INTENTANDO SALIR DEL HOYO (I)

Ya en el año 1985, el Instituto Americano de Contabilidad (AICPA) y el Instituto de Auditores

Internos (IIA), con la colaboración de los representantes de la Industria, de las Empresas de
Inversión y de la Bolsa de Valores de NY, crearon el Comité de Organizaciones Patrocinadoras
(COSO por sus siglas en inglés), una organización privada que estudia los factores que pueden
conducir a una información financiera fraudulenta.

Hasta ese entonces el “Control” en una empresa era considerado un tema de contadores: El
Control Interno Contable.

El documento COSO I (1992) intentaba definir el concepto de Control Interno.

En plena turbulencia de los Mercados Financieros en el Mundo, en los que poderosas

corporaciones caían dejando en la ruina a miles de inversionistas de toda índole, el Congreso de
los EEUU con la rúbrica del presidente George Bush, promulgaba el 30 de julio de 2002, la Ley
Sarbanes Oxley (Ley SOX) con el propósito principal de protección a los Inversionistas.

Los escándalos empresariales que conmovieron el Mundo entero generaron inversionistas

inseguros, y entornos empresariales no confiables.

LA LEY SOX

La Ley SOX reformó la contabilidad pública y de protección al inversionista:

• Regula funciones financieras, contables y de auditoría.

• Incrementa los Controles Internos de las empresas, y mejora su calidad, mediante monitoreo
y control de la información financiera, haciéndola más transparente y confiable.
• Permite identificar los Riesgos claves de la Información Financiera y su impacto en todas las
áreas de la organización.
• Establece estándares profesionales, éticos y de competencia que dirigen las actividades
contables, como son: Revisión, Regulación y Sanción.

Resumen de la Ley:

Implementa controles que minimizan manipulaciones y fraudes

Se creó una Junta que supervisa permanentemente la labor de las Sociedades de Auditoría

Respecto a Control Interno, se estableció que:

✓ Cada reporte anual debe contener la evaluación de la eficacia del Control Interno
✓ Se debía evaluar los Riesgos Operativos, de Mercado y de Reputación
✓ En la Memoria Anual de las empresas, auditadas, el Informe de Control Interno debía
concluir sobre la eficacia, o no, de los procedimientos de auditoría aplicados por los
Auditores Externos.
✓ Entre los miembros del Directorio debía nombrarse directores Independientes, con la
especialidad en Finanzas, Auditoría, Contraloría o similar

P á g i n a 1 | 19
Sección 302 Responsabilidad por los Informes Financieros

El CEO, CFO o principales directivos, deben certificar trimestral y anualmente que:

• Son los responsables por mantener y publicar controles y procedimientos

• Han tomado conocimiento de toda información material respecto a controles y
procedimientos
• Han evaluado la efectividad de los controles y procedimientos
• Han revelado ante el Comité de Auditoría del Directorio, y ante los auditores, toda deficiencia
significativa, y/o cambios significativos en los Controles

Sección 404 Evaluación Gerencial de los Controles Internos

Cada reporte anual debe contener un Informe de Control Interno que indique:

1. La responsabilidad de la Gerencia General de mantener una adecuada estructura de Control

Interno
2. Evaluación reciente de la efectividad de la estructura de CI relacionada con Información
Financiera.

Así mismo, evaluación del CI y reportes hechos por la Gerencia General, realizada por la Sociedad
de Auditoría contratada para opinar respecto a la razonabilidad de los Estados Financieros, y
respecto al resultado de su evaluación del Control Interno.

Sección 906 Multas y Sanciones

Esta sección está referida a los cambios en el Código Penal, especificando multan y penas para
los responsables legales a la infracción de la ley SOX. Multas no mayores a US$ 5MM y penas no
mayores a 20 años de cárcel.

En el Perú, la aplicación de SOX es obligatoria sólo a las empresas que cotizan en la bolsa de NY.
A cambio la Superintendencia del Mercado de Valores (SMV) ha emitido en el 2002, los
“Principios del Buen Gobierno Corporativo para sociedades peruanas”. Desde el 2005 la SMV
exige que toda empresa allí registrada, manifieste su adhesión a estos principios en su reporte
anual

Implementar COSO/COBIT representa un avance en el alcance de la ley SOX

INTENTANDO SALIR DEL HOYO (II)

En enero de 2013, el IIA emitió su declaración “Las 3 líneas de defensa para una efectiva gestión
de Riesgos y Control” que cambiaba radicalmente los anteriores conceptos de Control

En mayo de 2013, se emite la declaración COSO III, que reemplaza a las anteriores COSO y es
obligatoria su implementación desde el año 2015.

P á g i n a 2 | 19
Los cierres financieros de 2015 en adelante, especialistas independientes deben certificar que
el Control Interno de la empresa opera y funciona efectivamente.

El Instituto de Auditores Internos (IIA) aporta una solución

El IIA emite su declaración “Las tres líneas de defensa para una efectiva Gestión de Riesgos y
Control”, con el fin de darle orden a las diversas instancias creadas en la Empresas, para que los
procesos de Control Interno y de Riesgos funcionen satisfactoriamente, que no dejen brechas,
ni haya duplicaciones innecesarias. Definidas claramente las responsabilidades, cada grupo de
profesionales de Control Interno y Riesgos, entenderá sus límites y cómo encaja su rol en la
estructura general de Control Interno y Riesgos, en la Organización.

El modelo de las Tres líneas de defensa mejora las comunicaciones, mediante la aclaración de
las funciones y deberes esenciales, y es apropiado para cualquier Organización, independiente
de su tamaño o complejidad. Aún en Organizaciones donde no exista formalmente la Gestión
de Riesgos, este Modelo puede aumentar la claridad respecto a Control Interno y Riesgos.

EL MODELO DE LAS TRES LINEAS DE DEFENSA

Primera línea: Las Gerencias Operativas

Ellas son propietarias de los riesgos y los gestionan. También son responsables de mantener un
control interno efectivo, implementa políticas y procedimientos, y acciones correctivas ante
deficiencias identificadas, a fin de asegurar que las actividades efectuadas son consistentes con
las metas y los objetivos. Las Gerencias de nivel medio diseñan e implementan controles y
supervisan su ejecución por parte de sus empleados.

Segunda línea: Funciones de Cumplimiento y de Gestión de Riesgos

La Gerencia General establece funciones para ayudar a crear y/o monitorear los controles de la
primera línea de defensa:

Una función de Contraloría que monitorea riesgos financieros, y la emisión de información

financiera.

Una función de Gestión de Riesgos, que facilita y monitorea la implementación de prácticas

efectivas de Gestión de Riesgos, y asiste a los propietarios del riesgo en la definición del objetivo
de exposición al riesgo. Es la que presenta adecuadamente toda la información de Riesgos de la
Organización.

Una función de Cumplimiento, relacionada con tipos específicos de cumplimiento, como salud
y seguridad, cadena de suministros, ambiente o control de calidad. Monitoreo de la adecuación
y efectividad del Control Interno, exactitud e integridad de la información, cumplimiento de
leyes y regulaciones, y la implementación oportuna de deficiencias.

P á g i n a 3 | 19
Tercera Línea: Auditoría Interna

Proporcionan al Directorio, un aseguramiento comprensivo, basado en el más alto nivel de

independencia y objetividad dentro de la Organización.

Proveen aseguramiento sobre la efectividad del gobierno corporativo, y la manera como la 1ra
línea (el Control Interno) y la 2da línea (la Gestión de Riesgos) alcanzan sus objetivos.

Alcance de aseguramiento, basado en la aplicación de pruebas selectivas, sobre:

• Eficiencia y efectividad de las operaciones, salvaguarda de activos, confiabilidad e

integridad de información y reporte, cumplimiento de leyes, regulaciones, políticas,
procedimientos y contratos.
• Todos los elementos de los marcos de Control Interno y Gestión de Riesgos.
• Procesos de negocio (ventas, producción, operaciones, clientes, marketing, seguridad) y
funciones de Soporte (Contabilidad, Recursos Humanos, Compras, Inventarios,
Remuneraciones, presupuestos, TI, Gestión de infraestructura y activos).
• Procesos de negocio (ventas, producción, operaciones, clientes, marketing, seguridad) y
funciones de Soporte (Contabilidad, Recursos Humanos, Compras, Inventarios,
Remuneraciones, presupuestos, TI, Gestión de infraestructura y activos).

Implementar una actividad de Auditoría Interna profesional, debe ser requerimiento del más
alto nivel de la Organización, que asegure su independencia, y activo y efectivo reporte al
Directorio o a su Comité de Auditoría.

P á g i n a 4 | 19
COSO I y II + Sarbanes Oxley + 3 líneas de defensa del IIA : Las bases de COSO III

En mayo de 2013 el Comité emitió el documento COSO III que reemplaza a los anteriores COSO,
y que desde el año 2015 sería de aplicación obligatoria en todas las organizaciones registradas
en la SEC.

A partir de los cierres financieros de 2015 en adelante, toda organización en la que sus acciones
cotizan en un mercado público de valores, como la SEC en EEUU, requiere que Especialistas
Independientes certifiquen que su Control Interno opera y funciona efectivamente.

Un Control Interno efectivo, requiere algo más que el riguroso cumplimiento de políticas y
procedimientos. Juicio y criterio profesional debe aplicar el Directorio y la Gerencia General,
para determinar el nivel de control que es necesario aplicar, seleccionando, desarrollando y
desplegando controles en toda la organización. Ese mismo criterio profesional deben aplicar
principalmente el Directorio y los Auditores Internos, al supervisar y evaluar la efectividad del
Control Interno.

DEFINICION DE CONTROL INTERNO

Es un proceso llevado a cabo por el Directorio, la Gerencia y el resto del personal de una
Entidad, diseñado para proporcionar un grado de seguridad razonable, respecto a la
consecución de objetivos relacionados con las operaciones, la información y el cumplimiento.

Proceso que consta de tareas y actividades continuas. Es un medio para llegar a un fin.

Personas, no sólo manuales, políticas, sistemas y formularios, sino personas, y sus acciones, en
cada nivel de la Entidad.

Seguridad razonable, es lo que hasta el mejor sistema de control puede proporcionar, no

seguridad absoluta.

Consecución de objetivos, es la clara orientación de este proceso

OBJETIVOS DEL CONTROL INTERNO

Son 3 las categorías de objetivos:

• Operativos: Efectividad y eficiencia de las operaciones, incluidos los objetivos de

rendimiento financiero y operacional, y la protección de activos frente a posibles pérdidas
que afecten el Patrimonio de la Entidad.
• De información: Que sea Confiable, oportuna y transparente la información, financiera y no
financiera, y otra generada por requerimiento interno de la Entidad, y de organismos
reguladores externos.
• De cumplimiento: de leyes y reglamentos de organismos públicos y privados a los que está
sujeta la Entidad, en el desarrollo de sus actividades.

UN CONTROL INTERNO EFECTIVO SEGÚN COSO III

Requiere que los 5 componentes, y los 17 principios, estén presentes y en funcionamiento. No

basta que existan formalmente, sino que operen en la práctica.
P á g i n a 5 | 19
Los componentes y principios deben trabajar juntos y de manera integrada. Si alguno no
funciona, o lo hace defectuosamente, tendría que concluirse que el Control Interno de la
Entidad NO es efectivo.

Provee seguridad razonable respecto al logro de los objetivos de la Entidad

COMPONENTES Y PRINCIPIOS

1. COMPONENTE I DEL CONTROL INTERNO: EL AMBIENTE DE CONTROL

• Su importancia radica en que es la máxima instancia, el Directorio, quien debe aprobar
la estructura, procesos y normas, influye relevantemente en los otros 4 componentes,
e impacta significativamente en el Control Interno de toda la Entidad.

• Es el Directorio quien:
✓ Establece los estándares de conducta esperados, y la Gerencia General los refuerza
en todos los niveles de la Entidad.
✓ Establece parámetros sobre los cuales actúa el propio Directorio, en el desempeño
de sus responsabilidades de supervisión.
✓ Considera el proceso de atraer, desarrollar y retener el talento.
✓ Evalúa el desempeño con rigor, y sobre sus resultados, establece los esquemas de
compensación e incentivos.

El ambiente de Control comprende los siguientes principios:

Principio 1: Compromiso con la Integridad y los valores éticos.

Se utilizan políticas para comunicar normas y estándares de conducta que reflejen la
Integridad y los valores éticos de la Entidad. Por ejemplo, aquellas que hacen referencia
a conflictos de intereses, pagos indebidos, uso inadecuado de los recursos, actividades
políticas, y aceptación de regalos o de donaciones.

P á g i n a 6 | 19
Se evidencia cumplimiento de este Principio 1:
✓ Con la existencia de un clima ético que contribuya a la efectividad de las políticas de
la Entidad.
✓ Con un Directorio y Gerencia General desempeñando un rol clave. Por ejemplo, ante
un indicio de conducta inapropiada, se investiga y establecen sanciones por
incumplimiento. Es el Directorio quien determina estándares de control exigentes, o
relajados, y toma decisiones rápidas, o demoradas, bajo su responsabilidad.
✓ Viviendo la ética a través del ejemplo, en el sentido de arriba hacia abajo.
✓ Ante el conocimiento de un evento no ético, los colaboradores conocen los canales
correspondientes, a través de los cuales informan el hecho, a instancias
probadamente confiables e independientes.

Principio 2: Independencia en la Supervisión del Control Interno

Debe existir una clara independencia entre quien desarrolla e implementa, y quien
supervisa el Control Interno.
Se entiende por “independencia” las siguientes características: Libertad, Autonomía,
Capacidad para la toma de decisiones, y las acciones, o no, que se consideren
apropiadas.
Es el Directorio de la Entidad, quien debe promover tal independencia en la Supervisión
del Control Interno. Para ello debe promover el nombramiento de un Comité de
Auditoría del Directorio, en el que delegue autonomía e independencia, y compuesto
como menos, por los dos Directores con más experiencia en labores de Control y
Supervisión.

Se evidencia cumplimiento de este Principio 2:

✓ Cuando se entiende que la relación entre Directorio y Gerencia General debe ser muy
estrecha, pero en temas de Control, claramente la responsabilidad es de la Gerencia
General, y la Supervisión, del Directorio.
✓ Cuando la supervisión la ejerce un funcionario con conocimientos y habilidades
especializadas, para evaluar y sugerir acciones correctivas; debiendo ser una
instancia de reporte directo a Directorio, y que sea independiente funcional y
económicamente, de la Gerencia General.
✓ Cuando el alcance de la supervisión es ilimitado, y puede abarcar desde el diseño,
implementación y desarrollo del Control Interno.

Principio 3: Estructura Organizacional apropiada

El Directorio aprueba una estructura, líneas de reporte y autoridad, y responsabilidades
apropiadas con los objetivos establecidos, elaborados y presentados por la Gerencia
General, en un documento conocido como Organigrama de la Entidad.

Se evidencia cumplimiento de este Principio 3:

✓ Cuando la Estructura considera a toda la Entidad.
✓ Cuando existen líneas claras de reporte.
✓ Al definir, asignar y limitar los niveles de autoridad, las responsabilidades, y que éstas
estén plasmadas por escrito.
✓ Cuando los puestos de trabajo son suficientes, teniendo en cuenta el tamaño de la
Entidad, y los objetivos que se establecen.

P á g i n a 7 | 19
 Principio 4: Competencia Profesional
La Gerencia General debe presentar para aprobación del Directorio, políticas
relacionadas con la atracción, desarrollo y retención de individuos competentes,
alineados con los objetivos de la Entidad. Complementario, pero no menos importante
es un trato justo y equitativo, y una remuneración acorde a lo señalado por el mercado
laboral, hacia todo el personal. Pero la evaluación permanente, y acciones correctivas
por los resultados obtenidos, también deben estar claramente difundidas, y aplicadas
con justicia y oportunidad.

Se evidencia cumplimiento de este Principio 4:

✓ Si por cada puesto de trabajo están definidas las tareas específicas requeridas, y las
calificaciones mínimas del ocupante del puesto.
✓ Si los procesos de selección son garantía de atracción, desarrollo y retención de
profesionales competentes.
✓ Cuando se evidencia exigencia al efectuar evaluaciones periódicas de desempeño,
conocimiento y habilidades, y la transparencia de sus resultados, y los
correspondientes incentivos y sanciones. Todo ello en el cumplimiento de las
funciones de los colaboradores de la Entidad, establecidas por escrito.
✓ Si se evalúa periódicamente el desempeño, conocimiento y habilidades de los
ocupantes de los puestos de trabajo, y sus resultados generan acciones correctivas.
✓ Si se programan capacitaciones frecuentes a los colaboradores, para un mejor
desempeño de sus tareas.
✓ Cuando todos los procesos antes descritos, y el resultado de estos, se encuentran
debidamente sustentados y documentados, y sujeto a supervisión independiente.

Principio 5: Responsabilidad sobre el Control Interno

Como ya se ha mencionado, la Gerencia General de la Entidad, es la responsable del
Control Interno en la Entidad; por tal razón, debe conformar un equipo de profesionales
con suficientes conocimientos de Control Interno, integrado por funcionarios de, al
menos las principales Gerencias, y uno de ellos, especializado, que conduzca tal equipo.

Se evidencia cumplimiento de este Principio 5:

✓ Cuando claramente se establecen modos de actuación para el funcionamiento
permanente del Control Interno, y la consecución de los objetivos establecidos.
✓ Cuando el equipo de Control Interno está integrado por los principales responsables
de los Recursos de la Entidad, y ante eventuales desviaciones de objetivos, actúan
con prontitud, para las acciones correctivas que mejoren el desempeño de la Entidad.
✓ Cuando se establecen mecanismos de evaluación periódica del Control Interno,
evaluando eficiencia y la relación costo/beneficio de los controles establecidos.

2. COMPONENTE II DEL CONTROL INTERNO: LA EVALUACION DE RIESGOS

Este segundo componente es el que tiene más relación con la definición de Control Interno,
que se diseña para proporcionar seguridad razonable en el cumplimiento de los objetivos
establecidos por la Entidad; ya que se define como RIESGO, la posibilidad de la ocurrencia
de eventos negativos, que impidan o afecten materialmente la obtención de tales objetivos.

• Los Riesgos a los que está expuesta una Entidad, pueden provenir desde la propia
Entidad, así como de su entorno Exterior (Internos y/o externos).
P á g i n a 8 | 19
• La identificación y evaluación de Riesgos, se facilita cuando los objetivos operativos, de
información y de cumplimiento, están clara y detalladamente establecidos; así como el
potencial impacto de los Riesgos, en tales objetivos.
• Evaluación de Riesgos, es un proceso dinámico y repetitivo que permite a la Entidad,
prepararse para identificar y evaluar oportunamente Riesgos que podrían afectar
materialmente sus objetivos.
• Para establecer la materialidad de un Riesgo de error, es necesario preestablecer niveles
de tolerancia cuantitativos.

La evaluación de Riesgos comprende los siguientes principios:

Principio 6: Objetivos claros

Sólo con objetivos claramente especificados, una Entidad puede identificar y evaluar
Riesgos relacionados con tales objetivos.

Se evidencia cumplimiento de este Principio 6:

✓ Si se tiene identificadas las afirmaciones de los Estados Financieros.
✓ Si los objetivos están asociados a información financiera y no financiera.
✓ Si se evalúa y determina la Materialidad del error permitido.
✓ Si en el proceso de determinar objetivos, participan con la Gerencia General,
Gerencias de área y funcionarios responsables de que tales objetivos sean medibles,
demandantes y alcanzables.
✓ Si se revisa y evalúa el entendimiento de las normas y estándares aplicados, y el
avance en el nivel de cumplimiento de los objetivos establecidos.

Principio 7: Identificación y evaluación de Riesgos

Una vez que se identifican aquellos Riesgos que podrían afectar el logro de los
principales objetivos Operativos, de Información y de Cumplimiento establecidos por la
Gerencia General, el equipo a cargo del Control Interno procede a analizar cómo
gestionarlos.

Se evidencia cumplimiento de este Principio 7:

✓ Cuando tal proceso se aplica a la Entidad en su totalidad
✓ Cuando el proceso de identificación de Riesgos queda evidenciado por escrito, los
mecanismos efectivos de Evaluación de Riesgos, el análisis de los factores de riesgo
internos y externos, y el impacto estimado en el logro de los objetivos
preestablecidos.
✓ Cuando el equipo a cargo del Control Interno expone sus resultados, para aprobación
de la Gerencia General y/o funcionarios que ésta designe, y se determina la
importancia de cada uno de los Riesgos identificados, y también se establece la
respuesta a los Riesgos: aceptar, evitar, reducir o compartir.

Principio 8: Evaluación de Riesgos de Fraudes

El equipo a cargo del Control Interno debe considerar la posibilidad de identificar
Fraude, en el proceso de evaluación de Riesgos, y la materialidad de su impacto en el
logro de sus objetivos.

P á g i n a 9 | 19
 Se evidencia cumplimiento de este Principio 8:
✓ Si se considera la probabilidad de ocurrencia de todo tipo de Fraudes: En información
financiera y no financiera emitida, en disposición indebida de activos y en el
comportamiento fraudulento individual o colectivo, de trabajadores de la Entidad.
✓ Cuando se evalúa permanentemente, aquellas oportunidades que de alguna manera
incitan a incurrir en actos fraudulentos, como pagos variables como incentivos,
comisiones, bonos, etc.
✓ Si se evalúa si el modo de gestión u otras actividades, pueden justificar acciones
inapropiadas, como concentración de funciones.
✓ Cuando en la exposición del equipo a cargo del Control Interno, se incorpora los
resultados de la posibilidad de identificación de fraude.

Principio 9: Cambios que podrían afectar el Control Interno

La Entidad identifica y evalúa los cambios que podrían impactar significativamente al

Control Interno.

Se evidencia cumplimiento de este Principio 9:

✓ Cuando el Directorio y la Gerencia General tienen establecida por escrito, la práctica
de evaluaciones de cambios periódicos en el entorno externo, y su probable efecto
en los objetivos de la Entidad
✓ Cuando el Directorio, o quien éste decida, evalúa e informa periódicamente los
cambios en cuestiones internas, como incorporación/remoción en puestos claves,
cambios en políticas operacionales, institucionales, o tecnológicas, modelo de
negocios y hasta cambios en Controles Internos no efectivos; todo aquello bajo
responsabilidad de la Gerencia General, y que pueda afectar los objetivos de la
Entidad.

3. COMPONENTE III DEL CONTROL INTERNO: ACTIVIDADES DE CONTROL

Concluida la etapa de Evaluación de Riesgos, y establecidas las respuestas a los Riesgos

identificados, a fin de mitigarlos, este tercer componente está referido a la materialización
de la respuesta a través de políticas y procedimientos.

Para que sean efectivos en mitigar esos Riesgos identificados, que pueden afectar el logro
de los objetivos de la Entidad, las actividades de control deben ser efectivas, apropiadas, y
funcionar consistentemente, en un periodo de tiempo determinado en un Plan de trabajo.
Así mismo, tener un costo adecuado, que sea razonable y relacionado directamente con los
objetivos de Control.

• Estas Actividades de Control se dan en todos los procesos, operaciones, niveles y

funciones de la Entidad, buscando un balance adecuado entre la prevención y la
detección en las Actividades de Control; y pueden ser manuales y/o automatizadas. La
documentación del resultado de las Actividades de Control, y Las acciones correctivas
resultantes, complementan esta actividad.
• Las Actividades de Control comprenden controles para mitigar los Riesgos sobre la
tecnología de la información y comunicación, y de ser el caso acciones correctivas y
mejora en las políticas para tales actividades.

P á g i n a 10 | 19
• La segregación de funciones es parte de la definición y funcionamiento de las
Actividades de Control. En donde no sea posible una adecuada segregación de
funciones, se deben desarrollar Actividades de Control alternativas y compensatorias.

Las Actividades de Control, comprenden los siguientes principios:

Principio 10: Actividades de Control para mitigar Riesgos

Las Gerencias involucradas, y sus funcionarios responsables, definen y desarrollan

Actividades de Control que contribuyen a mitigar Riesgos, hasta niveles aceptables, para
la consecución de los objetivos. El equipo a cargo de Control Interno, designado por
Gerencia General, colabora en tales definiciones. Este principio incluye, por ejemplo, las
tareas y responsabilidades de autorización, verificación, aprobación de registro, y
revisiones de las operaciones, transacciones, controles físicos, conciliaciones y hechos
que deben ser asignados a personas diferentes, a fin de reducir el Riesgo de errores,
intencionales o no.

Se evidencia cumplimiento de éste Principio 10:

✓ Cuando las Actividades de Control aseguran que la respuesta al Riesgo que se realiza
aborda y mitiga los Riesgos.
✓ Cuando los controles de aplicación o controles de transacciones se han diseñado para
responder a los Riesgos, en los procesos relevantes para el logro de los objetivos.
✓ Cuando las Actividades de Control se aplican en los distintos niveles de la Entidad, y
los procedimientos de autorización, incluyendo términos y condiciones, son
documentados y claramente comunicados a los funcionarios involucrados, y al resto
del personal.
✓ Cuando se han establecido restricciones de acceso a las aplicaciones para los
procesos importantes que utilizan Tecnología de la Información.
✓ Cuando los controles de transacciones se han asignado a personas o unidades
distintas, y cuando esa segregación no sea posible, se ha desarrollado Actividades de
Control alternativas.
✓ Si existen lineamientos para el acceso, control, uso y disposición de activos de la
Entidad.

Principio 11: Control para los Sistemas de Información

La Gerencia General y la Gerencia responsable, definen Actividades de Control para

Tecnología de la Información, para el logro de los objetivos, siendo ésta última, la
responsable de su desarrollo. La información de la Entidad es provista mediante el uso
de Tecnología de la Información y Comunicación, que abarca datos, sistemas de
información, tecnología asociada, instalaciones y personal.

Las Actividades de Control de la Tecnología de la Información y Comunicación incluyen

controles que garantizan el procesamiento de la información, para el cumplimiento de
la misión y de los objetivos de la Entidad, debiendo estar diseñados para prevenir,
detectar y corregir errores, intencionales o no, mientras la información fluye a través de
los sistemas.

Se evidencia cumplimiento de este Principio 11:

P á g i n a 11 | 19
✓ Si se ha determinado la dependencia y la relación entre los procesos, los controles
generales de Tecnología de la Información y las Actividades de Control
automatizadas.
✓ Si se ha diseñado, seleccionado e implementado las Acciones de Control sobre la
infraestructura de Tecnología para asegurar la integridad, exactitud y disponibilidad
del procesamiento de Tecnología de la Información.
✓ Si existe un Plan formal de Sistemas de la Información, en la Entidad
✓ Si existen controles generales que apoyen la adquisición, desarrollo y mantenimiento
de la infraestructura de Tecnología de la Información.
✓ SI existen controles de acceso y de modificación de la información que prevenga el
uso no autorizado de la información para proteger los activos, de las amenazas
externas, y este procedimiento es apoyado por la segregación de funciones, acorde
con las responsabilidades.
✓ Si existe un Plan de Contingencias, para evitar interrupciones en la operación del
servicio.

Principio 12: Desplegar los Controles a través de políticas y procedimientos

La Entidad despliega las Actividades de Control a través de políticas que establecen las
líneas generales del Control Interno y los procesos y procedimientos que llevan dichas
políticas a la práctica.

La responsabilidad por cada proceso, actividad, tarea o control debe ser claramente
definida, específicamente asignada y formalmente comunicada al funcionario
respectivo, por el equipo de funcionarios a cargo del Control Interno, designado por la
Gerencia General, por lo que la ejecución o modificación de los procesos, actividades o
tareas debe contar con la autorización y aprobación de dicho equipo.

Se evidencia el cumplimiento de este Principio 12:

✓ Si el equipo a cargo del Control Interno es apoyado por funcionarios especialistas en

Macroprocesos, procesos, procedimientos, actividades, tareas y controles, que
establecen lo que se espera, y están documentados en diagramas y manualmente.
✓ Si las instrucciones que se entregan a los funcionarios responsables se hacen por
escrito, o por un medio que puede ser verificable, y formalmente aceptado por ellos.
✓ Si la Gerencia a cargo, y sus funcionarios responsables evalúan la ejecución de los
procesos, actividades, tareas y controles, y se asegura que se hayan cumplido con los
requisitos aplicables (jurídicos, técnicos y administrativos, de origen interno y
externo).
✓ Si el equipo a cargo del Control Interno cuenta con mecanismos de evaluación de
procesos, procedimientos, actividades, tareas y controles, y los actualiza mediante
evaluación periódica y cuando lo considere necesario.
✓ Si el equipo a cargo del Control Interno es competente y tiene la autoridad suficiente
para investigar y actuar sobre asuntos identificados, como resultado de las
ejecuciones de las Actividades de Control, y lo pone de conocimiento de la Gerencia
General.

P á g i n a 12 | 19
4. COMPONENTE IV DEL CONTROL INTERNO: INFORMACION Y COMUNICACIÓN PARA
MEJORAR
• La Gerencia General necesita información real, relevante y de calidad, a partir de fuentes
internas y externas, la cual, emitida oportunamente, sirve para apoyar el
funcionamiento de los otros componentes del Control Interno, del cual es responsable.
Esta información sirve para evidenciar el logro, o no, de los objetivos establecidos.

• La comunicación interna es el medio por el cual la información se difunde en toda la

Entidad, y fluye de arriba hacia abajo. La Gerencia General debe mantener a los
trabajadores debidamente informados de sucesos relevantes, y en particular, temas
relacionados con Control Interno, transmitiendo un mensaje claro sobre el hecho que
las responsabilidades de control deben tomarse en serio, mostrándolos resultados, y las
acciones correctivas tomadas al respecto.

• La comunicación externa, comunica de afuera hacia adentro, y de adentro hacia afuera,

información relevante en respuesta a las necesidades de la Gerencia General, y las
expectativas de grupos de interés externos.

La información y comunicación para mejorar el Control Interno, comprende los

siguientes principios:

Principio 13: Información de calidad para el Control Interno

La Gerencia responsable genera (y obtiene) información real, relevante y de calidad, que

la Gerencia General, o quien ésta designe, corrobora y utiliza para apoyar el
funcionamiento del Control Interno.

Se evidencia el cumplimiento de este Principio 13:

✓ Cuando se captura, procesa y produce información oportuna, actualizada, precisa,

completa, accesible y verificable.
✓ Cuando la información emitida es corroborada por un ente independiente y se utiliza
para el funcionamiento y mejora del Control Interno.
✓ Cuando la información se revisa para determinar su relevancia en el apoyo de los
componentes de Control Interno (considera los costos y beneficios), y el logro de los
objetivos de la Entidad.

Principio 14: Comunicación de la información para apoyar el Control Interno

La Entidad comunica la información internamente, incluyendo los objetivos y

responsabilidades, necesarios para apoyar el funcionamiento del Control Interno.

Se evidencia el cumplimiento de este Principio 14:

✓ Si existe un proceso de comunicación, de arriba hacia abajo, para que la Gerencia

General, o quien ésta designe, comunique a todo el personal el estado de situación
del Control Interno, y de su responsabilidad individual en su mejoramiento.

P á g i n a 13 | 19
 ✓ SI existen canales de comunicación interna, de abajo hacia arriba, que favorecen la
comunicación de fallas del Control Interno que impiden el cumplimiento apropiado
de los objetivos de la Entidad. Dichos canales deben asegurar confiabilidad y/o
confidencialidad, al trabajador que comunica, y siempre que sea necesario.

Principio 15: Comunicar externamente información relevante que afecta el Control

Interno

La Gerencia General o quien ésta designe, comunica a terceras partes, lo referente a los
asuntos que afectan el funcionamiento del Control Interno en la Entidad.

Se evidencia el cumplimiento de este Principio 15:

✓ Cuando la Entidad permite canales de comunicación con el Estado y otros

reguladores, con proveedores, con auditores externos, con terceros en general, para
mejorar el Control Interno y los resultados de la Entidad.
✓ Cuando las formas de comunicación consideran la oportunidad, los actores
interesados y los requerimientos de naturaleza legal y regulatoria.

5. COMPONENTE V DEL CONTROL INTERNO: ACTIVIDADES DE SUPERVISION

• Las evaluaciones continuas, las evaluaciones independientes y hasta la combinación de
ambas, se utilizan para determinar si cada uno de los 5 componentes del Control
Interno, incluidos los controles para cumplir los principios de cada componente, están
presentes y funcionan efectivamente.
• Las evaluaciones continuas están incorporadas en los procesos del negocio, en los
diferentes niveles de la Entidad, suministran información, y las acciones correctivas,
oportunamente, bajo seguimiento y autorización del equipo a cargo del Control Interno,
designado por la Gerencia General.
• Las evaluaciones independientes se ejecutan con cierta periodicidad, y pueden variar en
el alcance y frecuencia, dependiendo de las evaluaciones de Riesgos, y del resultado de
evaluaciones independientes anteriores, incorporadas en el Plan de Trabajo de
Auditoria Interna, autorizado por el Directorio.
• Los resultados de las evaluaciones independientes, y las acciones correctivas sugeridas,
son presentadas para aprobación del Directorio. Es el Directorio quien revisa con la
Gerencia General los acuerdos adoptados, para que tales decisiones sean comunicadas
al resto de la Entidad.

Las actividades de supervisión del Control Interno comprenden los siguientes principios:

Principio 16: Evaluación para comprobar el Control Interno

El equipo a cargo del Control Interno en la Entidad, designado por Gerencia General, y
el órgano de Control independiente, seleccionan, desarrollan y ejecutan evaluaciones
continuas e independientes, respectivamente, para comprobar si los componentes y
principios del Control Interno de la Entidad, están presentes y operando.
P á g i n a 14 | 19
 Se evidencia el cumplimiento de este Principio 16:

✓ Si las evaluaciones continuas se realizan periódicamente, y es el mismo equipo a

cargo del Control Interno, quien hace la autoevaluación, informan las debilidades
identificadas y sugieren acciones correctivas a la Gerencia General.
✓ Si las evaluaciones independientes que realiza auditoría interna son autorizadas
previamente por el Directorio, conjuntamente con su Plan de Trabajo. Los resultados
de las evaluaciones y las sugerencias correspondientes deben ser presentados ante
el Comité de Auditoria del Directorio, o el Directorio en su conjunto.

Principio 17: Comunicación de deficiencias de Control Interno

En la Entidad, a través de la Gerencia General, o la instancia que ésta determine, se

comunica las deficiencias de Control Interno de manera oportuna a los responsables de
tomar acciones correctivas, tanto las resultantes de evaluaciones continuas, como de
las evaluaciones independientes.

Se puede evidenciar el cumplimiento de este Principio 17:

✓ El resultado de las evaluaciones continuas, y las acciones correctivas resultantes, las

revisa el equipo a cargo del Control Interno de la Entidad, con la Gerencia General.
Con la autorización de ésta, quien las autoriza, el equipo a cargo es responsable de
comunicar a los responsables de implementar las acciones correctivas, y dar el
seguimiento hasta su implementación.

Establecida su periodicidad, la Gerencia General presenta ante el Directorio, las

principales deficiencias identificadas en las evaluaciones continuas, las respectivas
acciones correctivas y el seguimiento para su implementación. El Directorio, a través
de Auditoría Interna, comprueba el sustento, mediante verificación selectiva.

✓ El resultado de las evaluaciones independientes, y acciones correctivas

correspondientes, resultantes del Comité de Auditoría del Directorio, o del Directorio
en su integridad, se revisan con la Gerencia General, y se determinan los acuerdos,
de cumplimiento obligatorio, que la Gerencia General debe comunicar a los
responsables de implementar las acciones correctivas. El seguimiento a la
implementación de los mencionados acuerdos es responsabilidad de Auditoría
Interna, y deben ser informados al Directorio.

EFECTIVIDAD DEL CONTROL INTERNO

Como ya se manifestó, la Ley Sarbanes Oxley y COSO III requieren que el Control Interno de una
Entidad sea certificada como Efectivo, para lo cual:

Cada uno de los 5 componentes y los 17 Principios relevantes, hayan sido implementados y
funcionan de manera interdependiente, reduciendo a un nivel aceptable el Riesgo de no
alcanzar un objetivo.

Si se ha identificado una deficiencia material en alguno de los componentes o principio, se debe

concluir que la Entidad no cumple con los requisitos para calificar que su Control Interno es
Efectivo.
P á g i n a 15 | 19
El Control Interno es Efectivo cuando el Directorio y la Gerencia General tienen la seguridad
razonable que:

❖ Llevan a cabo operaciones efectivas y eficientes, siendo poco probable que eventos
externos asociados a Riesgos, tengan impacto relevante en la consecución de sus objetivos.
❖ Gestionan operaciones efectivas y eficientes, cuando eventos externos pueden tener
impacto significativo en la consecución de sus objetivos.
❖ Se elabora información financiera y no financiera conforme a Principios y Normas
Internacionales; así mismo, diseñada para objetivos de reporting específicos de la Entidad.
❖ Se cumple con leyes, reglas, regulaciones y demás normativa del país; así mismo, se
cumplen políticas y normas internas establecidas por la alta Dirección.
❖ Se aplicó el mejor criterio profesional al diseñar, implementar y desarrollar el Control
Interno, y en la evaluación de su efectividad, y en la toma de decisiones al respecto, en la
seguridad de haber alcanzado y mantener un Control Interno Efectivo en la Empresa.

LIMITACIONES DEL CONTROL INTERNO

Aun siendo bien diseñado, el Control Interno sólo puede proveer seguridad razonable, no
absoluta, porque está afectada por limitaciones inherentes como:

1. El criterio profesional de las personas, en la toma de decisiones, puede ser erróneo y/o
estar sujeto a sesgos.
2. Fallos humanos, como puede ser cometer un simple error.
3. La capacidad de la Gerencia de anular el Control Interno
4. La capacidad de la Gerencia, y demás miembros del personal y/o terceros, para eludir
controles (Colusión).
5. Acontecimientos externos que escapan al control de la organización.
6. Control Interno ineficiente, si en su diseño no se ha considerado el Costo – Beneficio.

Se debe tratar de minimizar las señaladas limitaciones, para que no se vean afectados los
cuantiosos beneficios de implementar Control Interno en la Empresa.

INSTANCIAS RESPONSABLES DEL CONTROL INTERNO

El Control Interno al ser una herramienta de Gestión, debe ser implementado por la propia
Gerencia General, quien apoyada en un equipo a cargo del Control Interno, otorga soporte a los
titulares de las propias Gerencias, en la implementación y el funcionamiento del control interno
en la Gerencia a su cargo, en las políticas, procesos, actividades, recursos y operaciones,
orientando su ejecución al cumplimiento de los objetivos de Control Interno establecidos.
También existen otros actores especializados, que evalúan de manera independiente, la
implementación y funcionamiento antes señalados y brindan orientaciones para una mejor
consecución de objetivos operacionales, de información y de cumplimiento.

El Gobierno Corporativo

Son principios y normas que regulan el diseño, integración y funcionamiento de los órganos de
gobierno: Accionistas, Directores y Gerencia General.

P á g i n a 16 | 19
Los diversos modelos de Control Interno (COSO por ejemplo), buscan incorporar mecanismos y
sistemas de control en la Entidad (por ejemplo, políticas, procedimientos, reglamentos,
protocolos, normas, etc.), que son parte integral de la “arquitectura de control”, desarrollada
por el Gobierno Corporativo, con el propósito de definir y limitar la acción (o interés) individual
y reducir el “problema de agencia”.

El Gobierno Corporativo brinda ventajas a las empresas, ya que otorga señales a los
inversionistas, de un adecuado manejo, transparente e independiente de la Entidad, y da
seguridad razonable del cumplimiento de los objetivos organizacionales.

Las Gerencias de área o primera línea: Son responsables directos de todas las actividades de la
Gerencia a su cargo, incluyendo el diseño, la implementación, la supervisión del correcto
funcionamiento, el mantenimiento y documentación del Sistema de Control Interno.

Funcionarios responsables y el Personal adscrito a la Gerencia: Son responsables de contribuir

al Control Interno, siendo el control interno parte implícita y explícita de las funciones de cada
uno. Todo el personal efectúa control, y debe ser responsable de reportar problemas de
operaciones, violaciones a las políticas, o no cumplimiento del código de conducta.

Los Auditores Internos: Directorio delega sobre ellos, la responsabilidad de examinar y

contribuir a la continua efectividad del Sistema de Control Interno a través de sus evaluaciones
independientes y sus recomendaciones; son importantes para determinar si el Control Interno
ejercido, es o no efectivo, teniendo como responsabilidad, sólo su evaluación.

Las Sociedades de Auditoria: Designados por el Directorio de la Entidad, deben asesorar y dar
recomendaciones de Control Interno, al margen de emitir una opinión sobre la razonabilidad de
la información financiera a una fecha determinada.

EL CODIGO DE BUEN GOBIERNO CORPORATIVO PARA LAS

SOCIEDADES PERUANAS

A fines de 2013, 14 instituciones públicas y privadas del Perú (entre ellas el MEF, la SMV, la SBS,
la BVL, la CONFIEP, el IPAI, etc) emitieron el código de Buen Gobierno corporativo, que consta
de 5 pilares:

1. Derechos de los Accionistas

2. Junta General de Accionistas
3. El Directorio y la Alta Gerencia
4. Riesgo y cumplimiento
5. Transparencia de la información

P á g i n a 17 | 19
El código está vigente desde 2014, su adopción es voluntaria, pero la sociedad que lo asuma
debe ser capaz de demostrar su adhesión documentadamente. Es una guía para todas las
sociedades anónimas del país, sobre todo para aquellas con valores inscritos en el Registro
Público del Mercado de Valores.

Los 3 Pilares que no hacen mención específica a Accionistas, tienen 17 principios, y de ellos 12
refieren directa o indirectamente temas que hemos visto en este trabajo referido a Control
Interno en la Empresa, como sigue:

Principio 15 Conformación del Directorio: En la conformación del Directorio, se debe divulgar

los nombres de los directores, si son independientes o no, y si sus miembros son suficientes, y
de disponibilidad suficiente.

Principio 18 Reglamento del Directorio: Se cuenta con un Reglamento que contiene políticas y
procedimientos para su funcionamiento, su estructura organizativa.

Principio 19 Directores Independientes: Un tercio del Directorio deben ser independientes,

entendiéndose como tal, a profesionales honorables, independientes económicamente y
desvinculados de accionistas y/o directivos

Principio 21 Comités especiales: Entre los miembros del Directorio se conforman comités
especializados, liderados por directores independientes. Como mínimo, Comité de Auditoria y
de nombramientos y retribuciones

Principio 22 Código de ética y conflicto de intereses: Se cuenta con un código de ética aplicable
a todos los miembros de la empresa, incluido el Directorio, que comprende criterios éticos y de
responsabilidad profesional, incluyendo medidas para prevenir, detectar, manejar y relevar
conflictos de intereses

Principio 23 Operaciones con partes vinculadas: El Directorio debe establecer políticas y

procedimientos para la valoración, aprobación y revelación de operaciones entre la Empresa y
partes vinculadas

Principio 24 Funciones de la Alta Gerencia: La Gerencia General y la Presidencia del Directorio

deben recaer en diferentes personas. La Gerencia General es responsable del Sistema de Gestión
de Riesgos, a menos que exista una Gerencia de Riesgos. El Directorio evalúa anualmente el
desempeño de la Gerencia General, bajo estándares definidos. Las remuneraciones de la Alta
Gerencia deben tener un componente fijo y uno variable.

Principio 25 Entorno del Sistema de Gestión de Riesgos: El Directorio aprueba una política de
Gestión Integral de Riesgos, que permite la identificación, medición, administración, control y
seguimiento de Riesgos. La Gerencia General supervisa periódicamente los riesgos a los que está
expuesta la Empresa y los informa al Directorio.

El Directorio es responsable de la existencia de un Sistema de Control Interno, y de supervisar

su eficacia e idoneidad. Para ello constituye un Comité de Auditoría.

Principio 26 Auditoría Interna: El Auditor Interno realiza labores exclusivas, es experimentado

y especialista en temas a su cargo, es autónomo e independiente. Hace seguimiento y evaluación
de la eficiencia del Sistema de Gestión de Riesgos. Así mismo, evalúa que la información
financiera sea válida y confiable, y verifica la función de cumplimiento normativo.

P á g i n a 18 | 19
Principio 27 Auditores Externos: La auditoría externa financiera realiza evaluaciones sobre la
efectividad y operatividad del Sistema de Control Interno, especialmente para evaluar el riesgo
de que existan errores en la información financiera. La Junta General de Accionistas, a través del
Directorio, designa Auditores externos anualmente. Se sugiere rotación periódica y que todo el
grupo de empresas sea auditado por el mismo auditor. Es el Comité de Auditoría del Directorio
quien supervisa la labor de los Auditores externos.

Principio 29 Estados Financieros y memoria anual: Directorio aprueba una vez al año la
memoria anual, en la que se refiere el desempeño financiero, los factores de riesgo relevantes,
acontecimientos significativos, y relaciones con partes vinculadas.

Mi comentario final

El Código de Buen Gobierno Corporativo para sociedades peruanas, último documento

revisado, pretende concentrar y adaptar los principios de la Ley Sarbanes Oxley, a nuestra
realidad. No sería de extrañar que, en un futuro cercano, en el Perú, el Control Interno y la
Gestión de Riesgos en las Organizaciones, deban certificar su eficacia y razonabilidad, como lo
es la Información Financiera.

En la actualidad, los Directorios manifiestan un mayor compromiso e involucramiento en las

operaciones de las Empresas, aunque en un nivel menor al deseado. Hace evidente ese menor
nivel, en la mayoría de los casos, la muy retrasada definición e implementación de las Tres Líneas
de Defensa, lo que a mi entender refleja insuficiente voluntad de un manejo profesional e
independiente del Control Interno y la Gestión de Riesgos, exponiendo el Gobierno Corporativo
de la Organización, a convivir con Riesgos relevantes no mitigados.

P á g i n a 19 | 19