y dicha encuesta puso de manifiesto
que tanto la dirección como el resto del personal habían logrado comprender mejor los
obietivos de la organización.
Entorno de control La dirección lleva a cabo una encuesta anual a nivel de organizaciÓn entre sus
empleados para recopilar informaciÓn sobre su conducta personal en relación
con el código de conducta de la organizaciÓn. La encuesta forma parte de un
proceso que genera información para soportar el componente del Entorno de
control y también puede aportar información de cara a la selecclÓn, desarrollo,
implementación o mantenim¡ento de actividades de control.
Evaluación de riesgos Como resultado de los cambios que se producen en las exigencias de los
clientes, una organizaciÓn cambia su mix de productos y sus mecanismos
para llegar hasta sus clientes. El aumento de las ventas online ha hecho que se
incrementen de manera significativa el nÚmero de transacciones con tarjeta de
crédito. Para evaluar el riesgo de incumplimiento con las regulaciones de pri-
vacidad y seguridad asociadas con la información en las tarjetas de crédito, Ia
dirección recopila información sobre el número de transacciones realizadas, el
valor general de las mismas y el perfil de los datos conservados al Último
ejercicio fiscal, y evalúa su importancia de cara a la realizaciÓn de su análisis
de riesgos.
Actividades de control Determinados equipos que se utilizan en un entorno de producciÓn de alto vo-
lumen se deterioran si funcionan durante un periodo de tiempo mayor del es-
pecif icado. Para maximizar la vida de los equipos, la dirección 0btiene y rev¡sa
los registros de funcionamiento diario y los compara con los rangos fijados
por la alta dirección. Esta informaciÓn respalda las actividades de control y
aborda los procedimientos de mitigación requeridos cuando se superan los ni-
veles de f uncionam¡ento máximos.
Actividades de supervisión Una gran compañía del sector utilities (servicios públicos) recopila, procesa y
comunica sus registros de accidentes y lesiones relacionados con su unidad
operativa de generación de energía. Al comparar esta información con las ten-
dencias registradas por las reclamaciones de compensación y siniestros expe-
rimentados por los empleados en el marco de sus seguros de salud identifica
variaciones importantes c0n respecto a las expectativas establecidas" Esto
puede indicar que las actividades de control sobre la identificaciÓn, procesa-
miento, información, investigación y resolución de accidentes o lesiones pue-
dan no estar funcionando según lo previsto.
tontrollnterno-ltarcolntesrailo'
124 ffi § §¡l 1,44t,02013
{ampefisfitss de¡ {sfifrsl iiiternú | lnforma(¡én y (0munica(¡én
Los controles incorporados dentro de los cinco componentes establecen una serie de
requisitos de información. Estos requisitos facilitan y dirigen a la dirección y al resto del
personal a identificar fuentes de información confiables y relevantes así como otra serie
de datos pertinentes. El volumen de información y de datos pertinentes disponible para
la dirección puede ser mayor del necesario debido al aumento de las fuentes de informa-
ción y a los progresos conseguidos en la recopilación de información, en su procesa-
miento y almacenamiento. En otros casos, puede que resulte difícil obtener datos al nivel
adecuado o con el nivel de detalle necesario. Por tanto, un claro entendimiento de los
requisitos de información permite a la dirección y al resto del personal identificar fuentes
de información y datos confiables y relevantes.
Actas o notas de reuniones de comités operativos . Medidas adoptadas c0m0 respuesta a los parámetros
de consumo energético
Sistema de información de horas de trabajo incurridas . Horas incurridas en proyectos facturados por horas
por el personal
' '
Eiemplo§,.iqqJuenhs ,cxtcrnasiid§':dat0,§,. ,,i :' r
, i.,..r, ,,
t8ryq
E ¡9,,9¡t0.s1,ax!qinqs..,1.,:,,. ,,.,,¡:. i
, ,1¡¡r
1,..r 1,,,¡r : ¡¡:,¡ 11
La información se puede obtener a través de diversas formas, entre las que se incluyen
la recopilación o introducción manual de datos, o el uso de tecnologías de información
tales como el intercambio de datos electrónicos (EDl) o las interfases de programación
de aplicaciones (APl). Las conversaciones que se puedan mantener con los clientes,
proveedores, reguladores y empleados también son unas fuentes valiosas de datos e in-
formaciones críticas que resultan necesarias para identificar y evaluar tanto los riesgos
como las oportunidades. En algunos casos, la información y los datos subyacentes cap-
tados requieren que se lleven a cabo una serie de procesos manuales o automáticos
para garantizar que tienen el nivel de detalle relevante y cumplen las definiciones reque-
ridas. En otros casos, la información puede obtenerse directamente de fuentes externas
o internas. La dirección desarrolla e implanta actividades de control sobre la integridad
de los datos introducidos en los sistemas de información así como sobre la precisión e
integridad del procesamiento de dichos datos para transformarlos en información que
pueda ser utilizada por otros controles.
(ontrol lnterno .
126
ffi §§ It - !1ar(0 Intesrado Mayo 2013
i.rr:*¡J1+rfüi l,!; i*i1i;*i !liiéiai, : lnfolmaeidn y (omunicaiién
Los sistemas ERP (planificación de recursos corporativos), los sistemas AMS (gestión de
asociaciones), las intranets corporativas, las herramientas colaborativas, los social
media, los centros de datos, los sistemas de inteligencia de negocio, los sistemas ope-
rativos (por ejemplo, sistemas de automáticos en fábricas o sistemas de uso energético),
las aplicaciones web y demás soluciones tecnológicas presentan oportunidades para
que la dirección de la organización pueda aprovechar las tecnologías y desarrollar e im-
plementar unos sistemas de información eficaces y eficientes.
ealidad de la información
Para mantener la calidad de la información, es necesario que el sistema de control in-
terno sea eticaz, en especial con relación a los volúmenes de datos que se mueven en la
actualidad y la elevada dependencia existente de sistemas de información sofisticados y
automáticos. La capacidad para generar información de calidad comienza con la capta-
ción de los datos relevantes. Si se dispone de datos poco precisos o incompletos, la in-
formación derivada de dichos datos puede provocar que Se adopten decisiones
equivocadas, que se efectúen estimaciones erróneas o que se aplique de manera defi-
ciente el criterio profesional de la dirección.
La dirección establece las políticas de gestión de información tras haber definido clara-
mente las responsabilidades sobre la calidad de la información. Estas políticas abordan
las líneas generales existentes con respecto al gobierno de Ia información y sirven a su
vez para orientar los procesos que definen las categorías o clases de datos y para esta-
blecer los correspondientes requisitos sobre la gestión física de los datos, su almacena-
miento, seguridad y privacidad. Estas políticas ayudan a la dirección y al resto del
personal de la organización responsable de la protección de datos y de la información ,
evitando accesos y cambios no autorizados en la información, así como en el cumpli-
miento de los requisitos de mantenimiento de los datos.
Por ejemplo, en un caso, la alta dirección de una agencia del gobierno altamente des-
centralizada y con diversas oficinas en ubicaciones geográficas diferentes, identificó un
riesgo específico para lograr un objetivo operacional relacionado con la calidad de los
datos operativos recabados a través de sus 2.000 unidades de campo. La dirección de-
sarrolló una serie de requisitos de datos específicos y un formato de generación de infor-
mes para que los utilizaran todas las unidades de campo. La alta dirección llevó a cabo
una serie de revisiones mensuales de manera sistemática de los parámetros clave deri-
vados de los datos obtenidos en todas las unidades de campo. Las unidades de campo
que obtenían los mejores y los peores resultados tenían que explicar el origen de sus
datos a un equipo de auditoría interna. De igual manera, la dirección de la agencia utilizó
los informes de datos operativos de las unidades y de parámetros relativos a las visitas
de campo y comenzó a plantear preguntas para evaluar el entendimiento que las unida-
des tenían de los datos incluidos en dichos informes. Seis meses después de haber im-
plantado este sistema de información, las revisiones mensuales, las visitas de campo y
el feedback o retroalimentación obtenida y comparlida en los distintos niveles del
pro-
ceso, la calidad de la información mejoró hasta alcanzar el nivel aceptable esperado por
la dirección. Para mantener el nivel conseguido, la dirección aplicó cambios a las políti-
cas y procesos de información de los datos operativos y adoptó tecnologías de inteli-
gencia de negocio que permitieron a la organización presentar la información de manera
coherente y opoftuna.
La dirección tendrá en cuenta sus requisitos a la hora de retener las comunicaciones in-
tercambiadas, en particular aquellas enviadas o recibidas de grupos de interés externos
y aquellas relacionadas con el cumplimiento de las leyes y regulaciones por pade de la
organización. Dado el volumen y la capacidad para guardar y recuperar dicha informa-
ción, este requisito puede constituir todo un desafío cuando la dirección dependa de co-
municaciones en tiempo real procesadas por medios tecnológicos. Los controles sobre
la retención de información relativa al control interno tendrán en cuenta los retos que su-
ponen los avances tecnológicos, incluidas las tecnologías de comunicación y colabora-
ción utilizadas para facilitar otros componentes del control interno y la consecución de
los objetivos de la organización.
Se cornunica internamente
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una importante serie de caracterís-
ticas relativas a este principio:
o Objetivosespecíficos.
(ontrol lnterno - .
t30
§§§ It l4ar(0lntesrado l'4ay0 2013
La organización establece e implanta políticas y procedimientos que facilitan una comu-
nicación interna efectiva. Esto incluye comunicaciones específicas y directas que abor-
dan cuestiones como facultades individuales, responsabilidades y normas de conducta
desplegadas en los distintos niveles de la organización. La alta dirección comunica los
objetivos de la organización con claridad a los distintos niveles de la organización, de
manera que el resto de la dirección y del personal de la organización, incluidos aquellos
que no sean empleados directos de Ia misma, tales como contratistas, comprendan sus
funciones específicas en la organización. Este tipo de comunicación se producirá con in-
dependencia de la ubicación en la que se encuentre el personal, así como de su nivel de
autoridad o de sus responsabilidades funcionales. La comunicación interna comienza
con la comunicación de los objetivos definidos. A medida que la dirección traslada la co-
municación de los objetivos específicos de la organización a los distintos niveles de la
organización, es cada vez más imporlante que los subobjetivos relacionados con los re-
quisitos específicos se comuniquen al personal de forma que puedan comprender cuá-
les son sus funciones y responsabilidades y cómo impactan a la consecución de los
objetivos de la organización.
Esto hace posible que todo el personal reciba un mensaje claro, por parte de la alta di-
rección, de que las responsabilidades de control interno se deben aplicar rigurosamente.
A través de la comunicación de los objetivos y los subobjetivos correspondientes, el per-
sonal comprenderá cómo sus funciones, responsabilidades y actuaciones afectan al tra-
bajo de los demás dentro de la organización; qué responsabilidades tienen en cuanto al
control interno; y qué tipo de comportamiento se considera aceptable o inaceptable. Tal
y como hemos mencionado en el apartado Entorno de control, al establecer las estruc-
turas, funciones y responsabilidades pedinentes, se facilita el poder llevar a cabo una
comunicación efectiva al personal sobre las expectativas que se tienen de ellos en lo
que respecta a control interno. Sin embargo, la comunicación de las responsabilidades
de control interno puede que no sean suficientes en sí mismas para garantizar que la di-
rección y el resto del personal asuman sus responsabilidades pertinentes y que respon-
dan como deban hacerlo. A menudo, la dirección deberá aplicar medidas oportunas que
sean coherentes con esta comunicación para reforzar los mensajes transmitidos.
El deparlamento de auditoría interna lleva a cabo una auditoría sobre las comisio-
nes que se pagan a los distribuidores en un territorio en el que opera la organiza-
ción. La auditoría pone de manifiesto que se han producido casos de reporle de
información fraudulenta en los datos de ventas efectuadas a través de determina-
Por otro lado, es importante que exista una comunicación directa entre el consejo de ad-
ministración y el resto del personal. Los miembros del consejo deben tener acceso di-
recto a los empleados sin interferencia de la dirección. Por ejemplo, algunas
organizaciones animan a los miembros de su consejo a reunirse con la dirección y el
resto del personal sin que la alta dirección esté presente. Esto permite que los miembros
del consejo puedan hacer preguntas de manera independiente y evaluar aspectos clave
que, de lo contrario, los empleados quizá no se sintieran cómodos comentando, tales
como cuestiones relacionadas con el cumplimiento del código de conducta, la compe-
tencia del personal, o posibles casos de elusión de controles por parte de la dirección.
De igual manera, el sistema de control interno en su conjunto se verá mejorado por
aquel deparlamento de auditoría interna que sea independiente de la dirección. La co-
municación del área de auditoría interna con el consejo de administración será general-
mente directa, libre de interferencia por parte de la dirección y, en caso necesario,
confidencial.
Método de cornunicacién
para
La claridad de la información y la eficacia con la que se comunique son importantes
garantizar que los mensajes se reciben como se ha pretendido. De igual manera, las for-
mas activas de comunicación, tales como las reuniones cara a cara, Son a menudo más
efectivas que otras alternativas más pasivas, tales como las comunicaciones generales
por email o los anuncios en la intranet. La evaluación periódica de la eficacia de la co-
municación ayuda además a garantizar que estos métodos funcionan. Esto se puede
conseguir a través de distintos procesos existentes, tales como las evaluaciones del
desempeño de los empleados, las revisiones anuales de la dirección y demás programas
de feedback o retroalimentación.
pú-
La dirección definirá el método de comunicación que prefiera, teniendo en cuenta el
el momento en que se trate, el coste y
blico objetivo, la naturaleza de la comunicación,
posibles requisitos legales o regulatorios. La comunicación se puede llevar a cabo de di-
versas maneras, tales como:
a Cuadros de mando
a Comunicaciones vía email
a Formación presencial u online
. Cuando los mensajes se transmiten de forma oral -ya sea en grupos grandes o pe-
queños, o en sesiones individuales- el tono de voz de quien habla y el lenguaje no
verbal sirven para enfalizar el mensaje que se está transmitiendo y potencian el en-
tendimiento, aumentando las posibilidades de que el receptor responda ante la co-
municación transmitida.
¡ Las comunicaciones que sean directamente relevantes para la eficacia del control
interno pueden exigir un método que permita que el mensaje se retenga y se con-
serve a largo plazo. En algunos casos, deberá conservarse la aceptación o acuse de
recibo y de entendimiento de determinadas políticas por parte de los empleados
(por ejemplo, del código de conducta, de prevención del blanqueo de capitales y de
seg uridad corporativa).
. Las comunicaciones que sean temporalmente más sensibles podrán enviarse a tra-
vés de métodos más informales y eficientes como el correo electrónico, mensajes
de texto o publicaciones en redes sociales, sobre todo si no fuera necesario conser-
var los mensajes y el contenido no fuera confidencial.
Puntos de interés
Los siguientes puntos de interés ponen de manifiesto una serie de importantes caracte-
rísticas relativas a este principio:
Comunicación externa
La comunicación no sólo se produce dentro de la organización, sino que también se
lleva a cabo hacia fuera de la organización. A través de canales abiertos de comunica-
ción externa, se puede transmitir información impoftante sobre los objetivos de la orga-
nización a los accionistas u otros propietarios, a socios comerciales, organismos
reguladores, clientes, analistas financieros, organizaciones públicas y demás grupos de
interés externos. Tal y como se analiza en el Capítulo 2 Objetivos, componentes y prind-
pios, la comunlcación entrante desde el exterior hacia la organización debe abordarse de
manera diferente al resto de información externa.
Comunicación saliente
La comunicación con las partes externas interesadas permite a dichos grupos Com-
prender los eventos, actividades o demás circunstancias que puedan afectar la manera
cómo interactúan con la organización. La comunicación llevada a cabo por la dirección
con las partes interesadas externas dará un mensaje sobre la importancia del control in-
terno en la organización al dejar clara la existencia o no de líneas abiertas de comunica-
ción. De igual manera, la comunicación con proveedores externos y clientes respaldará
la capacidad de la organización para mantener un entorno de control adecuado. Los
proveedores y clientes deben comprender completamente los valores y la cultura de la
organización. Para ello, deberán ser informados acerca del código de conducta de la or-
ganización y deberán reconocer sus responsabilidades a la hora de contribuir al cumpli-
miento del mismo. Por ejemplo, la dirección comunicará a los nuevos proveedores sus
controles relativos a las relaciones del negocio con proveedores y exigirá a todo nuevo
proveedor que acepte su cumplimiento antes de proceder a aulorizar la primera orden
de compra con dicho Proveedor.
. Una evaluación del control interno efectuada por un auditor independiente, relativa
a la información financiera o no financiera de la organización.
(ontrollntemo-l/arcolntesrado'
136 l§ §¡t I4at,o2013
i,:nti;;¡¡li;i¿: r¡ri ir*ii*! l¡:l.r::t} i lnlormacidn y (omuniratión
. Preguntas planteadas por proveedores en relación con errores en los pagos realiza-
dos por productos vendidos.
Este tipo de
tégicas y otro tipo de transacciones que generen dependencias mutuas.
cabo las actividades
complejidad puede generar preocupaciones sobre cómo se llevan a
de negocio por ambas partes o cómo se organizan entre ellas. En este
caso, la organiza-
ción debe establecer canales de comunicación separados a disposición de los clientes y
proveedores de servicios externalizados de forma que puedan comunicarse directa-
el caso de que
mente con la dirección y el resto del personal. Por ejemplo, puede darse
conjunto se
un cliente de una serie de productos desarrollados a través de un negocio
del negocio conjunto haya vendido produc-
entere de que uno de los socios integrantes
en virtud del contrato de
tos en un país en el que no tiene autorización para hacerlo
provocar que este cliente
dicho negocio conjunto. un incumplimiento de este tipo puede
en el negocio
no pueda utilizar ni revender los productos, con el consiguiente impacto
de dicho cliente. El cliente necesitará por tanto un canal en el que poder comunicar sus
preocupaciones al resto de miembros de la organización sin poner en peligro la continui-
Método de comunicación
Los métodos utilizados por la dirección para comun¡carse externamente
afectan su ca-
pacidad para obtener la información necesaria así como para garantizar que los princi-
pales mensa.ies de la organización sean debidamente recibidos y comprendidos' La
los
dirección deberá tener en cuenta el método o métodos de comunicación utilizados,
la comunicación' el
cuales pueden variar en función del público objetivo, la naturaleza de
o regulatorios' Por ejemplo, los clientes
momento del que se trate y los requisitos legales
través del portal de
que habitualmente accedan a la información de la organización a
colgada
clientes de la organización podrán recibir mensajes a través de la información
en el sitio web corPorativo.
canales de in-
Por su parte, las notas de prensa y demás noticias publicadas a través de
a una mayor
versores o de relaciones pÚblicas a menudo son eficaces a la hora de llegar
audiencia de grupos de interés externos, garantizando así una amplia
distribución y au-
sociales,
mentando la probabilidad de que se reciba la información. Los blogs, las redes
las plataformas electrónicas y el email son también medios habituales de comunicación
que ayudan a
externa que pueden adaptarse y dirigirse a los destinatarios específicos,
permiten que
controlar la información obtenida de los grupos de interés externos y que
se pueda enviar y recibir información con mayor rapidez, gracias al uso
de los dispositi-
vos de comunicación móviles'